Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1713045616-2469930958-1879489668-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=15627" IE - HKU\S-1-5-21-1713045616-2469930958-1879489668-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=15627&q=" [2010-11-12 20:03:57 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-1713045616-2469930958-1879489668-1000..\Run: [pylheffgqadkqvy] C:\ProgramData\pylheffg.exe () :Files C:\ProgramData\klfpmwnoqvwjbrt C:\ProgramData\ndbgbbltmmfkwob :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (Nero Toolbar) 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=bnd" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=bnd" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=4770cf18-421d-11e1-a49e-f6e159c3a8bd&q={searchTerms}" IE - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=bnd" IE - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110000&tt=100512_4_&babsrc=HP_ss&mntrId=bca171a300000000000000242bc59b9c" IE - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110000&tt=100512_4_&babsrc=SP_ss&mntrId=bca171a300000000000000242bc59b9c" IE - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=4770cf18-421d-11e1-a49e-f6e159c3a8bd&q={searchTerms}" IE - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110000&tt=100512_4_&babsrc=HP_ss&mntrId=bca171a300000000000000242bc59b9c" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110000&tt=100512_4_&babsrc=KW_ss&mntrId=bca171a300000000000000242bc59b9c&q=" [2012-05-15 09:38:49 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Milka\AppData\Roaming\mozilla\Firefox\Profiles\yqyxa1gu.default\extensions\ffxtlbr@babylon.com [2012-01-18 23:42:28 | 000,000,792 | ---- | M] () -- C:\Users\Milka\AppData\Roaming\Mozilla\Firefox\Profiles\yqyxa1gu.default\searchplugins\startsear.xml [2012-05-15 09:38:45 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-05-01 21:25:07 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. F3 - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000 WinNT: Load - (C:\Windows\inf\Other.exe) - File not found F3 - HKU\S-1-5-21-1532760675-3050612240-3899385916-1000 WinNT: Run - (C:\Windows\system32\config\Win.exe) - File not found :Reg [HKEY_USERS\S-1-5-21-1532760675-3050612240-3899385916-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartSearchToolBar / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wejdź w tryb awaryjny z obsługą sieci i wtedy wykonaj logi. W tym trybie nie ma blokady.

"Funkcja Zasobów systemu Windows nie znalazła naruszeń integralności." ten komunikat mówi sam za siebie, nawet nie trzeba loga w takim razie bo nic tam nie będzie ciekawego. A weź jeszcze teraz usuń ten klucz SystemRestore co go dodałeś: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore Start > w polu szukania wpisz uruchom > regedit i z prawokliku usuwasz to co wyżej na czerwono. Zresetuj i sprawdź. Na razie to tyle ode mnie, a sprawę muszę skonsultować z @picasso. Może ona coś wymyśli. Wtedy się odezwę.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=5da406dc-33bf-11e1-b62c-0026224aaf76" IE - HKU\S-1-5-21-3030423872-3512577416-2658744649-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=5da406dc-33bf-11e1-b62c-0026224aaf76&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=5da406dc-33bf-11e1-b62c-0026224aaf76" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=5da406dc-33bf-11e1-b62c-0026224aaf76&q=" [2011-12-31 16:55:04 | 000,000,792 | ---- | M] () -- C:\Users\Toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\4eos9c3r.default\searchplugins\startsear.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKU\S-1-5-21-3030423872-3512577416-2658744649-1000..\Run: [{5AA855C6-872A-AD7E-73F2-8896422AAB8B}] C:\Users\Toshiba\AppData\Roaming\Vyxy\uqjad.exe File not found O4 - HKU\S-1-5-21-3030423872-3512577416-2658744649-1000..\Run: [g7k] C:\Users\Toshiba\g7k.exe File not found O4 - HKU\S-1-5-21-3030423872-3512577416-2658744649-1000..\Run: [pnyktppytfyfmrl] C:\ProgramData\pnyktppy.exe () :Files C:\ProgramData\kasobgxgtarexnk C:\ProgramData\rskjulvllrwfsks C:\Users\Toshiba\0.3187098568893736.exe C:\Users\Toshiba\AppData\Roaming\Vyxy C:\Users\Toshiba\AppData\Roaming\Yqebu C:\Users\Toshiba\AppData\Roaming\Zyymyh C:\Users\Toshiba\AppData\Local\Temp*.html C:\Users\Toshiba\AppData\Roaming\xaadzychm1u21sinl1oinpvimngpelii2 C:\Users\Toshiba\AppData\Roaming\xbkw2ndifeutbhqoryuqwhybqeir2owt2 C:\Users\Toshiba\AppData\Roaming\xblhklthces3oksy1wggswedr3srwuxb2 C:\Users\Toshiba\AppData\Roaming\xqqqjzovewtdbb31y2kooqonsxfqmuqs2 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [WPDShextAutoplay] C:\Documents and Settings\t.janik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3516\WPDShextAutoplay.exe () :Files C:\Program Files\v9Soft C:\Program Files\Application Updater C:\Program Files\Common Files\Spigot C:\Program Files\pdfforge Toolbar C:\Documents and Settings\t.janik\Dane aplikacji\hellomoto C:\Documents and Settings\t.janik\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3516 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Usunął infekcje Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111304&tt=3012_3&babsrc=HP_ss&mntrId=64aea092000000000000002622634bb8" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111304&tt=3012_3&babsrc=SP_ss&mntrId=64aea092000000000000002622634bb8" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=64aea092000000000000002622634bb8&tlver=1.5.29.1&instlRef=sst&babTrack&q=" [2012-07-26 13:28:26 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\htgvbups.default\extensions\ffxtlbr@babylon.com [2012-06-08 09:48:30 | 000,000,000 | ---D | M] (ZiggyTV Toolbar) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\htgvbups.default\extensions\toolbar@ask.com [2012-07-26 11:59:30 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found O4 - HKCU..\Run: [TimeDateMUICallback] C:\Users\Michał\AppData\Local\Microsoft\Windows\4755\TimeDateMUICallback.exe () O4 - HKCU..\RunOnce: [036DFF8502DA3935DCC907056C44B161] C:\ProgramData\036DFF8502DA3935DCC907056C44B161\036DFF8502DA3935DCC907056C44B161.exe () :Files C:\Users\Michał\AppData\Roaming\hellomoto C:\Users\Michał\AppData\Local\Microsoft\Windows\4755 C:\ProgramData\036DFF8502DA3935DCC907056C44B161 C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DealPly / ZiggyTV Toolbar Updater / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usuniętą. Wykonaj czynności końcowe: Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave i Adobe Readera do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Może uruchom po prostu systemowe oczyszczanie dysku i ten folder powinien zniknąć.

