Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\vtany.sys -- (vtany) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\npf.sys -- (NPF) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) O4 - HKLM..\Run: [rasmxs] C:\Documents and Settings\Zwr\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3699\rasmxs.exe () O4 - HKLM..\Run: [sound Volume driver] C:\WINDOWS\System32\vsdhost.exe () O4 - HKLM..\RunServices: [sound Volume driver] C:\WINDOWS\System32\vsdhost.exe () :Files C:\Documents and Settings\Zwr\Dane aplikacji\hellomoto C:\Documents and Settings\Zwr\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3699 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez panel sterowania odinstaluj śmiecia Browsers Protector 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110004&babsrc=SP_ss&mntrId=2af7078c000000000000002682323840" IE - HKCU\..\SearchScopes\{12995981-2FD6-4BEE-9FB0-B1674E8E5E7E}: "URL" = "http://websearch.4shared.com/results?q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFB7A715-0178-4B48-9546-C71B211D1333}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VSAT&o=16625&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=2K&apn_dtid=YYYYYYYYPL&apn_uid=37265D59-9C21-448F-9A64-A15847BFFA37&apn_sauid=25717302-EFF4-4D6A-93DE-E5FAC14C73E1" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?AF=110004&babsrc=HP_ss&mntrId=2af7078c000000000000002682323840" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110004&babsrc=adbartrp&mntrId=2af7078c000000000000002682323840&q=" [2011-08-27 21:16:24 | 000,002,568 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\yg5i8n3v.default\searchplugins\askcom.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Users\Robert\AppData\Roaming\Mozilla\Firefox\Profiles\yg5i8n3v.default\searchplugins\BearShareWebSearch.xml [2012-02-29 18:50:09 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2010-04-12 14:01:54 | 000,002,476 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [PLFSetL] C:\windows\PLFSetL.exe File not found O4 - HKLM..\Run: [snp2uvc] C:\windows\vsnp2uvc.exe File not found O4 - HKLM..\Run: [zyzjkasgsomoged] C:\ProgramData\zyzjkasg.exe () O4 - HKCU..\Run: [zyzjkasgsomoged] C:\ProgramData\zyzjkasg.exe () :Files C:\ProgramData\ultrsraosjfnnay C:\ProgramData\bdpilwytoaoombg C:\Users\Robert\0.029456589390135623.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DealPly / Complitly / MediaBar / FoxTab Music Converter Otwórz Firefox i w Dodatkach odmontuj: MediaBar / DealPly/ Complitly / Babylon Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Complitly plugin for chrome / DealPly 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nic te logi nie wykazują. Nie wiem tylko dlaczego tamte obiekty powróciły. Może zmiana metody. 1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\System32\vcmgcd32.dll C:\WINDOWS\System32\vcmgcd32.dl_ Klik w Execute Now. Zatwierdź restart komputera. 2. Prezentujesz log z usuwania BlitzBlank oraz nowy z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={7288F485-A1C9-11E1-8640-90A4DEA10255}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={7288F485-A1C9-11E1-8640-90A4DEA10255}" IE - HKU\S-1-5-21-3278044343-426583272-3581321316-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-3278044343-426583272-3581321316-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={7288F485-A1C9-11E1-8640-90A4DEA10255}" IE - HKU\S-1-5-21-3278044343-426583272-3581321316-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={7288F485-A1C9-11E1-8640-90A4DEA10255}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?st=1" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2653012&SearchSource=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012/07/24 05:25:25 | 000,000,923 | ---- | M] () -- C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Profiles\ieuse2wj.default\searchplugins\conduit.xml [2012/05/19 21:19:04 | 000,004,113 | ---- | M] () -- C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Profiles\ieuse2wj.default\searchplugins\sweetim.xml [2012/04/25 10:57:58 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-3278044343-426583272-3581321316-1001..\Run: [zdpbdjuxabjrrrg] C:\ProgramData\zdpbdjux.exe () :Files C:\ProgramData\uqjfhagfawcqcnb C:\ProgramData\bifaafeksjhrxoj C:\Users\Bartek\0.7682283879890792.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Deinstalator Strony V9 / RewardsArcade / SweetPacks Toolbar for Internet Explorer 4.6 / Yontoo 1.10.02 Otwórz Firefox i w Dodatkach odmontuj: Rewards Arcade / Yontoo 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\Windows\system32\OpcEnum.exe -- (OpcEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\INTEL\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/ins/ins_1328702955_376918 IE - HKU\S-1-5-21-3105830277-3512706415-366261069-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/?utm_source=b&utm_medium=opc IE - HKU\S-1-5-21-3105830277-3512706415-366261069-1000\..\SearchScopes\{B64D7CD1-A78B-471D-93A8-FF13FCB8BC26}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=89C81E49-FDA5-4E71-986A-8E83FF99D678&apn_sauid=3C508C3C-FE84-4DB9-A127-A259DF228376" IE - HKU\S-1-5-21-3105830277-3512706415-366261069-1000\..\SearchScopes\{F3CDB515-AF6B-45C6-AB0D-701A489F721B}: "URL" = "http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-04-04 22:24:50 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\INTEL\AppData\Roaming\mozilla\Firefox\Profiles\c5bz0q3a.default\extensions\toolbar@ask.com [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Users\INTEL\AppData\Roaming\Mozilla\Firefox\Profiles\c5bz0q3a.default\searchplugins\askcom.xml :Files C:\Users\INTEL\AppData\Local\dFsjconoJuuJxx2Ua3{RXgblSHON8G04q22 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan.

