Landuss

Infekcje mas usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\WLASCI~1\LOCALS~1\Temp\DAT18.tmp.exe -- (zlyzbiklb) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\ztceonjpeka7.sys -- (ztceonjpeka7) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\zsyfkkpkspidu5.sys -- (zsyfkkpkspidu5) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\zryohvftyjgk5.sys -- (zryohvftyjgk5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ctnrawxn.sys -- (ctnrawxn) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\WLASCI~1\LOCALS~1\Temp\catchme.sys -- (catchme) IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - No CLSID value found IE - HKU\S-1-5-21-299502267-651377827-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=6ce388ac000000000000001a6b016501" IE - HKU\S-1-5-21-299502267-651377827-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=6ce388ac000000000000001a6b016501" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-05-01 10:08:15 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Wlasciciel\Application Data\mozilla\Firefox\Profiles\d836to60.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-03-27 21:23:40 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Wlasciciel\Application Data\mozilla\Firefox\Profiles\d836to60.default\extensions\vshare@toolbar [2009-03-01 14:02:47 | 000,000,523 | ---- | M] () -- C:\Documents and Settings\Wlasciciel\Application Data\Mozilla\Firefox\Profiles\d836to60.default\searchplugins\daemon-search.xml [2010-11-08 15:27:40 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Wlasciciel\Application Data\Mozilla\Firefox\Profiles\d836to60.default\searchplugins\web-search.xml [2010-07-05 16:19:57 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Wlasciciel\Application Data\Mozilla\Firefox\Profiles\d836to60.default\searchplugins\winamp-search.xml [2012-01-12 23:06:42 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O3 - HKU\S-1-5-21-299502267-651377827-682003330-1003\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O4 - HKU\.DEFAULT..\Run: [hxkhbjiggrkpmgf] C:\Documents and Settings\All Users\Application Data\hxkhbjig.exe (Arima Computer Corporation) O4 - HKU\S-1-5-18..\Run: [hxkhbjiggrkpmgf] C:\Documents and Settings\All Users\Application Data\hxkhbjig.exe (Arima Computer Corporation) :Files C:\Documents and Settings\All Users\Application Data\gkepjaqogmdotce C:\Documents and Settings\All Users\Application Data\jcagcfotyditszm :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-299502267-651377827-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\FsUsbExDisk.SYS -- (FsUsbExDisk) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\artur\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=1c395812-24f2-11e1-a3d9-001970071c34" IE - HKLM\..\SearchScopes\{DB6E6D97-3F44-437B-A962-230478B0A5C6}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=1c395812-24f2-11e1-a3d9-001970071c34&q={searchTerms}" IE - HKU\S-1-5-21-1960408961-682003330-1921136615-1004\..\SearchScopes\{099EF85B-3260-4b87-9239-33355EE6A548}: "URL" = "http://results.myway.com/GGmain.jhtml?id=YI&ptb=3146696B-EB1D-4968-89E5-E2597B9BB83D&ind=2010080810&ptnrS=YI&si=&n=&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-1960408961-682003330-1921136615-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://supertoolbar.ask.com/redirect?client=ie&tb=FF&o=&src=crm&q={searchTerms}&locale={locale.underscore}" IE - HKU\S-1-5-21-1960408961-682003330-1921136615-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552" IE - HKU\S-1-5-21-1960408961-682003330-1921136615-1004\..\SearchScopes\{DB6E6D97-3F44-437B-A962-230478B0A5C6}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=1c395812-24f2-11e1-a3d9-001970071c34&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "Hotspot Shield Customized Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: i0ffxtbr@IObitBar.com:1.1 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://results.myway.com/GGmain.jhtml?id=YI&ptb=3146696B-EB1D-4968-89E5-E2597B9BB83D&ind=2010080810&ptnrS=YI&si=&n=&psa=&st=kwd&searchfor=" [2010-09-14 19:26:50 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-07-15 19:23:44 | 000,000,000 | ---D | M] (Hotspot Shield Community Toolbar) -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\extensions\{c95a4e8e-816d-4655-8c79-d736da1adb6d} [2011-03-28 18:30:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\extensions\engine@conduit.com [2009-12-21 21:16:09 | 000,002,235 | ---- | M] () -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\searchplugins\askcom.xml [2009-07-01 15:20:48 | 000,000,890 | ---- | M] () -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\searchplugins\conduit.xml [2011-03-28 18:30:59 | 000,009,817 | ---- | M] () -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\searchplugins\IObitBar.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\searchplugins\startsear.xml [2010-09-14 19:27:57 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\artur\Dane aplikacji\Mozilla\Firefox\Profiles\zwo7pl7t.default\searchplugins\winamp-search.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1960408961-682003330-1921136615-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe" File not found O4 - HKLM..\Run: [Windows Network Config] C:\WINDOWS\system32\wmpctv32.exe File not found O4 - HKU\S-1-5-21-1960408961-682003330-1921136615-1004..\RunOnce: [036E191200644316BC43E06781CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036E191200644316BC43E06781CB3F95\036E191200644316BC43E06781CB3F95.exe () :Files C:\Documents and Settings\artur\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\artur\Ustawienia lokalne\Dane aplikacji\promo.exe C:\Documents and Settings\All Users\Dane aplikacji\036E191200644316BC43E06781CB3F95 :Reg [HKEY_USERS\S-1-5-21-1960408961-682003330-1921136615-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niczego niepokojącego tutaj nie ma. Większości procesy systemowe albo od oprogramowania.

