Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon) SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2481033" IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=c4bcc9a70000000000000024d2cb3c71" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" FF - prefs.js..browser.search.defaultthis.engineName: "Mario Forever Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2247187&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.6.0158 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2247187&SearchSource=2&q=" [2009-06-23 11:06:48 | 000,000,888 | ---- | M] () -- C:\Users\Kasiunia\AppData\Roaming\Mozilla\Firefox\Profiles\k31yymkv.default\searchplugins\conduit.xml [2009-11-11 19:49:50 | 000,002,059 | ---- | M] () -- C:\Users\Kasiunia\AppData\Roaming\Mozilla\Firefox\Profiles\k31yymkv.default\searchplugins\daemon-search.xml [2012-01-10 01:28:59 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [jswtrayutil] "C:\Program Files\Jumpstart\jswtrayutil.exe" File not found O4 - HKCU..\Run: [alwzcbogjiqyemn] C:\ProgramData\alwzcbog.exe () :Files C:\ProgramData\vcqhkswojdjxpii C:\ProgramData\cumyztutbuoykjq C:\Users\Kasiunia\ms.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{57EC555C-5686-4A93-B083-AAA95BCB6860}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{57EC555C-5686-4A93-B083-AAA95BCB6860}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar Otwórz Firefox i w Dodatkach odmontuj: DAEMON Tools Toolbar / Ashampoo PO 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=vlt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.daum.net/" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" [2012-05-20 20:58:23 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\jx0o0bau.default\extensions\DTToolbar@toolbarnet.com [2012-05-15 19:29:23 | 000,002,055 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\jx0o0bau.default\searchplugins\daemon-search.xml [2012-05-17 00:05:01 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O4 - HKCU..\RunOnce: [7531E8D902DA39356B659B5AF875EF60] C:\ProgramData\7531E8D902DA39356B659B5AF875EF60\7531E8D902DA39356B659B5AF875EF60.exe File not found :Files C:\ProgramData\7531E8D902DA39356B659B5AF875EF60 C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [Auto | Stopped] -- C:\Program Files\AskBarDis\bar\bin\ASKUpgrade.exe -- (ASKUpgrade) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Program Files\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\nfvocg.sys -- (ajkepi) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=28536dd0-33bc-11e1-a90e-001346ba4937" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=28536dd0-33bc-11e1-a90e-001346ba4937&q={searchTerms}" IE - HKLM\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=28536dd0-33bc-11e1-a90e-001346ba4937&q={searchTerms}" IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - SOFTWARE\Classes\CLSID\{C94E154B-1459-4A47-966B-4B843BEFC7DB}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{2D03175E-595D-4132-91F8-7265AFB95B61}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=UT2" IE - HKCU\..\SearchScopes\{53043280-C32E-42B3-9B68-C63FDDD0A5E8}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 174.142.24.201:3128 FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "SFT_Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "SFT_Polska Customized Web Search" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3031817&SearchSource=2&q=" [2012-07-16 16:48:54 | 000,000,000 | ---D | M] (SFT_Polska Community Toolbar) -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\rnyo7hzd.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b} [2011-08-04 10:31:04 | 000,000,923 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\rnyo7hzd.default\searchplugins\conduit.xml [2012-02-11 15:01:52 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\rnyo7hzd.default\searchplugins\startsear.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2010-12-13 21:06:40 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [oznosnshgpqdera] C:\Documents and Settings\All Users\Dane aplikacji\oznosnsh.exe () O4 - HKCU..\Run: [oznosnshgpqdera] C:\Documents and Settings\All Users\Dane aplikacji\oznosnsh.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\qednpjcuybodgkd C:\Documents and Settings\ppp\0.40837975870047327.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Winsock nadal nie został zresetowany, ale tutaj też część NameSpace jest naruszona czego nie zauważyłem wcześniej. Wykonaj fixa całej usługi. 1. Wklej do notatnika ten tekst (spoiler): Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj komputer i wykonaj nowy log z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKCU..\Run: [taskbarcpl] C:\Users\Monikaa\AppData\Local\Microsoft\Windows\2862\taskbarcpl.exe () :Files C:\Users\Monikaa\AppData\Local\Temp*.html C:\Users\Monikaa\AppData\Roaming\hellomoto C:\Users\Monikaa\AppData\Local\Microsoft\Windows\2862 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Conduit Engine / BitTorrentBar Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