To by było na tyle. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) "Mozilla Thunderbird (1.5.0.14)" = Mozilla Thunderbird (1.5.0.14) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Posprzątane więc standard na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-1029-0000-7760-000000000003}" = Adobe Acrobat 8 Professional - Czech, Greek, Hungarian, Polish, Slovak <--- jeśli jest możliwość zaktualizowania "Mozilla Firefox (3.6.6)" = Mozilla Firefox (3.6.6) Szczegóły aktualizacyjne: KLIK

To nie jest problem infekcyjny, w logach ani śladu szkodnika. Temat przenoszę do działu systemowego. Sprawdź wstępnie czy w trybie awaryjnym też masz ten problem. BTW: i ty nadal nie zaktualizowałes systemu do Service Pack 3 a już ci o tym pisałem kiedyś.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=431&sr=0&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchqu.com/431" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2431}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=431&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.search.selectedEngine: "Search Results" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/431" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=431&sr=0&q=" [2012-01-26 23:31:49 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Monika\AppData\Roaming\mozilla\Firefox\Profiles\81wmoj0v.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2012-01-26 23:31:47 | 000,002,515 | ---- | M] () -- C:\Users\Monika\AppData\Roaming\Mozilla\Firefox\Profiles\81wmoj0v.default\searchplugins\Search_Results.xml [2012-01-26 23:31:47 | 000,002,515 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Monika\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKCU..\Run: [badoo Desktop] C:\ProgramData\Badoo\Badoo Desktop\1.6.38.1042\Badoo.Desktop.exe File not found O4 - HKCU..\Run: [fTalk] File not found O4 - HKCU..\Run: [WPDShServiceObj] C:\Users\Monika\AppData\Local\Microsoft\Windows\4915\WPDShServiceObj.exe () :Files C:\Users\Monika\AppData\Roaming\hellomoto C:\Users\Monika\AppData\Local\Microsoft\Windows\4915 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Windows Searchqu Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.bigseekpro.com/hypercam/{E82B385C-53F3-4B23-8633-5354FC59862C}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKU\S-1-5-21-458850657-2697938661-3784040484-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{E82B385C-53F3-4B23-8633-5354FC59862C}?q={searchTerms}" IE - HKU\S-1-5-21-458850657-2697938661-3784040484-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2011/08/29 17:48:16 | 000,000,863 | ---- | M] () -- C:\Users\a\AppData\Roaming\Mozilla\Firefox\Profiles\82r4evqt.default\searchplugins\conduit.xml [2011/09/29 15:56:53 | 000,002,374 | ---- | M] () -- C:\Users\a\AppData\Roaming\Mozilla\Firefox\Profiles\82r4evqt.default\searchplugins\search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [b01abcf8c9418a8e052bb701bdf75afa] C:\Users\a\Java.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [ddgfsghrthrrthr] C:\Users\a\AppData\Roaming\ddgfsghrthrrthr.exe File not found O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [gcxvhvhxcbv] C:\Users\a\AppData\Roaming\winlogon.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [ghfhfjfkfg] C:\Users\a\AppData\Roaming\tester () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [HKCU] C:\Windows\InstallDir\Server.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [Llsmsx] C:\Users\a\AppData\Roaming\Llsmsx.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [Microsoft® Windows® Operating System] C:\Users\a\AppData\Roaming\Microsoft\Windows\Templates\MFC110D.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [muteysexymylul] C:\Users\a\AppData\Roaming\svchost.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [NUYwRDIxNUNDRjQxNEE4RU] C:\Users\a\KBDicar.exe (bpxacv lcchho jdna ddowuwy) O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [QTIyNTNCMDNDNzJCRTY4OE] C:\ProgramData\eerlhlxa.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [rtitdk.exe] C:\Users\a\AppData\Roaming\rtitdk.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [RTkwNEFBN0RCNjI4ODAzMz] C:\Users\a\WABSyncresu.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [startup Key] C:\Users\a\AppData\Local\Temp\name.exe (Sun Microsystems) O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [svchost.exe] C:\Users\a\AppData\Roaming\svchost.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [tester] C:\Users\a\AppData\Roaming\tester () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [Windows Exploerer] C:\Users\a\AppData\Local\Temp\explorere.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [Windows Live] C:\Users\a\AppData\Local\Temp\winini.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [Windows Update] C:\Users\a\AppData\Local\Temp\41707.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [WindowUpdate] C:\Users\a\AppData\Roaming\window\43332224dt.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [winlogon.exe] C:\Users\a\AppData\Roaming\winlogon.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [WinUpdate] C:\Users\a\AppData\Roaming\WinUpdate.exe () O4 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000..\Run: [XpsPrint] C:\Users\a\AppData\Local\Microsoft\Windows\2401\XpsPrint.exe () O4 - Startup: C:\Users\a\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b01abcf8c9418a8e052bb701bdf75afa.exe () F3:64bit: - HKU\S-1-5-21-458850657-2697938661-3784040484-1000 WinNT: Load - (C:\Users\a\WABSyncresu.exe) - C:\Users\a\WABSyncresu.exe () F3 - HKU\S-1-5-21-458850657-2697938661-3784040484-1000 WinNT: Load - (C:\Users\a\WABSyncresu.exe) - C:\Users\a\WABSyncresu.exe () :Files C:\Users\a\AppData\Roaming\hellomoto C:\Users\a\AppData\Local\Microsoft\Windows\2401 C:\Users\a\AppData\Roaming\window C:\Users\a\AppData\Roaming\dclogs C:\Users\a\AppData\Roaming\tester C:\Users\a\AppData\Roaming\*.exe C:\Users\a\*.exe C:\Users\a\AppData\Roaming\ddgfsghrthrrthr.zgy C:\ProgramData\*.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-458850657-2697938661-3784040484-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface Service / BrotherSoft Extreme Toolbar / Conduit Engine / Hyperionics DB Toolbar / SFT_Polska Toolbar / uTorrentBar Toolbar Otwórz Firefox i w Dodatkach odmontuj: BrotherSoft Extreme Community Toolbar / SFT_Polska Community Toolbar / Hyperionics DB Toolbar / uTorrentBar Community Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj uTorrentBar / BrotherSoft Extreme 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz usunięte. Klik w Sprzątanie z OTL i opróżnij przywracanie tak jak poprzednio. Temat zamykam.

