Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\tom\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-112787296-2910067541-2081140210-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120214&user_guid=4237D9685CA04357A1E8F20AF3CC164B&machine_id=b0e28af29bc156d84a5f666d023d0cd5&browser=IE&os=win&os_version=6.1-x86-SP0&iesrc={referrer:source}" :Files C:\ProgramData\rrfgwpagqugzfdl C:\ProgramData\6C82ED4C000171485E9331AC4F147C45 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Proszę zrobić logi z konta na którym jest problem. Możesz to zrobić z trybu awaryjnego.

Tak wygląda, ale log pokazuje, że zapora nie jest uruchomiona, czy ona się uruchamia czy jest problem?

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\666\USTAWI~1\Temp\SAS_SelfExtract\SASKUTIL.SYS -- (SASKUTIL) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\666\USTAWI~1\Temp\SAS_SelfExtract\SASDIFSV.SYS -- (SASDIFSV) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1336143312_816054 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/pbr/pbr_1336143312_816054 IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669" IE - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={AB53161A-778C-48BA-AE83-BFC4C44F226D}" FF - prefs.js..browser.search.defaultthis.engineName: "IMVU Inc Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2612669&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2011-09-10 21:47:49 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Documents and Settings\666\Dane aplikacji\Mozilla\Firefox\Profiles\tiaxqups.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} [2011-05-25 16:15:24 | 000,000,919 | ---- | M] () -- C:\Documents and Settings\666\Dane aplikacji\Mozilla\Firefox\Profiles\tiaxqups.default\searchplugins\conduit.xml [2012-05-04 18:42:32 | 000,004,030 | ---- | M] () -- C:\Documents and Settings\666\Dane aplikacji\Mozilla\Firefox\Profiles\tiaxqups.default\searchplugins\sweetim.xml O3 - HKU\S-1-5-21-1123561945-1935655697-839522115-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [gslbckqgxhrckpi] C:\Documents and Settings\All Users\Dane aplikacji\gslbckqg.exe (HEC Compucase) O4 - HKU\S-1-5-21-1123561945-1935655697-839522115-1003..\Run: [gslbckqgxhrckpi] C:\Documents and Settings\All Users\Dane aplikacji\gslbckqg.exe (HEC Compucase) :Files C:\Documents and Settings\666\autorun.inf :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-21-1123561945-1935655697-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Tak potwierdzam, infekcja usunięta. Przejdź do kroków końcowych: 1. Wklej do OTL skrypt poprawkowy: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\AVG\AVG9\avgemc.exe -- (avg9emc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY) O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-3847399528-368483531-3802800962-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2012-07-31 08:18:06 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-31 [2012-07-30 16:39:44 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Local\Bron.tok-10-30 Klik w Wykonaj skrypt. Logó nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.6001.19120) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie wiem co niby robiłeś ale tu dalej jest infekcja "Ukash" i śmieci sponsoringowe. Poza tym co to niby za skrypt? To nie pod twój system. Dla każdego systemu skrypt wygląda zupełnie inaczej. I u Ciebie jest całkowicie inna wersja "Ukash", która tworzy inne obiekty i gdzie indziej na dysku. Jednak usuwanie rozpocznę jak poprawisz te logi bo są zrobione na złych ustawieniach. Raz jeszcze to wykonasz - ustaw wszystkie opcje w OTL na "Użyj filtrowania" oraz zaptaszkuj opcję "Pomiń pliki Microsoftu"

