Landuss

1. Start > w polsu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}" IE - HKU\S-1-5-21-3625597363-1233223092-1969659724-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}" IE - HKU\S-1-5-21-3625597363-1233223092-1969659724-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF0ED8C8-A7DD-11E1-94E3-B870F4997326}" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2012-05-27 11:25:45 | 000,000,000 | ---D | M] (PriceGong) -- C:\Users\Mala\AppData\Roaming\mozilla\Firefox\Profiles\ceyw8agb.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012-05-27 11:25:57 | 000,004,002 | ---- | M] () -- C:\Users\Mala\AppData\Roaming\Mozilla\Firefox\Profiles\ceyw8agb.default\searchplugins\sweetim.xml O4 - HKLM..\Run: [] File not found :Files C:\Windows\System32\%APPDATA% C:\Windows\Installer\{e5416a00-64d7-140e-4859-57498866dd31} C:\Users\Mala\AppData\Local\{e5416a00-64d7-140e-4859-57498866dd31} netsh winsock reset /C :Reg [HKEY_USERS\S-1-5-21-3625597363-1233223092-1969659724-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Price Gong / SweetPacks Toolbar for Internet Explorer 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcji żadnej tutaj nie widać, temat wyjeżdza do odpowiedniego działu. Tylko drobna korekta ode mnie na podstawie logów w spoilerze (usuwanie odpadków sponsoringowych):

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1332341988_968412 IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=I9jSPTiN1R1oEMe17ZXweh62J7Q?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2530240&SearchSource=13" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 [2010-12-08 16:49:56 | 000,000,933 | ---- | M] () -- C:\Users\Toshiba\AppData\Roaming\Mozilla\Firefox\Profiles\f2bfolvd.default\searchplugins\conduit.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O4 - HKCU..\Run: [RDReminder] File not found O4 - HKCU..\Run: [X3DAudio1_6] C:\Users\Toshiba\AppData\Local\Microsoft\Windows\2905\X3DAudio1_6.exe () O4 - HKCU..\RunOnce: [036DFF981BE9F5F278A8A9226C44B161] C:\ProgramData\036DFF981BE9F5F278A8A9226C44B161\036DFF981BE9F5F278A8A9226C44B161.exe () O4 - Startup: C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\taskmgr.exe () O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found :Files C:\Users\Toshiba\AppData\Local\Temp*.html C:\Users\Toshiba\AppData\Roaming\hellomoto C:\Users\Toshiba\AppData\Local\Microsoft\Windows\2905 C:\ProgramData\036DFF981BE9F5F278A8A9226C44B161 C:\Users\Toshiba\Desktop\Live Security Platinum.lnk C:\Users\Toshiba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic-Polska Toolbar / Live Security Platinum Otwórz Firefox i w Dodatkach odmontuj: digitalchocolate Toolbar / uTorrentControl2 Community Toolbar / Softonic-Polska Community Toolbar / Conduit Engine 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Z OTLPE uruchom OTL i w oknie Customs Scan/Fixes wklej ten tekst: :OTL IE - HKU\Kuba_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120424&user_guid=D7AC64D7F7274978BCD665EC865278F6&machine_id=4d44e9747240084eeaf36a325f7168d3&browser=IE&os=win&os_version=6.1-x64-SP1" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120424&user_guid=D7AC64D7F7274978BCD665EC865278F6&machine_id=4d44e9747240084eeaf36a325f7168d3&browser=FF&os=win&os_version=6.1-x64-SP1&q=" [2012/04/24 17:15:52 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Users\Kuba\AppData\Roaming\Mozilla\Firefox\Profiles\i5j3r4v1.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F} O4 - HKLM..\Run: [vohvgswxdicyogq] C:\ProgramData\vohvgswx.exe () O4 - HKU\Kuba_ON_C..\Run: [] File not found O4 - HKU\Kuba_ON_C..\Run: [AdobeBridge] File not found O4 - HKU\Kuba_ON_C..\Run: [vohvgswxdicyogq] C:\ProgramData\vohvgswx.exe () :Files C:\ProgramData\qbbdofebddvxvcl C:\ProgramData\ttxuhkcgzuecuzt :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. 