jessica

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni. Do czasu uzyskania od Niej konkretnej pomocy, możesz zrobić przynajmniej to: Sprawdź te pliki na --> JOTTI/ albo na VIRUSTOTAL jessi

ale tu się rzuca w oczy pewna niezgodność: skoro wersja FRST jest z 26 kwietnia, to niemożliwe jest, by log był zrobiony dzień wcześniej (25. 04), niż pojawiła się ta wersja FRST. Może Użytkownik ma u siebie przestawioną datę? W takim przypadku logi są aktualne. jessi

Jeśli @Picasso nie będzie miała jeszcze jakichś zaleceń, to zakończymy: Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. przez SHIFT+DEL usuń pozostały folder C:\FRST W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL). jessi

Aha, w takim razie zostawiamy to w spokoju. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log. jessi

Czy Adw-Cleaner nie usunął przez pomyłkę programu zainstalowanego przez Ciebie? jessi

To dobrze. Teraz już będziesz mógł spokojnie, bez nerwów czekać, aż @Picasso tu zajrzy (nie wiem kiedy?). W logach widać jeszcze kilka rzeczy do usunięcia, ale to tylko kosmetyczne usuwanie, więc może zaczekać. Masz Adw-Cleaner, ale nie jestem pewna, czy go użyłeś, jeśli nie, to teraz możesz użyć: najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt Działają dwa Antywirusy - jeden z nich usuń. Do usuwania NOD'a służy ESET Uninstaller - http://kb.eset.com/esetkb/index?page=content&id=SOLN2289&cat=EAV&actp=LIST Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility jessi

Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log. Zrób nowe logi FRST. czy to trochę poprawiło sytuację? jessi

A teorii o istnieniu SALITY nie potwierdzają Twoje logi - nic nie wskazuje na istnienie tej infekcji. Prawdopodobnie problemy wywołują te: Pierwszy jest na liście Twoich programów, więc od razu go odinstaluj. Natomiast drugiego nie widzę na liście Twoich programów, więc usuwanie poda Ci @Picasso (jak już podasz brakujące logi). webssearches uninstaller - to tez możesz odinstalować od razu, jeszcze przed zrobieniem logów z FRST. jessi

@Picasso Dzięki za wytłumaczenie. Ale nie zgadzam się z Tobą w kwestii tego: Przecież wyraźnie widać, że FRST nie widzi tego, co widzi OTL (logi robione prawie w tym samym czasie, więc można wykluczyć, że w międzyczasie Użytkownik podpiął pendrive i nastąpiła reinfekcja, a dwie usługi były zarówno w FRST, jak i OTL, ale w FRST te usługi były uznane za bezplikowe, ): Log FRST: W logu FRST nie ma w ogóle pliku "clitj.dll" Log OTL: Wyraźnie widać, że FRST nie wykrył pliku tej usługi, i nie wykrył dwóch innych usług związanych z tym plikiem. Dlatego zaleciłam dodatkowe ustawienie w OTL - skoro FRST nie jest w stanie zobaczyć aktywnego Confickera, wykrywa tylko nieaktywne ślady. Usługi "fkczmzlw" i "stxqdqyoo" były zarówno w czasie wykonywania logu FRST, jak i logu OTL, ale tylko OTL określił je jako aktywne, z plikiem. jessi

W tych logach nie widzę już aktywnego Confickera (jest tylko ślad). Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowe logi z OTL - na takim samym dodatkowym ustawieniu, jak ostatnio. Zrób też logi z FRST, bo może @Picasso zechce je obejrzeć. jessi

ArcaBit niech to usunie - "Downadup" to inna nazwa Confickera. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno: W pole Własne opcje skanowania/Scrypt wklej: i dopiero wtedy kliknij Skanuj. jessi

Hmm, w logu FRST widać tylko ślady po Confickerze, natomiast w logach OTL widać, że Conficker jest dalej aktywny. Ja nie zastąpię @Picasso, ale przynajmniej można spróbować usunąć. Ponieważ FRST nie widzi Confickera, to usuwać go będziemy w OTL, Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. jessi

Patrzę, patrzę, i jakoś nie widzę tu ani jednej osoby spośród tych, którzy od wielu tygodni, a nawet miesięcy, oczekują na pomoc w dziale pomocy doraźnej. Podkreślam: ani jednej. Warto byłoby poznać ich zdanie, czy w pewnych sytuacjach dopuścić inne osoby do pomagania, czy lepiej czekać kilka miesięcy na pomoc. Tylko ich zdanie tu się liczy. Niestety, obawiam się, że osoby te nie piszą tu, bo obawiają się zemsty - ich tematy zostaną pominięte przy pomaganiu. A piszą tu tylko osoby, które nie oczekują na pomoc, tylko po co piszą, jeśli nie jest znane zdanie samych zainteresowanych, czyli osób potrzebujących pomocy? Jest znane takie określenie: sztuka dla sztuki. Doskonale pasuje do sytuacji. jessi

czy w międzyczasie podpinałeś jakiś pendrive? a może zrób nowe logi z FRST i OTL? z tym, że logi OTL zrób na dodatkowym ustawieniu: W pole Własne opcje skanowania/Scrypt wklej: i dopiero wtedy kliknij Skanuj. jessi

Widzę, ze dalej czekasz, choć już upłynęło tyle czasu - nie ma sensu dalej czekać na pomoc, bo chyba sam już zauważyłeś, że to Forum rozpada się, sypie się jak łupież z głowy. To być może z powodu złego stanu zdrowia Picasso, nie wiem tego, bo nikt o tym nie napisał, nie wytłumaczył użytkownikom czekającym na pomoc.