"Avast ciągle wykrywa podejrzane pliki i je usuwa" gdzie wykrywa? (lokalizacja) i jakie nazwy mają owe pliki? Więcej konkretów potrzebne. I żaden ComboFix, tego nie używa się w domu. Wykonaj raporty z OTL + Gmer

Niestety oprócz Live Security Platinum masz gorszą infekcję - ZeroAccess. Wykonaj raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Masz posprzątane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz rację, extras nie wyjdzie ci przez wspomniany błąd. Było już tak u niektórych użytkowników. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\windows\vtany.sys -- (vtany) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-2440634791-3158896077-4223476700-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.daum.net/" IE - HKU\S-1-5-21-2440634791-3158896077-4223476700-1000\..\SearchScopes\{46320F4B-AC16-4890-B357-81998413FAD5}: "URL" = "http://search.daum.net/cgi-bin/nsp/search.cgi?w=tot&nil_ch=MSKR&q={searchTerms}" IE - HKU\S-1-5-21-2440634791-3158896077-4223476700-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [xfuggnfbmskopco] C:\ProgramData\xfuggnfb.exe () O4 - HKU\S-1-5-21-2440634791-3158896077-4223476700-1000..\Run: [spotify Web Helper] C:\Users\euro\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe () O4 - HKU\S-1-5-21-2440634791-3158896077-4223476700-1000..\Run: [xfuggnfbmskopco] C:\ProgramData\xfuggnfb.exe () :Files C:\Users\euro\ms.exe C:\ProgramData\zkkfhjloeamsvvr C:\ProgramData\blfmpczi.exe C:\Users\euro\0.0919159534071583.exe C:\ProgramData\ssoooenjmndrayn C:\Users\euro\AppData\Local\Spotify C:\Users\euro\AppData\Roaming\Spotify :Reg [HKEY_USERS\S-1-5-21-2440634791-3158896077-4223476700-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{67A2568C-7A0A-4EED-AECC-B5405DE63B64}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: uTorrentControl2 Toolbar Otwórz Firefox i w Dodatkach odmontuj: uTorrentControl2 Community Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj uTorrentControl2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nie dałes loga extras, a pisałem:

Infekcja usunięta i to by było na tyle. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7100.0) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva392.sys -- (XDva392) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\vqfnadou.sys -- (vqfnadou) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\vjqlwxew.sys -- (vjqlwxew) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\tzeutvoe.sys -- (tzeutvoe) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\teefer2.sys -- (Teefer2) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\SYSTEM32\Drivers\SysPlant.sys -- (SysPlant) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\nxkhbzyd.sys -- (nxkhbzyd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motusbdevice.sys -- (motusbdevice) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Motousbnet.sys -- (Motousbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motccgp.sys -- (motccgp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\lesvwect.sys -- (lesvwect) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\jvpzycgi.sys -- (jvpzycgi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\joncahsl.sys -- (joncahsl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\iohavuyb.sys -- (iohavuyb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ilmyjkio.sys -- (ilmyjkio) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\hytxftqp.sys -- (hytxftqp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\gowyotpn.sys -- (gowyotpn) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\FXDrv32.sys -- (FXDrv32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dyudklew.sys -- (dyudklew) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\docffhjh.sys -- (docffhjh) DRV - File not found [Kernel | System | Stopped] -- -- (Cdaudio) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ayclzhin.sys -- (ayclzhin) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cdaudio.sys -- (AVPsys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\atnhbtly.sys -- (atnhbtly) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\arecibok.sys -- (arecibok) DRV - File not found [Kernel | Auto | Stopped] -- -- (adfs) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=af06fc06-2378-11e1-a3a5-001fe2638851" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1022&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=740&systemid=2&sr=0&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111877&babsrc=HP_ss&mntrId=70dbc4cd000000000000001fe2638851" IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111877&babsrc=SP_ss&mntrId=70dbc4cd000000000000001fe2638851" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1022&systemid=1&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=740&systemid=2&sr=0&q={searchTerms}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;;192.168.*.*;<local> FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search Results" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?affID=111877&babsrc=KW_ss&mntrId=70dbc4cd000000000000001fe2638851&q=" [2012-04-29 19:22:53 | 000,000,000 | ---D | M] (Browser Companion Helper) -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\extensions\bbrs_002@blabbers.com [2012-01-17 12:37:37 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2012-01-02 16:15:54 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\extensions\ffxtlbr@babylon.com [2009-05-31 18:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\conduit.xml [2010-01-30 13:18:14 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\daemon-search.xml [2012-01-17 12:48:48 | 000,002,517 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\Search_Results.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\startsear.xml [2012-04-29 19:10:58 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\sweetim.xml [2012-04-29 19:09:44 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{16d3098a-2d19-1e0d-235a-51824ab4d447} [2012-04-29 19:09:51 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-17 12:48:48 | 000,002,517 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll File not found O2 - BHO: (sleekseek) - {9c39464d-14b6-0c9b-5cac-756622ecf034} - C:\WINDOWS\system32\c4dc6de4.dll () O2 - BHO: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found. O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O4 - HKLM..\Run: [qpaqhhdmcngbith] C:\Documents and Settings\All Users\Dane aplikacji\qpaqhhdm.exe () O4 - HKLM..\Run: [sessionInit] C:\Documents and Settings\nopixxx\init.exe File not found O4 - HKLM..\Run: [TrayServer] C:\Program Files\MAGIX\Movie_Edit_Pro_14_PLUS_Download_version\TrayServer.exe File not found O4 - HKLM..\Run: [Yahoo Messenger] File not found O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe File not found O4 - HKCU..\Run: [qpaqhhdmcngbith] C:\Documents and Settings\All Users\Dane aplikacji\qpaqhhdm.exe () O4 - Startup: C:\Documents and Settings\nopixxx\Menu Start\Programy\Autostart\Capcom Registration.lnk = File not found O4 - Startup: C:\Documents and Settings\nopixxx\Menu Start\Programy\Autostart\fliptoast.lnk = File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\nopixxx\Dane aplikacji\juzjf.exe) - File not found :Files C:\WINDOWS\System32\9fbc2e21.exe C:\WINDOWS\System32\c4dc6de4.dll C:\Documents and Settings\All Users\Dane aplikacji\pgqupulucizappc C:\Documents and Settings\All Users\Dane aplikacji\sympezjzuzefomk C:\Documents and Settings\nopixxx\0.9272433965878379.exe C:\Documents and Settings\nopixxx\0.4607529962244872.exe C:\Documents and Settings\nopixxx\0.3479536739967467.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / Akamai NetSession Interface / BrowserCompanion Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / Vshare Plugin / Browser Companion 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Trudno powiedzieć, albo odwiedzenie jakiejś strony www ale prędzej pobranie szkodliwego pliku i jego uruchomienie. Nie ma takich. Wszystkie są dobre, ale użytkownik też musi uważać co pobiera, gdzie wchodzi i w co klika. Temat jako rozwiązany zamykam.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz usunięte. Sprzątanie z OTL użyj. I nie zrobiłeś wcale aktualizacji, o które prosiłem wczesnej więc nie dziw się, że infekcje od nowa złapałeś.