2. Odpal system już normalnie (nie powinno być problemu) i przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / StartNow Toolbar / Babylon Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Pokazujesz nowy log z OTL zrobiony już nie z OTLPE tylko normalnie spod systemu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0D5A7340-2E40-44EA-B5E3-D693845DAA50}" IE - HKU\S-1-5-21-2644330377-2670624931-3978206797-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=109805&babsrc=HP_ss&mntrId=d6cb7266000000000000f67bcb46168e" IE - HKU\S-1-5-21-2644330377-2670624931-3978206797-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=d6cb7266000000000000f67bcb46168e" IE - HKU\S-1-5-21-2644330377-2670624931-3978206797-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={0D5A7340-2E40-44EA-B5E3-D693845DAA50}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" [2012-03-03 01:25:06 | 000,000,000 | ---D | M] (Softonic Toolbar) -- C:\Users\WojtekiAdam\AppData\Roaming\mozilla\Firefox\Profiles\01zy7dn1.default\extensions\ffxtlbra@softonic.com [2012-02-25 14:45:45 | 000,003,915 | ---- | M] () -- C:\Users\WojtekiAdam\AppData\Roaming\Mozilla\Firefox\Profiles\01zy7dn1.default\searchplugins\SweetIM Search.xml [2012-02-25 14:45:40 | 000,003,915 | ---- | M] () -- C:\Users\WojtekiAdam\AppData\Roaming\Mozilla\Firefox\Profiles\01zy7dn1.default\searchplugins\sweetim.xml [2012-03-22 11:06:04 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-2644330377-2670624931-3978206797-1000..\Run: [qjeokbfznympths] C:\ProgramData\qjeokbfz.exe () :Files C:\ProgramData\lwywosrhntfoahn C:\ProgramData\sounhxpmjkopzev C:\Users\WojtekiAdam\0.3448766012072191.exe :Reg [HKEY_USERS\S-1-5-21-2644330377-2670624931-3978206797-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.4 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niestety jest tutaj też ZeroAccess. Potrzebny log uzupełniający pod kątem tej infekcji. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. BTW: I logi nie wstawiaj na wklejto (do kitu się czyta) tylko opcją załączniki na forum.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\DAT102.tmp.exe -- (nchdjeghlvn) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=affc64b1-1ce2-4af5-b640-c4eed815cfec&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF8E000D220700075EC181CB3F95 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / Gameztar Toolbar / uTorrentControl2 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8053FAE0-1CE9-11E0-844E-00158315A310}" IE - HKLM\..\SearchScopes\{fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptb=F807C8E7-FFFE-47E2-9CDB-051770EEBB40&psa=&ind=2011041701&ptnrS=XRxdm006YYpl&si=&st=sb&n=77de0fa5&searchfor={searchTerms}" IE - HKU\.DEFAULT\..\URLSearchHook: {a24f3f59-1021-4e02-856c-99d9b4a03d83} - No CLSID value found IE - HKU\.DEFAULT\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found IE - HKU\.DEFAULT\..\SearchScopes\{2CC1A6B6-989F-4DF4-9A7D-2873CAE5A3CC}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=9F27AC23-AAFE-4E92-8F3F-5AF5C8CB191F&apn_sauid=D5C878DE-6058-41C2-AEAA-B05A03E217C7" IE - HKU\.DEFAULT\..\SearchScopes\{fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptb=F807C8E7-FFFE-47E2-9CDB-051770EEBB40&psa=&ind=2011041701&ptnrS=XRxdm006YYpl&si=&st=sb&n=77de0fa5&searchfor={searchTerms}" IE - HKU\S-1-5-18\..\URLSearchHook: {a24f3f59-1021-4e02-856c-99d9b4a03d83} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found IE - HKU\S-1-5-18\..\SearchScopes\{2CC1A6B6-989F-4DF4-9A7D-2873CAE5A3CC}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=9F27AC23-AAFE-4E92-8F3F-5AF5C8CB191F&apn_sauid=D5C878DE-6058-41C2-AEAA-B05A03E217C7" IE - HKU\S-1-5-18\..