Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winampsoftonic-chromesbox-en-us&tb_uuid=20111027192820257&tb_oid=27-10-2011&tb_mrud=27-10-2011&query=" [2011-10-27 21:28:29 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Users\Mateusz\AppData\Roaming\mozilla\Firefox\Profiles\vvimrseh.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2011-10-27 21:44:21 | 000,002,373 | ---- | M] () -- C:\Users\Mateusz\AppData\Roaming\Mozilla\Firefox\Profiles\vvimrseh.default\searchplugins\winamp-web-search.xml O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll File not found O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O4 - HKU\S-1-5-21-2989834462-1628505131-4018254863-1000..\Run: [osahnlilkpwtwco] C:\ProgramData\osahnlil.exe () :Files C:\ProgramData\jjupvcqpkkpshcj C:\ProgramData\mbqgodougbutczr C:\Users\Mateusz\0.03441334419109665.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar v6.2 / Deinstalator Strony V9 / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java 6 Update 25 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Po to, że tam siedzą często kopie szkodników.

Teraz pliki są lepsze ale nie do końca dobre bo sam widzisz, że jakieś pytajniki na końcu każdej linijki wyszły. I tak jest też na twojej miniaturze także to jakiś problem u Ciebie. Usuwam je tu gdzie potrzebuje, ale to jest dodatkowa robota. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=102866&gct=hp" IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=ca0b745e000000000000761a04f9baf5" IE - HKCU\..\SearchScopes\{2DCFA9B9-8CE4-49C9-8B9B-81193A42273E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=53654989-0d5b-4df9-9139-f909baa94b1f&apn_sauid=011B58A4-C0B3-471B-8389-194E6E7CC882" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406" FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&appid=102&systemid=406&sr=0&q=" [2011/11/15 15:19:18 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\jasiek\AppData\Roaming\mozilla\Firefox\Profiles\ewy7hkxs.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012/07/05 17:10:33 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\jasiek\AppData\Roaming\mozilla\Firefox\Profiles\ewy7hkxs.default\extensions\DTToolbar@toolbarnet.com [2012/01/03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\jasiek\AppData\Roaming\Mozilla\Firefox\Profiles\ewy7hkxs.default\searchplugins\askcom.xml [2011/03/12 09:12:43 | 000,002,059 | ---- | M] () -- C:\Users\jasiek\AppData\Roaming\Mozilla\Firefox\Profiles\ewy7hkxs.default\searchplugins\daemon-search.xml O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DealPly / uTorrentBar Toolbar / Winamp Toolbar / Searchqu Toolbar / DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety oprócz "Ukash" to jest też ZeroAccess a więc infekcja znacznie gorsza. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f6b08889-81aa-11e1-be6b-000000000000" IE - HKLM\..\SearchScopes\{97C325C1-C050-41D9-B773-15288EE6693E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f6b08889-81aa-11e1-be6b-000000000000&q={searchTerms}" IE - HKU\S-1-5-21-3524367830-1120645207-1804313674-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=f6b08889-81aa-11e1-be6b-000000000000" IE - HKU\S-1-5-21-3524367830-1120645207-1804313674-1003\..\SearchScopes\{97C325C1-C050-41D9-B773-15288EE6693E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f6b08889-81aa-11e1-be6b-000000000000&q={searchTerms}" O4 - HKU\S-1-5-21-3524367830-1120645207-1804313674-1003..\Run: [TapiSysprep] C:\Users\Acer\AppData\Local\Microsoft\Windows\1363\TapiSysprep.exe () :Files C:\Users\Acer\AppData\Roaming\hellomoto C:\Users\Acer\AppData\Local\Microsoft\Windows\1363 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=1af166cd-60b9-11e1-a615-6cf0490074ff" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=1af166cd-60b9-11e1-a615-6cf0490074ff&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=220512_53all&babsrc=HP_ss&mntrId=888dd97b0000000000006cf0490074ff" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=220512_53all&babsrc=SP_ss&mntrId=888dd97b0000000000006cf0490074ff" IE - HKCU\..\SearchScopes\{10628CC1-E32F-4584-8D5D-CA5BB7CA66D2}: "URL" = "http://searchya.com/?chnl=tst-215&s=1&cr=1564447541&cd=2XzutAtN2Y1L1QzuyC0C0FtDyEzytDtDyByE0F0F0DzyyB0BtN0D0TzutBtDtCtBtDyEtDzy&q={searchTerms}" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=1af166cd-60b9-11e1-a615-6cf0490074ff&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://searchya.com" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112555&tt=220512_53all&babsrc=KW_ss&mntrId=888dd97b0000000000006cf0490074ff&q=" [2012-04-09 14:18:18 | 000,001,496 | ---- | M] () -- C:\Users\ja\AppData\Roaming\Mozilla\Firefox\Profiles\5yb89bly.default\searchplugins\searchya.xml [2012-02-26 22:33:29 | 000,000,792 | ---- | M] () -- C:\Users\ja\AppData\Roaming\Mozilla\Firefox\Profiles\5yb89bly.default\searchplugins\startsear.xml [2012-05-27 16:28:29 | 000,002,355 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Files C:\ProgramData\zak_lo0i7g.pad C:\Users\ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / DealPly / BabylonObjectInstaller / Babylon toolbar on IE / LiveVDO plugin 1.3 / SearchYa Toolbar on IE and Chrome Otwórz Firefox i w Dodatkach odmontuj: Complitly / DealPly / searchya.com Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly plugin for chrome / DealPly / LiveVDO plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [cfFncEnabler.exe] cfFncEnabler.exe File not found O4 - HKU\S-1-5-21-217439865-1502298837-973240374-1000..