Witam. Od dłuższego czasu miałem problemy z wysokim pingiem, po założeniu tematu w dziale sieci dowiedziałem się, że logi powinienem zamieścić tutaj. Więc zgodnie z radą jednego z użytkowników, zamieszczam tu logi i proszę o pomoc w usunięciu niepożądanych infekcji.
OTL:
Extras:
Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
Raporty umieść na http://wklej.org/ i podaj link.
Odinstaluj Google Update Helper.Otwórz Notatnik i wklej:
HKU\.DEFAULT\...\RunOnce: [nltide_2] - regsvr32 /s /n /i:U shell32
HKU\.DEFAULT\...\RunOnce: [_nltide_3] - rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3310393octid=EB_ORIGINAL_CTIDSearchSource=58CUI=UM=2UP=SPBFC9116C-E13C-4F01-9749-26E4154DC386q={searchTerms}
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3310393octid=EB_ORIGINAL_CTIDSearchSource=58CUI=UM=2UP=SPBFC9116C-E13C-4F01-9749-26E4154DC386q={searchTerms}
SearchScopes: HKCU - {0388404D-6072-4CEB-B521-8F090FEAEE57} URL = http://klit.startnow.com/s/?q={searchTerms}src=defsearchprovider=provider_name=yahooprovider_code=partner_id=693product_id=741affiliate_id=channel=toolbar_id=200toolbar_version=2.4.0install_country=PLinstall_date=20121221user_guid=2D880F9E384C400087D0B51F4950C711machine_id=4d4c8a646c4d06786a27f14594407cfebrowser=IEos=winos_version=5.1-x86-SP3iesrc={referrer:source}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}babsrc=SP_ss_Btisdt7mntrId=D8B600241DC5E9C3affID=120007tt=180613_ndtctsp=4920
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}SearchSource=4ctid=CT3220468
SearchScopes: HKCU - {BE139A2A-6379-45B4-8FF3-00E67F35ABB5} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {C6133AA0-173D-4E07-AC96-5203E64073C0} URL = http://www.mysearchresults.com/search?c=2408t=14q={searchTerms}
FF Extension: No Name - E:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2014-06-22]
CHR HKLM\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - E:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-11-19]
CHR HKLM\...\Chrome\Extension: [hifmlofjbijcpgecnelabkpppliiieef] - E:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha1102\ch\WebexpEnhancedV1alpha1102.crx [2012-11-19]
CHR HKLM\...\Chrome\Extension: [liibpejlpebkfpddljfpipkpjhphifon] - E:\Program Files\Savevid\SavevidChrome.crx [2012-11-19]
CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - E:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2012-11-19]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
S3 catchme; \\E:\DOCUME~1\Dom\USTAWI~1\Temp\catchme.sys [X]
S3 EagleXNt; \\E:\WINDOWS\system32\drivers\EagleXNt.sys [X]
S3 esgiguard; \\E:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 XDva401; \\E:\WINDOWS\system32\XDva401.sys [X]
2014-07-08 10:39 - 2014-07-08 10:39 - 00025948 _____ () E:\ComboFix.txt
2014-07-08 10:39 - 2014-07-08 10:39 - 00000000 ____ D () E:\Documents and Settings\NetworkService\Ustawienia lokalne\temp
2014-07-08 10:39 - 2014-07-08 10:39 - 00000000 ____ D () E:\Documents and Settings\Default User\Ustawienia lokalne\temp
2014-07-08 10:28 - 2014-07-08 10:39 - 00000000 ____ D () E:\Qoobox
2014-07-08 10:28 - 2011-06-26 08:45 - 00256000 _____ () E:\WINDOWS\PEV.exe
2014-07-08 10:28 - 2010-11-07 19:20 - 00208896 _____ () E:\WINDOWS\MBR.exe
2014-07-08 10:28 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) E:\WINDOWS\NIRCMD.exe
2014-07-08 10:28 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) E:\WINDOWS\SWREG.exe
2014-07-08 10:28 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) E:\WINDOWS\SWSC.exe
2014-07-08 10:28 - 2000-08-31 02:00 - 00212480 _____ (SteelWerX) E:\WINDOWS\SWXCACLS.exe
2014-07-08 10:28 - 2000-08-31 02:00 - 00098816 _____ () E:\WINDOWS\sed.exe
2014-07-08 10:28 - 2000-08-31 02:00 - 00080412 _____ () E:\WINDOWS\grep.exe
2014-07-08 10:28 - 2000-08-31 02:00 - 00068096 _____ () E:\WINDOWS\zip.exe
E:\Documents and Settings\Default User\ytb.exe
E:\Documents and Settings\Dom\ytb.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Fixlog:
Dzięki za pomoc. Niestety nie widać dużych zmian, co dowodzi, że wina leży po stronie dostawcy i pora go zmienić 
Skasuj folder C:\FRST
Użyj http://www.bleepingcomputer.com/download/tfc/ (uruchom TFC i kliknij Start).
Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
Język PL > Settings > General Settings > Language > Polish