Tu wcale nie koniec roboty. I poza "Ukash" masz też tego trojana: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\spynet\server.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\spynet\server.exe 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TfNetMon.sys -- (TfNetMon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=902715f4-0ca9-11e1-8f0c-001a9267b4e6&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112089&tt=280612_7_&babsrc=HP_ss&mntrId=6c73ab9300000000000000ffaf216a0a" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=112089&tt=280612_7_&babsrc=KW_ss&mntrId=6c73ab9300000000000000ffaf216a0a&q=" [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Admin\Dane aplikacji\Mozilla\Firefox\Profiles\qa99e403.default\searchplugins\startsear.xml [2012-06-28 15:55:28 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKLM..\Run: [zydjxizgqoigpoj] C:\Documents and Settings\All Users\Dane aplikacji\zydjxizg.exe () O4 - HKCU..\Run: [zydjxizgqoigpoj] C:\Documents and Settings\All Users\Dane aplikacji\zydjxizg.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Policies = C:\WINDOWS\system32\spynet\server.exe O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\spynet\server.exe :Files autorun.inf /alldrives C:\WINDOWS\system32\spynet C:\Documents and Settings\Admin\ms.exe C:\Documents and Settings\All Users\Dane aplikacji\bdtiyajpmaggvhq C:\Documents and Settings\All Users\Dane aplikacji\ulxrfvlkqjbfaki :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{77D009C2-C53F-49F2-BFF5-967ECC51782A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{77D009C2-C53F-49F2-BFF5-967ECC51782A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly / BabylonObjectInstaller / Babylon toolbar on IE / vShare.tv plugin 1.3 Otwórz Firefox i w Dodatkach odmontuj: Complitly / vShare.tv 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie na dodatkowym warunku - do okna Własne opcje skanowania/Skrypt wklej: HKLM\Software\Microsoft\active setup\installed components /s Wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przestań łamać zasady działu i zakładać podwójne tematy. Tamten drugi zostanie usunięty. Pomagamy wtedy kiedy mamy czas i jesteśmy w stanie to zrobić. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\ProgramData\qdqrejfdeknfgrp C:\ProgramData\tvmitkdiwbwgbot C:\ProgramData\rqwjwsxz.exe C:\ProgramData\mjfumlps.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\rt2870.sys -- (rt2870) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1935655697-162531612-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.damdownloader.com" IE - HKU\S-1-5-21-1935655697-162531612-1801674531-500\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=PL&install_date=20111027&user_guid=F9270C0AA157475FB0BE3AC8637B8D1B&machine_id=4c15c96519f68efbbc0045bb52f9787d&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}" IE - HKU\S-1-5-21-1935655697-162531612-1801674531-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=109805&babsrc=SP_ss&mntrId=e4b4e2b5000000000000002215685162" IE - HKU\S-1-5-21-1935655697-162531612-1801674531-500\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2413}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=0&systemid=413&sr=0&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "Searchqu Web Search" FF - prefs.js..browser.search.order.1: "Searchqu Web Search" FF - prefs.js..keyword.URL: "http://www.searchqu.com/web?src=ffb&appid=0&systemid=413&sr=0&q=" [2011-11-12 17:25:05 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\3w3040qo.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2011-11-12 17:24:58 | 000,002,520 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\3w3040qo.default\searchplugins\SearchResults.xml [2011-11-12 17:24:58 | 000,002,520 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\SearchResults.xml O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [startNowToolbarHelper] "C:\Program Files\StartNow Toolbar\ToolbarHelper.exe" File not found O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKU\S-1-5-21-1935655697-162531612-1801674531-500..