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL i możesz usunąć z dysku te obiekty po ComboFIx: [2012-07-28 21:54:16 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe [2012-07-28 21:54:16 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe [2012-07-28 21:54:16 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe [2012-07-28 21:48:54 | 000,000,000 | ---D | C] -- C:\Qoobox [2012-07-28 21:47:48 | 000,000,000 | ---D | C] -- C:\Windows\erdnt 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A pisałem: Nadal nie widzę tego loga.

Poszło ci nieźle, ale niepotrzebnie usuwałeś wpis od Neostrady i AdslTaskBar to też nie jest szkodnik.. Tylko ten folder usuń bo ominąłeś: C:\Documents and Settings\All Users\Dane aplikacji\vyisqpdlenisaoc

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wdfmgr.exe -- (UMWdf) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\SolidWorks Shared\Service\SolidWorksLicensing.exe -- (SolidWorks Licensing Service) SRV - File not found [Auto | Stopped] -- F:\Program Files\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe -- (Remote Solver for COSMOSFloWorks 2006) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.bearshare.com/sidebar.html?src=ssb" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=83A46F5C-24B5-45B2-863A-7D3D6500CB5A&apn_sauid=C565918F-2369-4E26-B0EF-0C639655F238" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Home\Dane aplikacji\Mozilla\Firefox\Profiles\dwed4lu0.default\searchplugins\askcom.xml [2012-01-10 21:27:53 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - Reg Error: Value error. File not found O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - Reg Error: Value error. File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Files C:\Documents and Settings\Home\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\All Users\Dane aplikacji\6F638BBA000897693F7F32B381CB3F95 :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM Toolbar for Internet Explorer 3.9 / DAEMON Tools Toolbar / Free_Lunch_Design Toolbar / Live Security Platinum 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- D:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) IE - HKLM\..\SearchScopes\{93828653-F2E3-44B8-A636-6F12E7AC3706}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=f78c88ba-4218-11e1-b6c5-4d6564696130&q={searchTerms}" IE - HKU\S-1-5-21-1757981266-1390067357-725345543-1003\..\SearchScopes\{D10CCC5C-9C3E-42A4-8C22-E82E7D8194F8}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=717A13C4-A12F-43C2-B021-B6F7856FA45B&apn_sauid=9DF6C4DE-D547-4A9F-9866-805F5DA40FA5" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2 FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 [2012-03-28 23:18:46 | 000,000,000 | ---D | M] (vShare) -- D:\Documents and Settings\Gąsiorek.G-D81B3B7B737E4\Dane aplikacji\Mozilla\Firefox\Profiles\kir0upt0.default\extensions\vshare@toolbar [2012-01-03 16:27:44 | 000,002,333 | ---- | M] () -- D:\Documents and Settings\Gąsiorek.G-D81B3B7B737E4\Dane aplikacji\Mozilla\Firefox\Profiles\kir0upt0.default\searchplugins\askcom.xml [2012-01-18 23:11:35 | 000,000,792 | ---- | M] () -- D:\Documents and Settings\Gąsiorek.G-D81B3B7B737E4\Dane aplikacji\Mozilla\Firefox\Profiles\kir0upt0.default\searchplugins\startsear.xml [2011-02-28 21:58:43 | 000,001,583 | ---- | M] () -- D:\Documents and Settings\Gąsiorek.G-D81B3B7B737E4\Dane aplikacji\Mozilla\Firefox\Profiles\kir0upt0.default\searchplugins\web-search.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [zkgjxtcnxnplisg] D:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\zkgjxtcn.exe File not found O4 - HKU\S-1-5-21-1757981266-1390067357-725345543-1003..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1757981266-1390067357-725345543-1003..\Run: [zkgjxtcnxnplisg] D:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\zkgjxtcn.exe File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):"D:\WINDOWS\system32\wuauserv.dll" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / pdfforge Toolbar v6.1 / vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Co prawda nie widać tu aktywnej infekcji, ale są ślady podpinania zainfekowanego urządzenia przenośnego. Pare rzeczyt do skorygowania tylko. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-1343024091-651377827-725345543-1004\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Daj też znać czy problem nadal występuje.