\SearchScopes\{fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptb=F807C8E7-FFFE-47E2-9CDB-051770EEBB40&psa=&ind=2011041701&ptnrS=XRxdm006YYpl&si=&st=sb&n=77de0fa5&searchfor={searchTerms}" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\URLSearchHook: {a24f3f59-1021-4e02-856c-99d9b4a03d83} - No CLSID value found IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\URLSearchHook: {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - No CLSID value found IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119999&tt=260312_n&babsrc=SP_ss&mntrId=90d47b88000000000000de5d4cf4a9fb" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYPL&apn_uid=25f91d23-4953-48ac-8023-3b784ad3abd2&apn_sauid=3E6D4E8C-7BED-43B2-BFD6-F9F71C37076E&" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/fmsoftware/{A70304EB-897A-4235-946B-18604824A2C5}?q={searchTerms}" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541766445913210" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={8053FAE0-1CE9-11E0-844E-00158315A310}" IE - HKU\S-1-5-21-3837769674-2026425130-645297796-1000\..\SearchScopes\{fb72f1bd-a2f1-47eb-8f13-2c6dcd65516f}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=XRxdm006YYpl&ptb=F807C8E7-FFFE-47E2-9CDB-051770EEBB40&psa=&ind=2011021014&ptnrS=XRxdm006YYpl&si=&st=sb&n=77ddbed6&searchfor={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://mystart.incredimail.com/mb68/?loc=ff_address_bar&u=92541766445913210&search=" [2011-08-23 22:16:36 | 000,002,333 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xkl54lht.default\searchplugins\askcom.xml [2011-10-30 09:12:08 | 000,002,207 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xkl54lht.default\searchplugins\MyStart Search.xml [2012-02-23 15:11:25 | 000,003,915 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xkl54lht.default\searchplugins\SweetIM Search.xml [2011-01-10 20:43:27 | 000,003,915 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\xkl54lht.default\searchplugins\sweetim.xml O4 - HKU\S-1-5-21-3837769674-2026425130-645297796-1000..\Run: [TabbtnEx] C:\Users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Users\Admin\AppData\Roaming\hellomoto C:\Users\Admin\AppData\Local\Microsoft\Windows\3565 :Reg [HKEY_USERS\S-1-5-21-3837769674-2026425130-645297796-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / DealPly / Softonic-Polska Toolbar / vShare Plugin / FoxTab Media Player Otwórz Firefox i w Dodatkach odmontuj: Complitly / Vuze Remote Community Toolbar / ST-Polska Community Toolbar / IncrediMail MediaBar 2 Community Toolbar / DealPly / Conduit Engine / Babylon / vShare 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [uIRibbon] C:\Documents and Settings\Basia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2846\UIRibbon.exe () :Files C:\Documents and Settings\Basia\Dane aplikacji\hellomoto C:\Documents and Settings\Basia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2846 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > Uruchom > cmd i wklep kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2 Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\DlinkUDSMBus.sys -- (DlinkUDSMBus) FF - prefs.js..extensions.enabledItems: support@burn4free-toolbar.com:1.0 [2012-05-07 16:54:01 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Documents and Settings\ELGA\Dane aplikacji\Mozilla\Firefox\Profiles\p494zywl.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2009-12-06 17:34:21 | 000,000,000 | ---D | M] (Burn4Free Toolbar) -- C:\PROGRAM FILES\BURN4FREE TOOLBAR\V3.3.0.3\FIREFOX O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1060284298-1682526488-1417001333-1004..\RunOnce: [036DFF590007D9915E7542E981CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF590007D9915E7542E981CB3F95\036DFF590007D9915E7542E981CB3F95.exe () :Files C:\Documents and Settings\ELGA\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF590007D9915E7542E981CB3F95 C:\Documents and Settings\ELGA\Pulpit\Live Security Platinum.lnk C:\WINDOWS\Installer\{678efc46-5e89-9021-601a-ed81748a159f} C:\Documents and Settings\ELGA\Ustawienia lokalne\Dane aplikacji\{678efc46-5e89-9021-601a-ed81748a159f} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Burn4Free Toolbar / uTorrentBar Toolbar / Live Security Platinum 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z SystemLook.