Infekcji nie masz więc tylko drobnostki na koniec wyknaj. 1. Wklej do OTL skrypt kosmetyczny: :OTL SRV - File not found [On_Demand | Stopped] -- -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\OlyCamComm.sys -- (OlyCamComm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5) DRV - File not found [Kernel | Boot | Running] -- system32\drivers\mfehidk.sys -- (mfehidk) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\mfeapfk.sys -- (mfeapfk) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv) O2 - BHO: (no name) - {2709D830-B643-4e72-9A1E-701CFFFCF30C} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Potwierdzam wykonanie zadania. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112060&tt=280612_7_&babsrc=SP_ss&mntrId=8cc990bc000000000000e839df59b146" IE - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000\..\SearchScopes\{D75F2E05-F4FF-4C4D-A648-2832FD26D845}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=crm&q={searchTerms}&locale=&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=c7f0f1d5-1e50-4ef9-9b88-aeb70a3267a9&apn_sauid=4BA1C982-E787-477F-923E-8AF825820BEC" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Windows Login access] C:\Users\Michał\AppData\Roaming\web2net.exe () O4 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000..\Run: [lumouuv] C:\Users\Michał\AppData\Local\kixfce.exe () O4 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000..\Run: [Microsoft Windows System] C:\Users\Michał\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-2092716530-3474641769-2676177707-1000..\RunOnce: [036DFF8502DA393502E45FBEF875F020] C:\ProgramData\036DFF8502DA393502E45FBEF875F020\036DFF8502DA393502E45FBEF875F020.exe () O4 - Startup: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ivowp.exe () :Files C:\Users\Michał\P-7-78-8964-9648-3874 C:\ProgramData\036DFF8502DA393502E45FBEF875F020 C:\Users\Michał\Desktop\Live Security Platinum.lnk C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_USERS\S-1-5-21-2092716530-3474641769-2676177707-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Nie bł przyczyną, ale to szkodliwa wtyczka i przy okazji ją usuwałem. Infekcje też masz posprzątaną. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wejdź w tryb awaryjny obsługą sieci i wykonaj raporty z OTL

Przyznam szczerze, że nie wiem. Nie jesteś jedyny z tym problemem bo już tu było parę takich użytkowników, którzy mówili nam to samo mimo, że żadnych blokad na Przywracanie systemu tu nigdzie nie widać. Nawet nie mam czasu za bardzo aby coś pomyśleć, poszukać bo widzisz co tu w dziale się dzieje, ile jest roboty z infekcjami. Spróbuj jeszcze tego. 1. Wklej w notatnik ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore] "DisableSR"=0 Zapis plik jako FIX.REG i zaimportuj do rejestru. Zrestartuj system i sprawdź efekty. 2. Jesli to pierwsze nie pomoże - Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow. Jeśli zwrot będzie równy "wykryto naruszenia", za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