Możesz to wykonać w awaryjnym tak jak sugerujesz. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- J:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/ins/ins_1332247079_555836" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/ins/ins_1332247079_555836" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/ins/ins_1332247079_555836" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/ins/ins_1332247079_555836" [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-03-20 14:37:59 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [avsckksynfqsveu] C:\Documents and Settings\All Users\Dane aplikacji\avsckksy.exe () O4 - HKLM..\Run: [RegistryMechanic] File not found O4 - HKCU..\Run: [avsckksynfqsveu] C:\Documents and Settings\All Users\Dane aplikacji\avsckksy.exe () :Files C:\Documents and Settings\Robo\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\ceebhcyhjrowbxx C:\Documents and Settings\Robo\0.14401852319780184.exe C:\Documents and Settings\All Users\Dane aplikacji\vmmksbacnajvcap :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartSearch Toolbar 1.3 / Deinstalator Strony V9 / Browsers Protector 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10011&barid={D593114D-9F8B-11E1-8961-1803737C019E}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={D593114D-9F8B-11E1-8961-1803737C019E}" IE - HKU\S-1-5-21-1451231205-181540678-3226276898-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1451231205-181540678-3226276898-1000\..\SearchScopes\{BD3DB157-9A71-4F51-9738-752C0F02843E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=86C9D1ED-D426-4569-BA50-4D88E2505852&apn_sauid=39BD77D6-307F-4B9A-B492-DFCE1F5DB23F&" IE - HKU\S-1-5-21-1451231205-181540678-3226276898-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={D593114D-9F8B-11E1-8961-1803737C019E}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?st=1" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Facemoods Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Bezpieczne wyszukiwanie" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2011-10-28 20:24:43 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\K\AppData\Roaming\mozilla\Firefox\Profiles\c7oixogp.default\extensions\ffxtlbr@Facemoods.com [2012-05-16 21:18:12 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\K\AppData\Roaming\mozilla\Firefox\Profiles\c7oixogp.default\extensions\plugin@yontoo.com [2012-07-07 22:26:16 | 000,004,113 | ---- | M] () -- C:\Users\K\AppData\Roaming\Mozilla\Firefox\Profiles\c7oixogp.default\searchplugins\sweetim.xml [2011-10-28 20:24:43 | 000,002,048 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml O3 - HKU\S-1-5-21-1451231205-181540678-3226276898-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKU\S-1-5-21-1451231205-181540678-3226276898-1000..\Run: [TomTomHOME.exe] "C:\Program Files (x86)\TomTom HOME 2\TomTomHOMERunner.exe" File not found :Files C:\Users\K\AppData\Roaming\hellomoto :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / Facemoods Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ale logi z OTL domyślnie powinny być dwa. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak i wtedy dostaniesz też log extras, który załączysz na forum.

No to po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 29 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcję masz usuniętą. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox (3.5.6)" = Mozilla Firefox (3.5.6) "Mozilla Thunderbird (3.0)" = Mozilla Thunderbird (3.0) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja ZeroAccess w najnowszej wersji. Wykonaj raporty dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.