No log nadal pokazuje, że te dwie usługi MpSvc oraz SharedAccess są nie uruchomione. Masz to robić osobno. I sprawdźczy działa zapora jak wykonasz i zrestartujesz system.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" IE - HKU\S-1-5-21-3428491820-1856240409-2281755661-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640" O4:64bit: - HKLM..\Run: [apiliz] C:\Users\Leon\AppData\Roaming\apiliz.dll (C-Media Electronics Inc.) O4:64bit: - HKLM..\Run: [dsdomc] C:\Users\Leon\AppData\Local\Temp\dsdomc.dll (Info-ZIP) O4:64bit: - HKLM..\Run: [mapiev] C:\Users\Leon\AppData\Roaming\mapiev.dll (Crytek) O4 - HKLM..\Run: [Conime] %windir%\system32\conime.exe File not found O4 - HKU\S-1-5-21-3428491820-1856240409-2281755661-1000..\RunOnce: [7531E8D90008E26602AF4F36F875EF60] C:\ProgramData\7531E8D90008E26602AF4F36F875EF60\7531E8D90008E26602AF4F36F875EF60.exe () :Files C:\Windows\Installer\{2356cfa1-f828-4c2a-2bec-7f05c7c07dc3} C:\Users\Leon\AppData\Local\{2356cfa1-f828-4c2a-2bec-7f05c7c07dc3} C:\Windows\SysNative\%APPDATA% C:\Users\Leon\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531E8D90008E26602AF4F36F875EF60 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: free-downloads.net Toolbar / Live Security Platinum 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Patryk\AppData\Local\Temp\kwkdquob.sys -- (kwkdquob) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Patryk\Desktop\M2Fish 3.0.9\Injector 32 bit\injectDLL.sys -- (injectDLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\copucuns.sys -- (copucuns) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=6dbd28c6-6534-11e1-a599-00269e391b6c" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{48C04F74-F815-4583-AB71-E444CE50F883}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=6dbd28c6-6534-11e1-a599-00269e391b6c&q={searchTerms}" IE - HKU\S-1-5-21-3760765578-720751265-3070023684-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=6dbd28c6-6534-11e1-a599-00269e391b6c" IE - HKU\S-1-5-21-3760765578-720751265-3070023684-1001\..\URLSearchHook: {CA3EB689-8F09-4026-AA10-B9534C691CE0} - SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}\InprocServer32 File not found IE - HKU\S-1-5-21-3760765578-720751265-3070023684-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3760765578-720751265-3070023684-1001\..\SearchScopes\{48C04F74-F815-4583-AB71-E444CE50F883}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=6dbd28c6-6534-11e1-a599-00269e391b6c&q={searchTerms}" IE - HKU\S-1-5-21-3760765578-720751265-3070023684-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:5.1 FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:5.1 FF - prefs.js..extensions.enabledItems: ffxtlbr@Facemoods.com:1.2.1 [2012-03-03 15:26:17 | 000,000,792 | ---- | M] () -- C:\Users\Patryk\AppData\Roaming\Mozilla\Firefox\Profiles\oca4prz2.default\searchplugins\startsear.xml [2011-04-05 22:43:28 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Program Files\facemoods.com\facemoods\1.4.17.6\bh\facemoods.dll File not found O2 - BHO: (SMTTB2009 Class) - {FCBCCB87-9224-4B8D-B117-F56D924BEB18} - C:\Program Files\HyperCam Toolbar\tbcore3.dll File not found O2 - BHO: (HP Smart BHO Class) - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll File not found O3 - HKLM\..\Toolbar: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\HyperCam Toolbar\tbcore3.dll File not found O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.6\facemoodsTlbr.dll File not found O3 - HKU\S-1-5-21-3760765578-720751265-3070023684-1001\..\Toolbar\WebBrowser: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files\HyperCam Toolbar\tbcore3.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [eRecoveryService] File not found O4 - HKLM..\Run: [run32d] C:\Windows\system\run32dll.exe () O4 - HKLM..\Run: [shellstyle] C:\Users\Patryk\AppData\Local\Microsoft\Windows\1583\shellstyle.exe () O4 - HKLM..\Run: [X3DAudio1_6] C:\Users\admininstrator\AppData\Local\Microsoft\Windows\4205\X3DAudio1_6.exe File not found O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found O4 - Startup: C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock421.exe () :Files C:\Users\Patryk\AppData\Roaming\hellomoto C:\Users\Patryk\AppData\Local\Microsoft\Windows\1583 C:\Users\admininstrator\AppData\Roaming\hellomoto C:\Users\admininstrator\AppData\Local\Microsoft\Windows\4205 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YouTube Downloader Toolbar v6.0 / Conduit Engine / DAEMON Tools Toolbar / HyperCam Toolbar / Softonic-Eng7 Toolbar / StartSearchToolBar / Babylon Toolbar / facemoods Toolbar Otwórz Firefox i w Dodatkach odmontuj: Babylon / Facemoods / vshare 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja zdjęta sama w sobie, ale teraz czas na naprawy szkód po niej spowodowanych. 1. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

Ale masz nie tylko zrobić dla bfe, ale też dla pozostałych MpSvc oraz SharedAccess a log pokazuje, że dla tych dwóch jest niewykonane bo się nie uruchamiają.

Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "my.daemon-search.com" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "foxsearch" FF - prefs.js..browser.search.order.1: "foxsearch" FF - prefs.js..browser.search.selectedEngine: "foxsearch" FF - prefs.js..keyword.URL: "http://www.finduny.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" [2011-05-03 13:36:13 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\q2zw67an.default\extensions\DTToolbar@toolbarnet.com [2011-05-03 13:35:26 | 000,000,000 | ---D | M] (Gutscheinmieze) -- C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\q2zw67an.default\extensions\gutscheinmieze@synatix-gmbh.de O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\7531CC921A93143EE35E65E1E56C34C7 C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531CC921A93143EE35E65E1F875F002 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Gutscheinmieze - Toolbar / Winamp Toolbar / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No przecież masz napisane niżej. Nie wiem co tu niezrozumiałe. W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik dla wygody umieść bezpośrednio na C:\. (tu treść na szarym polu) Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\BFE" -ot reg -actn restore -bckp C:\fix.txt Tak to dla bfe wygląda. Dla pozostalych podobnie.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=3f62ec7a-1ecd-4cc4-977c-c26f30051144&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=3f62ec7a-1ecd-4cc4-977c-c26f30051144&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=3f62ec7a-1ecd-4cc4-977c-c26f30051144&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=3f62ec7a-1ecd-4cc4-977c-c26f30051144&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110819&babsrc=SP_ss&mntrId=bec9ff490000000000004aeddec55772" IE - HKCU\..\SearchScopes\{79472EAB-E6CF-4521-B480-C9C504E2072F}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2:64bit: - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O2 - BHO: (no name) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {1283E7D0-B598-4B2D-A20F-59A9DDE270A8} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Files C:\ProgramData\spzoethpyppcwcw :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=98ee4435-1868-11e1-8aef-002243d26baa" IE - HKU\S-1-5-21-3258465906-2992243003-1227411659-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=119998&tt=090212_ctrl&babsrc=HP_ss&mntrId=30c5b3cd0000000000000625d3bd0282" IE - HKU\S-1-5-21-3258465906-2992243003-1227411659-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=98ee4435-1868-11e1-8aef-002243d26baa&q={searchTerms}" IE - HKU\S-1-5-21-3258465906-2992243003-1227411659-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&tt=090212_ctrl&babsrc=SP_ss&mntrId=30c5b3cd0000000000000625d3bd0282" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=98ee4435-1868-11e1-8aef-002243d26baa&q=" [2012/02/18 13:24:36 | 000,000,000 | ---D | M] (Complitly - Speed up your search with your personal search suggestions tool) -- C:\Users\asus\AppData\Roaming\mozilla\Firefox\Profiles\d6jnaos5.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} [2011/07/11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\asus\AppData\Roaming\Mozilla\Firefox\Profiles\d6jnaos5.default\searchplugins\startsear.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3258465906-2992243003-1227411659-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKU\S-1-5-21-3258465906-2992243003-1227411659-1000..\Run: [asbjwtolalyzsyu] C:\ProgramData\asbjwtol.exe () :Files C:\ProgramData\vfvrekwtagrcdup C:\ProgramData\cxrmxpuystwdyvx C:\Users\asus\0.954954679678252.exe :Reg [HKEY_USERS\S-1-5-21-3258465906-2992243003-1227411659-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3072253" IE - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" [2012-07-30 13:36:50 | 000,000,000 | ---D | M] (uTorrentControl2) -- C:\Users\Dagmarka\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [kriyfhm] C:\Users\Dagmarka\AppData\Local\jfuqnq.exe () O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\Run: [Microsoft Windows System] C:\Users\Dagmarka\P-7-78-8964-9648-3874\windll.exe () O4 - HKU\S-1-5-21-4088191701-4293617536-3650483229-1003..\RunOnce: [036DFF98CDD109F09B3267724F147C45] C:\ProgramData\036DFF98CDD109F09B3267724F147C45\036DFF98CDD109F09B3267724F147C45.exe () O4 - Startup: C:\Users\Dagmarka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hskib.exe () :Files C:\Users\Dagmarka\P-7-78-8964-9648-3874 C:\ProgramData\036DFF98CDD109F09B3267724F147C45 C:\Users\Dagmarka\Desktop\Live Security Platinum.lnk C:\Users\Dagmarka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1106915611-2050749281-2453630975-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541769246975156" IE - HKU\S-1-5-21-1106915611-2050749281-2453630975-1001\..\SearchScopes\{F2624268-53CA-4807-B27C-9B990438ECA5}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=9499F62B-19F9-43C4-80E6-94AE29A50470&apn_sauid=F9668709-ADCA-4637-8CA6-8371D307B21C" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" [2011-10-30 21:05:10 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\peter\AppData\Roaming\mozilla\Firefox\Profiles\u3wwneia.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2012-04-05 09:01:07 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\peter\AppData\Roaming\mozilla\Firefox\Profiles\u3wwneia.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\peter\AppData\Roaming\Mozilla\Firefox\Profiles\u3wwneia.default\searchplugins\askcom.xml [2011-10-30 21:04:37 | 000,002,207 | ---- | M] () -- C:\Users\peter\AppData\Roaming\Mozilla\Firefox\Profiles\u3wwneia.default\searchplugins\MyStart Search.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1106915611-2050749281-2453630975-1001..\Run: [dkjldkuiyrzwzwx] C:\ProgramData\dkjldkui.exe () :Files C:\ProgramData\yxdplxcqyqsvgsw C:\ProgramData\bpzkecavqdbwfpe C:\Users\peter\0.6392133158482419.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Conduit Engine / DealPly / IncrediMail MediaBar 2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-3646566351-1253146625-2479308421-1001..\Run: [erlsqupublhiohq] C:\ProgramData\erlsqupu.exe () :Files C:\ProgramData\gwbrrqvhtxjiuax C:\ProgramData\defaylxcbgahvdp C:\Users\Nastka\0.013851216249012643.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

No to kończymy: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

MBAM nic ciekawego nie wykazał. A wejdź do C:\WINDOWS\system32\drivers i sprawdź czy acpi.sys ma ikonę z kłódką.

Infekcje masz usuniętą. Możesz kończyć sprawę: 1. Użyj opcji Sprzątanie z OTL. 2. Przez panel sterowania odinstaluj - Browsers Protector / StartSearch Toolbar 1.3 / vShare Plugin / vShare.tv plugin 1.3 / Windows Searchqu Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Opróżnij przywracanie systemu: KLIK 5. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1033-7B44-A70900000002}" = Adobe Reader 7.0.9 Szczegóły aktualizacyjne: KLIK 6. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.