No to masz po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz masz posprzątane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: IWindows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Dariusz\AppData\Roaming\hellomoto :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Mamy infekcję ZeroAccess. Tu system XP więc powinno pójść gładko. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

Kompletnie nic nie zostało tutaj wykonane, ani punkt 1 ani skrypt do OTL. Powtarzaj raz jeszcze, najlepiej w trybie awaryjnym.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1695774819-2539283526-1276354102-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1695774819-2539283526-1276354102-1002\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1695774819-2539283526-1276354102-1002\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=wbst&s={searchTerms}&f=4" [2011-06-02 08:01:03 | 000,002,378 | ---- | M] () -- C:\Users\Gry\AppData\Roaming\Mozilla\Firefox\Profiles\2znx72l1.default\searchplugins\search.xml O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKU\S-1-5-21-1695774819-2539283526-1276354102-1002\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKU\S-1-5-21-1695774819-2539283526-1276354102-1002..\Run: [thawbrkr] C:\Users\Kage\AppData\Local\Microsoft\Windows\3757\thawbrkr.exe () :Files C:\Users\Kage\AppData\Local\Microsoft\Windows\3757 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2868060700-2398918303-4207144691-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=8456c403000000000000002269ff882e" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [RpcEpMap] C:\Documents and Settings\paula\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1596\RpcEpMap.exe File not found O4 - HKLM..\Run: [spoolss] C:\Documents and Settings\fabian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4578\spoolss.exe () :Files C:\Documents and Settings\fabian\Dane aplikacji\hellomoto C:\Documents and Settings\fabian\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4578 C:\Documents and Settings\paula\Dane aplikacji\hellomoto C:\Documents and Settings\paula\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1596 :Reg [HKEY_USERS\S-1-5-21-2868060700-2398918303-4207144691-1006\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / FoxTab FLV Player 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi wklejaj opcją ZAŁĄCZNIKI na forum, a nie tak do posta jak teraz. Zabrakło też drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [iNPROCOMMWireless] File not found O4 - HKLM..\Run: [mnphrtqekyjqgzv] C:\Documents and Settings\All Users\Dane aplikacji\mnphrtqe.exe () O4 - HKU\user_ON_C..\Run: [mnphrtqekyjqgzv] C:\Documents and Settings\All Users\Dane aplikacji\mnphrtqe.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\hajlzgymktcpnvq C:\Documents and Settings\All Users\Dane aplikacji\ksfgolarckhqmwy C:\Documents and Settings\All Users\Dane aplikacji\stjslior.exe C:\Documents and Settings\user\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\dxebsqqy.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: My Web Search 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (przypominam o logu extras)

Jeszcze poprawka tutaj potrzebna. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\Temp\ncvet.dll -- (ncvet.dll) DRV - [2012-07-17 21:06:38 | 000,018,912 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2438727" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=15627&q=" O4 - HKCU..\Run: [gzqmgbstlyksrdd] C:\Documents and Settings\All Users\Dane aplikacji\gzqmgbst.exe File not found O33 - MountPoints2\{145c209f-cd51-11df-b294-000e2e8ef23e}\Shell\AutoRun\command - "" = WScript.exe .\`.vbs O33 - MountPoints2\{145c209f-cd51-11df-b294-000e2e8ef23e}\Shell\open\Command - "" = WScript.exe .\`.vbs O33 - MountPoints2\{48680e1a-e36c-11df-b301-000e2e8ef23e}\Shell - "" = AutoRun O33 - MountPoints2\{48680e1a-e36c-11df-b301-000e2e8ef23e}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe .MS32DLL.dll.vbs O33 - MountPoints2\{6643a462-e290-11df-b2ff-000e2e8ef23e}\Shell\AutoRun\command - "" = M:\lpl.exe O33 - MountPoints2\{6643a462-e290-11df-b2ff-000e2e8ef23e}\Shell\open\Command - "" = M:\lpl.exe O33 - MountPoints2\{a474ec44-401e-11e0-b4ca-000e2e8ef23e}\Shell\AutoRun\command - "" = M:\ba.exe O33 - MountPoints2\{a474ec44-401e-11e0-b4ca-000e2e8ef23e}\Shell\open\Command - "" = M:\ba.exe [2012-08-01 18:58:51 | 000,073,728 | ---- | C] (Elpida Memory) -- C:\Documents and Settings\Adi\ms.exe :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jako że wszedłeś teraz w normalny tryb to ujawniły się inne rzeczy na usuwanie. Jeszcze jeden skrypt poprawkowy do wykonania: :OTL IE - HKU\S-1-5-21-839522115-746137067-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found IE - HKU\S-1-5-21-839522115-746137067-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=0F8F59C8-6934-430D-BA39-04106456EBBF&apn_sauid=3CD00AA3-ED94-454C-AE6B-7BDEDA3D7B12" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "InnoGames Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2832599&q=" [2012-07-16 18:55:29 | 000,000,000 | ---D | M] (InnoGames Polska Community Toolbar) -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\6cez1wid.default\extensions\{14f6a182-4c6f-45ae-9f5a-aa3ccbb1cfa3} [2012-05-01 15:31:47 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\6cez1wid.