\Run: [bOS] C:\BOS\bos.exe () :Files C:\BOS :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tu jeszcze nie koniec. Odtworzył się klucz infekcji, w pierwszym logu z SystemLook go nie było więc między czasie musiał się pojawić. Start > Uruchom > cmd i wpisz: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Do oceny nowy log z SystemLook.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL8192cu.sys -- (RTL8192cu) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Nowy folder\Garena Plus\Room\safedrv.sys -- (GGSAFERDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STC-PO&o=1738&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^AAU&apn_dtid=^YYYYYY^YY^PL&apn_uid=E8606496-7746-46B3-B849-41E3FD837330&apn_sauid=3C3A1E48-629B-4349-BF74-33F413383416" IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = "http://blekko.com/?source=c3348dd4&tbp=rbox&toolbarid=blekkotb&u=20120203916E434DBC9B203B86DB7255&q={searchTerms}" IE - HKU\S-1-5-21-1960408961-1383384898-839522115-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110819&tt=171011_prot~171011_prot&babsrc=HP_ss&mntrId=28b9199e0000000000001c6f654d08fb" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=" [2012-05-28 15:48:25 | 000,002,337 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sosr5ub5.default\searchplugins\askcom.xml [2012-01-11 12:47:26 | 000,000,925 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sosr5ub5.default\searchplugins\conduit.xml [2012-05-13 12:38:23 | 000,002,366 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [fmfevlmazydplll] C:\Documents and Settings\All Users\Dane aplikacji\fmfevlma.exe () O4 - HKU\S-1-5-21-1960408961-1383384898-839522115-500..\Run: [fmfevlmazydplll] C:\Documents and Settings\All Users\Dane aplikacji\fmfevlma.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\adzmdyuiztsoslk C:\Documents and Settings\All Users\Dane aplikacji\hvvdwdsnrkbpris C:\Documents and Settings\Administrator\0.8825684527032132.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Softonic Toolbar / Babylon toolbar on IE / Spam Free Search Bar / uTorrentBar Toolbar / Softonic Toolbar Updater / Yontoo Otwórz Firefox i w Dodatkach odmontuj: Spam Free Search Bar / uTorrentBar Community Toolbar / Babylon / Yontoo / Softonic Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jeszcze jeden skrypt poprawkowy wykonasz: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-03-28 01:10:43 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Michał Nowak\Dane aplikacji\Mozilla\Firefox\Profiles\iqz6bl7j.default\extensions\vshare@toolbar FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.order.1: "Crawler Search" FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" O4 - HKU\S-1-5-21-951529731-1101588383-4171975016-1005..\Run: [ituref] C:\Documents and Settings\Michał Nowak\Dane aplikacji\Adcihi\neivi.exe (Epson) [2012-07-30 11:20:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michał Nowak\Menu Start\Programy\Live Security Platinum [2012-07-30 11:17:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michał Nowak\Dane aplikacji\Voug [2012-07-30 11:17:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michał Nowak\Dane aplikacji\Haluuf [2012-07-30 11:17:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michał Nowak\Dane aplikacji\Adcihi [2012-07-30 12:00:12 | 000,407,872 | ---- | M] () -- C:\Documents and Settings\Michał Nowak\Pulpit\iexplore.exe [2012-07-30 11:20:07 | 000,002,248 | ---- | M] () -- C:\Documents and Settings\Michał Nowak\Pulpit\Live Security Platinum.lnk :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z OTL

Tu jeszcze nie koniec. Wykonaj poniższe zalecenia: 1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MICHA~1\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MICHA~1\AppData\Local\Temp\catchme.sys -- (catchme) :Files C:\Users\Michał\AppData\Local\6ef8d2f6 C:\Users\Michał\AppData\Local\{6055f3f8-f5a9-a6fd-46b0-f982e164a92a} C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Wszystko poprawnie wykonane. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi źle wklejone. Sam sobie otwórz i zobacz jak to wygląda. Totalna sieczka... Popraw to wszystko abym mógł coś z tego odczytać.