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-05-16 16:38:23 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\sduvacg2.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2008-05-08 09:32:26 | 000,002,921 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\sduvacg2.default\searchplugins\daemon-search.xml [2009-01-07 10:01:47 | 000,001,196 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\sduvacg2.default\searchplugins\winamp-search.xml O4 - HKCU..\Run: [TabbtnEx] C:\Users\Admin\AppData\Local\Microsoft\Windows\3565\TabbtnEx.exe () :Files C:\Users\Admin\AppData\Local\Microsoft\Windows\3565 C:\Users\Admin\AppData\Roaming\hellomoto C:\Users\Admin\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [structuredQuery] C:\Documents and Settings\Paweł Dzierżyński\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1173\StructuredQuery.exe () O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKCU..\RunOnce: [036DFF8A38E4478EC2F11E2781CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF8A38E4478EC2F11E2781CB3EF3\036DFF8A38E4478EC2F11E2781CB3EF3.exe () :Files C:\Documents and Settings\Paweł Dzierżyński\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF8A38E4478EC2F11E2781CB3EF3 C:\Documents and Settings\Paweł Dzierżyński\Dane aplikacji\hellomoto C:\Documents and Settings\Paweł Dzierżyński\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1173 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Start > Uruchom > wpisz cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=40fdf637-88cb-11e1-b070-002618731b75&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=XPxdm018YYpl&ptb=D08C4325-FE73-4B45-AAE3-37658AB6B59B&si=CPu2ubWl87ACFYXP3wodlTdzyA" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_2&babsrc=SP_ss&mntrId=e8e14d090000000000000025d3408eb3" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=484BB8FE-A0EA-444B-935D-1EFAA6355E8B&apn_sauid=0BDDEB90-D37D-49EA-B2CF-1F2E063D855D" IE - HKCU\..\SearchScopes\{524DF8F1-5720-46A5-93FD-8662CCFD39A4}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ANT&o=102825&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=4R&apn_dtid=YYYYYYYYPL&apn_uid=7943E02F-DFF8-4D05-BD70-FD078774A31C&apn_sauid=AF0510EC-013C-4955-8469-5351227F7952" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" [2012-04-23 20:49:21 | 000,002,331 | ---- | M] () -- C:\Users\IWONA\AppData\Roaming\Mozilla\Firefox\Profiles\3ag1qtmd.default\searchplugins\askcom.xml [2012-06-29 13:00:34 | 000,009,650 | ---- | M] () -- C:\Users\IWONA\AppData\Roaming\Mozilla\Firefox\Profiles\3ag1qtmd.default\searchplugins\my-web-search.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Users\IWONA\AppData\Roaming\Mozilla\Firefox\Profiles\3ag1qtmd.default\searchplugins\startsear.xml [2012-04-19 10:08:06 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{61accb50-d177-9f6a-bcc7-40fa4e8ad8c3} [2012-07-26 16:23:15 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found :Files C:\Users\IWONA\AppData\Local\Temp*.html C:\ProgramData\036DFF85004B77D617E0FC066C44B161 C:\Users\IWONA\AppData\Local\{43e0c30d-6caf-d8eb-3a13-11f84eea43dd} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: BabylonObjectInstaller / Ask Toolbar / Ask Toolbar Updater / Browsers Protector / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vshare plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109989&babsrc=SP_ss&mntrId=204c3cc00000000000000015834b552a" IE - HKCU\..