\Run: [MSIDLL] C:\WINDOWS\System32\msiklc32.dll () O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_USERS\S-1-5-21-1935655697-162531612-1801674531-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Windows Searchqu Toolbar / StartNow Toolbar / SearchCore for Browsers 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=7203c11d00000000000000210034a593" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&babsrc=KW_ss&mntrId=7203c11d00000000000000210034a593&q=" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [jymxfpmkfyuigqw] C:\ProgramData\jymxfpmk.exe () O4 - HKCU..\Run: [jymxfpmkfyuigqw] C:\ProgramData\jymxfpmk.exe () :Files C:\ProgramData\elgfngusftnhrmr C:\ProgramData\ldcwglsxxgwimjz C:\Users\fiszka\0.11302864290135728.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-04-18 16:01:39 | 000,000,000 | ---D | M] (Bcool) -- C:\Users\Dun\AppData\Roaming\Mozilla\Firefox\Profiles\jpndh546.default\extensions\4f8daf3712e0a@4f8daf3712e0c.info O4 - HKU\S-1-5-21-1664460829-1821031617-1176298176-1000..\Run: [rnhiszfkejksqfh] C:\ProgramData\rnhiszfk.exe () :Files autorun.inf /alldrives C:\ProgramData\mebqaqnseidrxbc C:\ProgramData\twxhpvlxwvmswyk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - [2012-07-27 13:44:13 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\qmhhb.sys -- (fjpyrkvb) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.mywebsearch.com/index.jhtml?n=77DE8857&ptnrS=UXxdm015YYpl&ptb=338D3532-4F99-4409-A985-C4FF8CC234EB&si=maps4pc" FF - prefs.js..browser.search.defaultenginename: "My Web Search" FF - prefs.js..browser.search.selectedEngine: "My Web Search" FF - prefs.js..browser.startup.homepage: "http://home.mywebsearch.com/index.jhtml?ptb=338D3532-4F99-4409-A985-C4FF8CC234EB&n=77ed73ec&ptnrS=UXxdm015YYpl&si=maps4pc" FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?st=kwd&ptb=338D3532-4F99-4409-A985-C4FF8CC234EB&n=77ed73ec&ind=2012050412&id=UXxdm015YYpl&ptnrS=UXxdm015YYpl&si=maps4pc&searchfor=" [2012-05-04 12:43:56 | 000,009,631 | ---- | M] () -- \Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\wh1wsifd.default\searchplugins\my-web-search.xml [2012-05-25 11:03:20 | 000,000,000 | ---D | M] (MapsGalaxy) -- C:\USERS\ADAM\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\WH1WSIFD.DEFAULT\EXTENSIONS\39FFXTBR@MAPSGALAXY_39.COM O3 - HKLM\..\Toolbar: (MapsGalaxy) - {364ea597-e728-4ce4-bb4a-ed846ef47970} - C:\Program Files\MapsGalaxy_39\bar\1.bin\39bar.dll File not found O4 - HKLM..\Run: [WiaExtensionHost64] C:\Users\Adam\AppData\Local\Microsoft\Windows\730\WiaExtensionHost64.exe () :Files C:\Users\Adam\AppData\Local\Microsoft\Windows\730 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

To nie jest problem infekcyjny i już doszliśmy do tego gdzie leży problem. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: netsh int ip set interface 11 mtu=1492 Restart komputera i sprawdź efekty. Temat wędruje do Sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331285797_736731 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={7DD3FF86-A7FC-11E1-9E71-18F46AF462D7}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={7DD3FF86-A7FC-11E1-9E71-18F46AF462D7}" O2 - BHO: (SweetPacks Browser Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" File not found O4 - HKLM..\Run: [sweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe File not found O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Paweł\AppData\Local\Akamai\netsession_win.exe" File not found O4 - HKCU..\Run: [MSIDLL] C:\windows\SysWOW64\rundll32.exe msilvb32.dll,MaRnGit File not found O4 - HKCU..\Run: [sisnjuakriahnxe] C:\ProgramData\sisnjuak.exe () :Files C:\ProgramData\nvmrrlisrdtgutz C:\ProgramData\qnimgqgxjuchtuh C:\Users\Paweł\0.7395355043603702.exe :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać żadnej aktywnej infekcji. Temat zmienia dział. Zacznij od sprawdzenia czy problem występuje także jak zrobisz czysty rozruch: KLIK