Wiem, że nic sie nie zmieniło bo to są kroki poboczne. Jak wszystko posprzątam to będziemy myśleć dalej. Tak czy inaczej to nie jest wina infekcji. Jeszcze jeden skrypt przepuść: :OTL [2011-07-14 11:45:48 | 000,331,776 | ---- | C] (Created with WinAutomation (http: //www.WinAutomation.com)) -- C:\Documents and Settings\All Users\winloqon.exe :Commands [reboot] Klik w Wykonaj skrypt, restart i kontrolnie nowy log.

W takim wypadku wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts5161ccid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (Rts516xIR) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTS5121.sys -- (RSUSBSTOR) O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [varotwpmdqvnbmu] C:\Documents and Settings\All Users\Dane aplikacji\varotwpm.exe () O4 - HKCU..\Run: [varotwpmdqvnbmu] C:\Documents and Settings\All Users\Dane aplikacji\varotwpm.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\qnlwbjxudlomiit C:\Documents and Settings\All Users\Dane aplikacji\eyiqlatx.exe C:\Documents and Settings\All Users\Dane aplikacji\bggfniuz.exe C:\Documents and Settings\All Users\Dane aplikacji\xfhnqovzzcxrhfb C:\Documents and Settings\pc\ms.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.phpnuke.org/?lang=en&q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.phpnuke.org/?lang=en" IE - HKLM\..\SearchScopes\{0AC87C9B-5E22-4FA9-A98D-A25541A72A1E}: "URL" = "http://search.phpnuke.org/?lang=en&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.phpnuke.org/?lang=en&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2269050" IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found IE - HKCU\..\SearchScopes\{0AC87C9B-5E22-4FA9-A98D-A25541A72A1E}: "URL" = "http://search.phpnuke.org/?lang=en&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" [2012/07/18 08:49:34 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\jia5z1jw.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012/07/16 10:49:36 | 000,000,000 | ---D | M] (DVDVideoSoftTB) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\jia5z1jw.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2012/02/26 08:09:31 | 000,000,000 | ---D | M] (PriceGong) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\jia5z1jw.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012/02/26 08:09:28 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Users\Magda\AppData\Roaming\mozilla\Firefox\Profiles\jia5z1jw.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O4 - HKCU..\RunOnce: [7531CC9200505F32207603F64F147CE7] C:\ProgramData\7531CC9200505F32207603F64F147CE7\7531CC9200505F32207603F64F147CE7.exe () :Files C:\ProgramData\7531CC9200505F32207603F64F147CE7 C:\Windows\Installer\{f6463ed5-56b8-9e8a-cfea-6766bc3cf3a7} C:\Users\Magda\AppData\Local\{f6463ed5-56b8-9e8a-cfea-6766bc3cf3a7} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: BS Player Toolbar / PriceGong 2.5.4 / SweetPacks Toolbar for Internet Explorer 4.4 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=e2da555f-1d77-11e1-bafe-88ae1d35b6d2" IE - HKU\S-1-5-21-2960922312-2165740541-3830507596-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=e2da555f-1d77-11e1-bafe-88ae1d35b6d2" IE - HKU\S-1-5-21-2960922312-2165740541-3830507596-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=e2da555f-1d77-11e1-bafe-88ae1d35b6d2&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" [2011-10-11 21:03:34 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Lyczman\AppData\Roaming\mozilla\Firefox\Profiles\3dk7n9xl.default\extensions\welcome@toolmin.com [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Lyczman\AppData\Roaming\Mozilla\Firefox\Profiles\3dk7n9xl.default\searchplugins\startsear.xml [2011-08-19 14:14:53 | 000,001,565 | ---- | M] () -- C:\Users\Lyczman\AppData\Roaming\Mozilla\Firefox\Profiles\3dk7n9xl.default\searchplugins\web-search.xml [2012-04-26 17:14:39 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{a7151853-303e-b723-537f-4cb4e52f1ab4} [2011-10-11 21:03:34 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2960922312-2165740541-3830507596-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-2960922312-2165740541-3830507596-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O4 - HKU\S-1-5-21-2960922312-2165740541-3830507596-1001..\Run: [dvegjeqdvprcacv] C:\ProgramData\dvegjeqd.exe () O4 - HKU\S-1-5-21-2960922312-2165740541-3830507596-1001..\Run: [Polar Sync] File not found :Files C:\ProgramData\ciykrvylvkkbhyu C:\ProgramData\faqfgaaqnbtggzc C:\Users\Lyczman\0.7884541073173533.