\SearchScopes\{BFF06451-D447-42BA-86E4-0B798A5E9DE5}: "URL" = "http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=109989&babsrc=adbartrp&mntrId=204c3cc00000000000000015834b552a&q=" FF - prefs.js..network.proxy.autoconfig_url: "file:///C:\\Users\\2012\\AppData\\Local\\Temp\\proxtube.pac" [2012.02.26 16:39:21 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\2012\AppData\Roaming\mozilla\Firefox\Profiles\6y3xknin.default\extensions\ffxtlbr@funmoods.com [2012.02.26 16:39:16 | 000,001,798 | ---- | M] () -- C:\Users\2012\AppData\Roaming\Mozilla\Firefox\Profiles\6y3xknin.default\searchplugins\funmoods.xml [2012.02.26 16:29:33 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012.07.14 02:45:08 | 000,001,153 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\eBay-de.xml O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found. :Files C:\Windows\assebly\GAC_32\Desktop.ini C:\Windows\assebly\GAC_64\Desktop.ini C:\Windows\Installer\{93832d05-75e6-fdfc-982d-8cf84e7110f2} C:\Users\2012\AppData\Local\{93832d05-75e6-fdfc-982d-8cf84e7110f2} :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: Spybot - Search & Destroy (program przestarzały, nie do końca zgodny z platformą 64-bitową) 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL, nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Posprzątane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj koniecznie(!) wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

To nic, leć dalej. AdwCleaner się tym pewnie zajmie.

Oni się tyle znają co nic. Wiadomo że tak najprościej powiedzieć. Nie potrzeba tutaj żadnej nowej instalacji, to da się usunąć. Tylko zanim zaczniemy działać to potrzebuje log dodatkowy. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java 7 Update 3 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Może ci co nieco skrobne na PW, ale to nie w tym momencie bo jestem zajęty.

Masz wszystko usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=HP_ss&mntrId=94cbf8690000000000000024211e8e5d" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=060612_6_&babsrc=SP_ss&mntrId=94cbf8690000000000000024211e8e5d" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/english/?search={searchTerms}&loc=search_box_fs" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=060612_6_&babsrc=KW_ss&mntrId=94cbf8690000000000000024211e8e5d&q=" [2008-06-04 14:54:59 | 000,002,059 | ---- | M] () -- C:\Users\ibox\AppData\Roaming\Mozilla\Firefox\Profiles\pcsckvef.default\searchplugins\daemon-search.xml [2007-06-07 22:20:22 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2:64bit: - BHO: (Expressivo) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - I:\Expressivo\integr\ih-iexplorer\IH_iexplorer_x64.dll File not found O2 - BHO: (Expressivo) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - I:\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (Expressivo) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - I:\Expressivo\integr\ih-iexplorer\IH_iexplorer_x64.dll File not found O3 - HKLM\..\Toolbar: (Expressivo) - {85F685C3-20D9-4943-95E4-EB4224056C3F} - I:\Expressivo\integr\ih-iexplorer\IH_iexplorer.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKLM..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" File not found O4 - HKCU..\Run: [uIAutomationCore] C:\Users\ibox\AppData\Local\Microsoft\Windows\2347\UIAutomationCore.exe () :Files C:\Users\ibox\AppData\Roaming\hellomoto C:\Users\ibox\AppData\Local\Microsoft\Windows\2347 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Vuze ToolbarSS RETURN 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ten twój system to trochę modyfikowany, wycięte niektóre usługi, nałożone polisy i nie jest to klasyczny Windows XP. Przy okazji przekonfiguruje te wycięte usługi aby niepotrzebnie nie próbowały się uruchamiać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Sony Ericsson\Sony Ericsson PC Companion\PCCService.exe -- (Sony Ericsson PCCompanion) SRV - File not found [Auto | Stopped] -- C:\ComboFix\PEV.cfxxe EXEC /i C:\ComboFix\REGT.cfxxe /S C:\ComboFix\CregB.dat -- (PEVSystemStart) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-1409082233-651377827-1417001333-500\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-1409082233-651377827-1417001333-500\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=680858ac000000000000001966695a35&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-1409082233-651377827-1417001333-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304564" FF - prefs.js..browser.search.defaultthis.engineName: "Discover USA Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2304564&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: TFToolbarX@torrent-finder:1.2.6 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2304564&q=" [2010-09-06 10:19:06 | 000,000,927 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\f75bdbry.default\searchplugins\conduit.xml [2012-03-15 12:59:03 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (IE2EMBHO Class) - {0A0DDBD3-6641-40B9-873F-BBDD26D6C14E} - C:\Program Files\easyMule\modules\IE2EM.dll File not found O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [straxwgfiqedfjt] C:\Documents and Settings\All Users\Dane aplikacji\straxwgf.exe () O4 - HKU\S-1-5-21-1409082233-651377827-1417001333-500..\Run: [straxwgfiqedfjt] C:\Documents and Settings\All Users\Dane aplikacji\straxwgf.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\nglifjonipxgqfo C:\Documents and Settings\All Users\Dane aplikacji\uyhdyomsecchlgw C:\Documents and Settings\All Users\Dane aplikacji\ylkjardt.exe C:\Documents and Settings\Administrator\ms.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UPS] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\seclogon] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv] "Start"=dword:00000004 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: TheBflix / pdfforge Toolbar v6.2 / DealPly / Discover USA Toolbar Otwórz Firefox i w Dodatkach odmontuj: Discover USA Community Toolbar / myBabylon EnglishBB Community Toolbar / TheBflix Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj TheBflix / DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService) DRV - File not found [File_System | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector) IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=6d73ef2f-4520-11e1-87d6-0024213eb551&q={searchTerms}" [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-01-17 19:33:10 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [qbmhbusklbskqpy] C:\Documents and Settings\All Users\Dane aplikacji\qbmhbusk.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\ogcgcqcxdnukwib C:\Documents and Settings\All Users\Dane aplikacji\ndaoctfv.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: VshareComplete / Winamp Toolbar / Babylon toolbar / Ask Toolbar / Softonic Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

No to musiałeś znów zrobić jakiś błąd i zaprawiłeś się tą infekcją. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [dsjallfhlhljsvf] D:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsjallfh.exe () O4 - HKU\.DEFAULT..\Run: [userinit] D:\WINDOWS\system32\ntos.exe File not found O4 - HKU\S-1-5-18..\Run: [userinit] D:\WINDOWS\system32\ntos.exe File not found O4 - Startup: D:\Documents and Settings\Andrzej\Menu Start\Programy\Autostart\Bandwidth Meter.lnk = D:\Documents and Settings\Andrzej\Dane aplikacji\Microsoft\Installer\{297849A8-EEC6-4ABA-AAE5-C66A093FEDE3}\_F3096655F6814A76D66DB9.exe () :Files D:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\cfdityrplgeizre D:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\fxzzidpudtjjysm D:\Documents and Settings\Andrzej\Dane aplikacji\Microsoft\Installer\{297849A8-EEC6-4ABA-AAE5-C66A093FEDE3} D:\Documents and Settings\Administrator.ANDRZEJ.001\Ustawienia lokalne\Dane aplikacji\Conduit D:\Documents and Settings\Administrator.ANDRZEJ.001\Dane aplikacji\alot D:\Documents and Settings\Administrator.ANDRZEJ.001\PrivacIE :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)