FSS nic ciekawego nie wykrył. Windows Defender jest wyłączony, ale to chyba sam go wyłączyłeś? Kosmetyka: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie Daj go. Na ostateczną ocenę musisz poczekać na @Picasso. Nie wiem, kiedy zajrzy do Twego tematu. Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi

@Picasso miała już dziś zacząć pomagać, ale wygląda na to, że jeszcze nie całkiem wyzdrowiała. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. Zrób nowe logi z FRST. Zrób log z Farbar Service Scanner. jessi

1) Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. 2) Zrób log z OTL na ustawieniach: Procesy - brak Moduły - brak Usługi - brak Sterowniki - brak Rejestr-skan dodatkowy - brak zaznacz w okienku przy "Pomiń pliki Microsoftu" zaznacz w okienku przy "Pomiń znane dobre pliki" brak zaznaczenia przy "Infekcja LOP" brak zaznaczenia przy "Infekcja Purity". W pole Własne opcje skanowania/Scrypt wklej: i dopiero wtedy kliknij Skanuj. 3) Zrób nowy log z USBFix LISTING. To o tych skrótach pisałeś? Wuygląda na to, że w nich jakieś obiekty, bo mają duży rozmiar. Teoretycznie trzeba je całkowicie usunąć, ale jakoś nie mam odwagi tego zalecić, nie chcę zaszkodzić. jessi

Ja daję to do usuwania, ale jeśli znasz to, to usuń całą linijkę z tym z poniższego Skryptu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :Files RECYCLER /alldrives C:\Users\asiaarek\AppData\Local\dt.dat F:\hflouiygf :Reg [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [-HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6E71E502-B218-4259-86C5-CED6E6306E6C}] :Commands [emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z USBFix, z opcji LISTING. jessi

@Picasso ma już dziś (po wyzdrowieniu) zacząć pomagać - ale nie jest to takie pewne ... W logach widzę tylko resztki dawnej infekcji. Usuniemy je: Wg mnie tak nie powinno być (brak pliku Systemowego). Ale to, i ewentualnie inne "rzeczy" (których ja nie dostrzegam) pozostawiam dla @Picasso. Log FRST.txt nie jest cały. jessi

Dziś ma już, po wyzdrowieniu, pomagać @Picasso, więc jeśli rzeczywiście tak będzie, to nie wykonuj moich zaleceń, lecz zalecenia @Picasso! 1) Są ślady po sponsorskich śmieciach, więc użyj AdwCleaner. najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner[s0].txt 2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: :OTL [2013-11-28 23:46:01 | 000,000,000 | ---D | C] -- C:\Users\asiaarek\Documents\Mobogenie [2013-11-28 23:46:01 | 000,000,000 | ---D | C] -- C:\Users\asiaarek\AppData\Local\Mobogenie O7 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Update = "C:\Users\asiaarek\AppData\Roaming\Identities\obymc\obymc.exe" -shell O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 5087 = c:\progra~2\dxnursf.exe O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [Gvlalg] C:\Users\asiaarek\AppData\Roaming\Microsoft\Gvlalg.exe File not found O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [minerd] C:\Users\asiaarek\AppData\Roaming\minerd\nircmd.exe (NirSoft) O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [Real Desktop] "C:\Program Files\Real Desktop\Real Desktop.exe" File not found O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [screen Saver Pro 3.1] C:\Users\asiaarek\AppData\Roaming\ScreenSaverPro.scr File not found O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe () O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" File not found O4 - HKLM..\Run: [bambooCore] C:\Program Files\Bamboo Dock\BambooCore.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wacomvhid.sys -- (wacomvhid) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wacommousefilter.sys -- (wacommousefilter) :Files K:\.Trasher C:\Users\asiaarek\AppData\Roaming\pwo6 C:\Users\asiaarek\AppData\Roaming\minerd C:\Users\asiaarek\AppData\Roaming\Babylon C:\Program Files\Mobogenie C:\Users\asiaarek\AppData\Roaming\Identities\obymc K:\*.lnk attrib /d /s -s -h K:\* /C :Reg [HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\Main] "Start Page"="http://www.google.com/" [-HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. 3) Zrób log z USBFix Kliknij w nim na LISTING. Daj raport z tego. jessi

Kosmetyka: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt.Raportu z tego już nie dawaj. W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL) W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną. Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso. Teoretycznie zacznie pomagać, po wyzdrowieniu, od poniedziałku, ale nie wiadomo, kiedy zajrzy do Twego tematu (ma zaległości jeszcze z września, października, listopada). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi

Teraz powinno już być OK. Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso (prawdopodobnie zacznie znów pomagać od poniedziałku, ale nie wiadomo, kiedy zajrzy do Twego tematu - ma zaległe tematy od września!). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. W USBFix kliknij na przycisk UNINSTALL. Rogue Killer - usuń ręcznie. OTL i FRST -na razie niech jeszcze zostaną, może @Picasso jeszcze coś zaleci do nich. jessi

Pen "G" jest pusty? USBFix nic na nim nie widzi. Ale na "D" i na "E" są pliki infekcji. Usuniemy je: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z USBFix LISTING. jessi

"pqriuoc.sys" to prawdopodobnie wirtualny obiekt stworzony przez GMER. Skan VBA to plik o rozszerzeniu *.html - Forum nie dopuszcza takich załączników ze względu na to, że infekcja RAMNIT/NIMNUL zaraża wszystkie pliki *.html, co mogłoby zarazić Forum. Wszystkie foldery są w Autostarcie! To nie jest normalne. Na rozwiązanie tego problemu musisz poczekać na @Picasso - prawdopodobnie już od poniedziałku zacznie znów pomagać po wyzdrowieniu. Log FRST Addition - jest pusty, brak w nim zawartości (jest tylko nagłówek). jessi