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / Contextual Tool Extrafind / toolplugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=84827e0f-2367-11e1-8e8a-00037a9fcf25" IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=84827e0f-2367-11e1-8e8a-00037a9fcf25&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-681558959-719117596-3243824261-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=84827e0f-2367-11e1-8e8a-00037a9fcf25" IE - HKU\S-1-5-21-681558959-719117596-3243824261-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=84827e0f-2367-11e1-8e8a-00037a9fcf25&q={searchTerms}" IE - HKU\S-1-5-21-681558959-719117596-3243824261-1000\..\SearchScopes\{4F11ACBB-393F-4c86-A214-FF3D0D155CC3}: "URL" = "http://search.burn4free-toolbar.com/search?p=Q&ts=ne&w={searchTerms}&csrc=search-field" IE - HKU\S-1-5-21-681558959-719117596-3243824261-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-681558959-719117596-3243824261-1000\..\SearchScopes\{E5A3C2E1-03B7-4F04-A576-890F3E727EFE}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=4F5C33E4-D42E-4C25-A423-F5B1EEA11A71&apn_sauid=49FEA6BA-17A8-47E5-8A9D-7E97645FD016" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaulturl: "http://flvdirect.iamwired.net/websearch.php?src=tops&search=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=84827e0f-2367-11e1-8e8a-00037a9fcf25&q=" [2012-07-16 12:50:45 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\buh\AppData\Roaming\mozilla [2011-04-10 17:42:07 | 000,002,568 | ---- | M] () -- C:\Users\buh\AppData\Roaming\Mozilla\Firefox\Profiles\cs348hsk.default\searchplugins\askcom.xml [2010-05-08 08:53:48 | 000,000,903 | ---- | M] () -- C:\Users\buh\AppData\Roaming\Mozilla\Firefox\Profiles\cs348hsk.default\searchplugins\conduit.xml [2010-05-08 15:31:37 | 000,000,266 | ---- | M] () -- C:\Users\buh\AppData\Roaming\Mozilla\Firefox\Profiles\cs348hsk.default\searchplugins\Search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\buh\AppData\Roaming\Mozilla\Firefox\Profiles\cs348hsk.default\searchplugins\startsear.xml O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [yrdiiyygjotonfk] C:\ProgramData\yrdiiyyg.exe () O4 - HKU\S-1-5-21-681558959-719117596-3243824261-1000..\Run: [wsctf.exe] wsctf.exe File not found O4 - HKU\S-1-5-21-681558959-719117596-3243824261-1000..\Run: [yrdiiyygjotonfk] C:\ProgramData\yrdiiyyg.exe () :Files [override] C:\WINDOWS\system32\EXPLORER.EXE [stopoverride] C:\ProgramData\texqqlgojjmnybf C:\ProgramData\awphjqetbwrotcn C:\Users\buh\0.048393077655586314.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Burn4Free Toolbar /DAEMON Tools Toolbar / LiveVDO plugin 1.3 / uTorrentControl2 Toolbar / Vuze_Remote Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=96702855-d9b2-11e1-8015-001e101f8c05" IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d8a6c34d000000000000001e101f3976&tlver=1.4.19.19&affID=17160" IE - HKU\marcin_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=96702855-d9b2-11e1-8015-001e101f8c05" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=96702855-d9b2-11e1-8015-001e101f8c05&q=" [2012/07/31 04:39:40 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\marcin\Dane aplikacji\mozilla\Firefox\Profiles\ds6acfcn.default\extensions\ffxtlbr@babylon.com [2010/12/18 08:24:28 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Documents and Settings\marcin\Dane aplikacji\mozilla\Firefox\Profiles\ds6acfcn.default\extensions\support@predictad.com [2009/11/29 17:40:58 | 000,009,941 | ---- | M] () -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\ds6acfcn.default\searchplugins\mywebsearch.xml [2012/07/29 15:21:33 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\marcin\Dane aplikacji\Mozilla\Firefox\Profiles\ds6acfcn.default\searchplugins\startsear.xml [2010/11/11 18:57:52 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{cc1ae448-f9e7-a539-708c-0815a4d42d70} [2011/06/07 14:53:18 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [outvpteesokuqny] C:\Documents and Settings\All Users\Dane aplikacji\outvptee.exe () O4 - HKU\marcin_ON_C..\Run: [outvpteesokuqny] C:\Documents and Settings\All Users\Dane aplikacji\outvptee.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\nhndxgmmsjdtxjx C:\Documents and Settings\All Users\Dane aplikacji\qzjuqlkroaiusgf C:\Documents and Settings\marcin\ms.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: AutoCompletePro / free-downloads.net Toolbar / StartSearchToolBar / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

W takim razie wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Firefoxa do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.