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\6cez1wid.default\searchplugins\askcom.xml [2010-11-25 13:02:52 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Jacek\Dane aplikacji\Mozilla\Firefox\Profiles\6cez1wid.default\searchplugins\conduit.xml O4 - HKU\S-1-5-21-839522115-746137067-725345543-1003..\Run: [bOS] C:\BOS\bos.exe File not found O4 - HKU\S-1-5-21-839522115-746137067-725345543-1003..\Run: [Microsoft] C:\Documents and Settings\Jacek\Dane aplikacji\Game.exe File not found O33 - MountPoints2\{c630cdbc-6fce-11df-8b6f-00197d6407f5}\Shell\AutoRun\command - "" = F:\wyskq6lt.exe O33 - MountPoints2\{c630cdbc-6fce-11df-8b6f-00197d6407f5}\Shell\open\Command - "" = F:\wyskq6lt.exe O33 - MountPoints2\{d31db46a-b222-11dc-8316-00197d6407f5}\Shell\AutoRun\command - "" = H:\l61yyp.exe O33 - MountPoints2\{d31db46a-b222-11dc-8316-00197d6407f5}\Shell\open\Command - "" = H:\l61yyp.exe O33 - MountPoints2\{f388c4d8-5a44-11dc-8070-4d6564696130}\Shell\AutoRun\command - "" = F:\wyskq6lt.exe O33 - MountPoints2\{f388c4d8-5a44-11dc-8070-4d6564696130}\Shell\open\Command - "" = F:\wyskq6lt.exe [2012-07-26 13:09:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Jacek\Menu Start\Programy\Live Security Platinum [2012-07-26 13:09:32 | 000,002,346 | ---- | C] () -- C:\Documents and Settings\Jacek\Pulpit\Live Security Platinum.lnk [2012-05-01 15:21:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask :Commands [emptytemp] Klik w Wykonaj skrypt. Nowy log do oceny ze skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2689307126-1058237177-1363401559-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=100482&babsrc=HP_ss&mntrId=540b9fc90000000000007edd08e869c4" IE - HKU\S-1-5-21-2689307126-1058237177-1363401559-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=540b9fc90000000000007edd08e869c4" IE - HKU\S-1-5-21-2689307126-1058237177-1363401559-1000\..\SearchScopes\{F9693627-E84D-4CA1-9F40-4D7D15EBB38E}: "URL" = "http://uk.shopping.com/?linkin_id=8056359" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=540b9fc90000000000007edd08e869c4&q=" [2012/02/03 12:49:21 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Files C:\ProgramData\sohhnyrnurvcths :Reg [HKEY_USERS\S-1-5-21-2689307126-1058237177-1363401559-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / Softonic toolbar on IE Otwórz Firefox i w Dodatkach odmontuj: Babylon / softonic.com 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=4fa4588c-3c6d-11e1-9bc2-00030d6302ce" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=4fa4588c-3c6d-11e1-9bc2-00030d6302ce" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=4fa4588c-3c6d-11e1-9bc2-00030d6302ce&q=" [2012-08-01 18:13:57 | 000,000,000 | ---D | M] (Vuze Remote) -- C:\Users\Użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\6sjh4006.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2012-04-12 20:23:01 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\6sjh4006.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6sjh4006.default\searchplugins\askcom.xml [2012-07-31 23:34:03 | 000,000,869 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6sjh4006.default\searchplugins\conduit.xml [2012-04-10 21:12:38 | 000,000,792 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6sjh4006.default\searchplugins\startsear.xml [2012-07-31 23:31:44 | 000,004,002 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\6sjh4006.default\searchplugins\sweetim.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKCU..\RunOnce: [036DFF98975F363C1830BE57E56C3443] C:\ProgramData\036DFF98975F363C1830BE57E56C3443\036DFF98975F363C1830BE57E56C3443.exe () O4 - HKCU..\RunOnce: [036DFF98975F363C1830BE57F875EF7E] C:\ProgramData\036DFF98975F363C1830BE57F875EF7E\036DFF98975F363C1830BE57F875EF7E.exe () :Files C:\ProgramData\036DFF98975F363C1830BE57E56C3443 C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF98975F363C1830BE57F875EF7E C:\Users\Użytkownik\Desktop\Live Security Platinum.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / Live Security Platinum Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Vshare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na pewno ci to wyskakuje nadal? Bo przyznam, że nie widzę żadnego składnika tej infekcji w logach...