Przyznam, że nie mam pojęcia dlaczego tak się dzieje. Według logów wszystko jest w porządku więc problem musi sprawiać coś co ładuje się w normalnym trybie. Może jeszcze zrób tak. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

1. Start > uruchom > cmd i wklep kolejno te dwa polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\6F63A59D16E5A1C5F99EA02A81CB3EF3 C:\WINDOWS\Installer\{1f3577a0-d8e2-00cf-6dba-b839398f159d} C:\Documents and Settings\Danusia\Ustawienia lokalne\Dane aplikacji\{1f3577a0-d8e2-00cf-6dba-b839398f159d} :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

Wygląda, ze usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0BtB0CtBtN0D0TzutBtDtCtBtDyBtCyC&cr=291867371" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0BtB0CtBtN0D0TzutBtDtCtBtDyBtCyC&cr=291867371" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331480608_209646 IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://domredi.com/1/" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0BtB0CtBtN0D0TzutBtDtCtBtDyBtCyC&cr=291867371" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{705FF913-2DDC-A264-3609-4FB18621B161}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_1&babsrc=SP_ss&mntrId=2cfcb2c20000000000000021868dea4a" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{871756B3-BA23-41DB-86CB-B6A11E38BEB6}: "URL" = "http://searchya.com/?chnl=ft-100&s=1&cr=1438750255&cd=2XzutAtN2Y1L1QzutDtDtBtByCyEyE0F0DyBtA0F0C0BtB0CtBtN0D0TzutBtDtCtBtDtBtCyD&q={searchTerms}" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{B8C27983-EBFF-4A45-B5B6-3E7845300E39}: "URL" = "http://search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\..\SearchScopes\{CA51811D-303C-4425-AD5E-23E818608B66}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-07-16 12:26:55 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Dominika\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000..\Run: [Microsoft Windows System] C:\Users\Dominika\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000..\Run: [rnqbigl] C:\Users\Dominika\AppData\Local\pbdrqp.exe () O4 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000..\RunOnce: [036DFF98D1FD0B1CBDCFC7B54F147C45] C:\ProgramData\036DFF98D1FD0B1CBDCFC7B54F147C45\036DFF98D1FD0B1CBDCFC7B54F147C45.exe () O4 - Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\oosjd.exe () O7 - HKU\S-1-5-21-2458192924-3183275798-2894475082-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\Dominika\P-7-78-8964-9648-3874 C:\ProgramData\036DFF98D1FD0B1CBDCFC7B54F147C45 C:\ProgramData\F4D55F3E0024EFA00A2B0DFFA6014588 C:\Users\Dominika\Desktop\Live Security Platinum.lnk C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{705FF913-2DDC-A264-3609-4FB18621B161}" "Backup.Old.DefaultScope"=- [HKEY_USERS\S-1-5-21-2458192924-3183275798-2894475082-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{705FF913-2DDC-A264-3609-4FB18621B161}" "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar / Giant Savings / SearchYa Toolbar on IE and Chrome / Softonic toolbar on IE and Chrome / uTorrentControl2 Toolbar / FoxTab PDF Reader / Funmoods Web Search / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 25 "{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. W kwestii tego ekranu z wyborem systemu, otwórz plik boot.ini na dysku C:\ w notatniku i przeklej mi jego zawartość. Plik jest ukryty + systemowy a więc musisz przestawić opcje widoku w panelu sterowania aby go zobaczyć.

Kolego nie rób mi tu bydła i nie zakładaj podwójnych tematów. Czekaj cierpliwie na pomoc. Podwojony temat usuwam. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" [2012/02/04 22:40:54 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\BOSS\AppData\Roaming\mozilla\Firefox\Profiles\6szu2e02.default\extensions\DTToolbar@toolbarnet.com [2012/01/14 01:54:33 | 000,000,000 | ---D | M] (Yontoo Layers) -- C:\Users\BOSS\AppData\Roaming\mozilla\Firefox\Profiles\6szu2e02.default\extensions\plugin@yontoo.com [2012/01/14 21:13:40 | 000,002,055 | ---- | M] () -- C:\Users\BOSS\AppData\Roaming\Mozilla\Firefox\Profiles\6szu2e02.default\searchplugins\daemon-search.xml [2011/08/17 20:27:26 | 000,001,565 | ---- | M] () -- C:\Users\BOSS\AppData\Roaming\Mozilla\Firefox\Profiles\6szu2e02.default\searchplugins\web-search.xml O4 - HKLM..\Run: [HP Connection Manager.exe] File not found O4 - HKCU..\Run: [tveoodsbytkllgk] C:\ProgramData\tveoodsb.exe () :Files C:\ProgramData\oiywwuefyodkwgf C:\ProgramData\vaunpzckufmlrdn C:\Users\BOSS\0.7355198295639188.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Przyspiesz Komputer - Kompletna deinstalacja / Yontoo 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)