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\PANDORA.TV\PanService\PandoraService.exe -- (PanService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ivusb.sys -- (ivusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | Boot | Stopped] -- -- (cercsr6) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-2052111302-448539723-839522115-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-2052111302-448539723-839522115-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-2052111302-448539723-839522115-500\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" [2010-09-14 14:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\PROGRA~1\BEARSH~1\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [DrvIcon] C:\Program Files\Vista Drive Icon\DrvIcon.exe File not found O4 - HKLM..\Run: [sqlncli] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575\sqlncli.exe () O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - File not found O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - File not found :Files C:\Documents and Settings\user\Dane aplikacji\hellomoto C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2575 C:\Documents and Settings\All Users\Dane aplikacji\036DFF6A000D2207E6630B314A174311 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2052111302-448539723-839522115-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: KMPlayer Toolbar / KMPlayer Toolbar Updater / MediaBar / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- D:\Windows\system32\Drivers\SSPORT.sys -- (SSPORT) IE - HKU\S-1-5-21-2631262536-2657179427-4261163009-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=ddrnw" IE - HKU\S-1-5-21-2631262536-2657179427-4261163009-1001\..\SearchScopes\{1B038B0B-23DC-4BEA-9608-C5FA373CB7E6}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ddrnw&q={searchTerms}" IE - HKU\S-1-5-21-2631262536-2657179427-4261163009-1001\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=x007RLP7lc6hxm9jZQPU2mEPvtE?q={searchTerms}" IE - HKU\S-1-5-21-2631262536-2657179427-4261163009-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://start.funmoods.com/?f=1&a=ddrnw" FF - prefs.js..browser.search.selectedEngine: "Search" FF - prefs.js..browser.search.defaultenginename: "Search" [2010-12-19 14:19:34 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- D:\Users\Krochmal\AppData\Roaming\Mozilla\Firefox\Profiles\tcwl9e5g.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2010-05-16 19:02:24 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- D:\Users\Krochmal\AppData\Roaming\Mozilla\Firefox\Profiles\tcwl9e5g.default\extensions\DTToolbar@toolbarnet.com [2010-12-19 14:19:35 | 000,000,000 | ---D | M] (Conduit Engine) -- D:\Users\Krochmal\AppData\Roaming\Mozilla\Firefox\Profiles\tcwl9e5g.default\extensions\engine@conduit.com [2012-02-02 11:16:52 | 000,000,000 | ---D | M] (Funmoods.com) -- D:\Users\Krochmal\AppData\Roaming\Mozilla\Firefox\Profiles\tcwl9e5g.default\extensions\ffxtlbr@funmoods.com [2012-02-02 11:16:45 | 000,001,799 | ---- | M] () -- D:\Users\Krochmal\AppData\Roaming\Mozilla\Firefox\Profiles\tcwl9e5g.default\searchplugins\funmoods.xml O4 - HKLM..\Run: [knwhhpnjtah] D:\Windows\System32\hhoxvqtcthqvghds.dll () O4 - HKLM..\Run: [zvtgaemwvytyzle] D:\ProgramData\zvtgaemw.exe () O4 - HKU\S-1-5-21-2631262536-2657179427-4261163009-1001..\Run: [PlayNC Launcher] File not found O4 - HKU\S-1-5-21-2631262536-2657179427-4261163009-1001..\Run: [zvtgaemwvytyzle] D:\ProgramData\zvtgaemw.exe () :Files D:\ProgramData\uinoeruavtmbkhz D:\Users\Krochmal\isoavdpcopy.exe D:\ProgramData\xajfxwsfrkrcfih D:\Users\Krochmal\0.6254543658218938.exe D:\Windows\System32\onisruthbedaab.exe D:\Windows\System32\6ff9d8df.exe :Reg [HKEY_USERS\S-1-5-21-2631262536-2657179427-4261163009-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Contextual Tool Yourprofitclub / Akamai NetSession Interface Service / DAEMON Tools Toolbar / Funmoods on IE and Chrome / uTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto] -- -- (Windows Internet Name Service) SRV - File not found [Auto] -- -- (jcrzlpcjr) DRV - File not found [File_System | System] -- -- (vcdrom) DRV - File not found [Kernel | On_Demand] -- -- (qcserxp) DRV - File not found [Kernel | On_Demand] -- -- (EagleXNt) [2012/07/18 08:30:16 | 000,000,000 | ---D | M] (IMVU Inc) -- C:\Documents and Settings\Administrator\Dane aplikacji\mozilla\Firefox\Profiles\amm93s24.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} [2012/08/01 12:44:17 | 000,000,000 | ---D | M] (Icy Tower Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\mozilla\Firefox\Profiles\amm93s24.default\extensions\{ff65fdbc-5683-4dfd-9113-1fcb5b0a3447} [2012/05/01 12:09:11 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\amm93s24.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [adiras] File not found O4 - HKLM..\Run: [autoclk] File not found O4 - HKLM..\Run: [nsetvlzqpzucalk] C:\Documents and Settings\All Users\Dane aplikacji\nsetvlzq.exe (MiTAC) O4 - HKLM..\Run: [sweetpacks Communicator] File not found O4 - HKLM..\Run: [WOOTASKBARICON] File not found O4 - HKLM..\Run: [WOOWATCH] File not found O4 - HKU\Administrator_ON_C..\Run: [AdobeBridge] File not found O4 - HKU\Administrator_ON_C..\Run: [Akamai NetSession Interface] File not found O4 - HKU\Administrator_ON_C..\Run: [Dfnqnt] File not found O4 - HKU\Administrator_ON_C..\Run: [dueduf] File not found O4 - HKU\Administrator_ON_C..\Run: [nsetvlzqpzucalk] C:\Documents and Settings\All Users\Dane aplikacji\nsetvlzq.exe (MiTAC) O4 - HKU\Administrator_ON_C..\Run: [PlayNC Launcher] File not found O4 - HKLM..\RunOnce: [] File not found O9 - Extra Button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Administrator\Menu Start\Programy\IMVU\Run IMVU.lnk () :Files C:\Documents and Settings\Administrator\cuebud.exe C:\Documents and Settings\Administrator\zoazo.scr C:\Documents and Settings\Administrator\siuon.exe C:\Documents and Settings\All Users\Dane aplikacji\xtlkdylu.exe C:\Documents and Settings\All Users\Dane aplikacji\xqftvgkp.exe C:\Documents and Settings\All Users\Dane aplikacji\mfybdchypujblhf C:\Documents and Settings\All Users\Dane aplikacji\pxuwwhfdhlscgen C:\Documents and Settings\Administrator\0.7739706215455576.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

To wszystko. Temat uznaję za rozwiązany i zamykam.

To by było wszystko. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz IE, Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2438727" IE - HKU\S-1-5-21-3227068295-528142160-4193481640-1000\..\URLSearchHook: {90980889-669e-4bb9-9e4b-69563bf04375} - No CLSID value found IE - HKU\S-1-5-21-3227068295-528142160-4193481640-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2438727" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Beata\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKU\S-1-5-21-3227068295-528142160-4193481640-1000\..\Toolbar\WebBrowser: (no name) - {90980889-669E-4BB9-9E4B-69563BF04375} - No CLSID value found. O4 - HKLM..\Run: [jswtrayutil] "C:\Program Files\Jumpstart\jswtrayutil.exe" File not found O4 - HKLM..\Run: [svchost] c:\WINDOWS\svchost.exe File not found O4 - HKLM..\Run: [TaskTray] File not found O4 - HKLM..\Run: [WLanConn] C:\Users\Beata\AppData\Local\Microsoft\Windows\1822\WLanConn.exe File not found :Files C:\Users\Beata\AppData\Roaming\hellomoto C:\Users\Beata\AppData\Local\Microsoft\Windows\1822 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wprawdzie nie widze tu żadnych naruszeń, ale w razie czego zrób tak: Wklej do notatnika: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Sprawdź efekty.