jessica

Otwórz Notatnik i wklej w nim:

C:\Users\tds\AppData\Roaming\Adobex32x
C:\ProgramData\InstallMate
S3 VGPU; System32\drivers\rdvgkmd.sys [x]
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
HKCU\...\Run: [AdobeUpdate] - C:\Users\tds\AppData\Roaming\Adobex32x\invis.vbs [78 2012-07-02] ()
C:\Users\tds\AppData\Roaming\Adobex32x\winsvchost.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

Zrób nowe logi FRST (Addition też).

Do  >SystemLook-64 wklej:

:filefind
winsvchost.exe
invis.vbs

:regfind
winsvchost.exe
invis.vbs

Naciśnij Look i pokaż raport.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomagania na Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Do usunięcia jest tylko jeden śmieć (ale to nie ma żadnego związku z Twoim problemem):

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-06-06 18:51:10 | 000,000,000 | -HSD | M] -- C:\Users\PC\AppData\Roaming\wyUpdate AU
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=2.1.3: C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKCU\Software\MozillaPlugins\@Skype Limited.com/Facebook Video Calling Plugin: C:\Users\PC\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll File not found
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1277319777-1342398934-863662590-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

jessi

Otwórz Notatnik i wklej w nim:

C:\Users\tds\Videos\napsnap.exe
C:\Users\tds\Videos\mfcmifc.exe
C:\Users\tds\AppData\Roaming\Adobex32x\winsvchost.exe
C:\Users\tds\AppData\Roaming\Adobex32x\invis.vbs
C:\Users\tds\AppData\Roaming\Adobex32x
C:\Users\tds\Videos
HKCU\...\Run: [AdobeUpdate] - C:\Users\tds\AppData\Roaming\Adobex32x\invis.vbs [78 2012-07-02] ()
HKCU\...\Policies\Explorer: [HideSCAHealth] 1
HKCU\...\Runonce: [MFC Managed Interfaces Library] - C:\Users\tds\Videos\mfcmifc.exe
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

Zrób nowe logi z FRST.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomaganiana Forum (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

C:\Users\tds\Videos\napsnap.exe
C:\Users\tds\Videos\mfcmifc.exe

Znasz te powyższe?

Otwórz Notatnik i wklej w nim:

HKLM\...\Policies\Explorer: [HideSCAHealth] 1
C:\Users\tds\AppData\Roaming\PTSx64\winsvchost.exe
HKCU\...\RunOnce: [MFC Managed Interfaces Library] - C:\Users\tds\Videos\mfcmifc.exe [17920 2013-11-19] ()
C:\Users\tds\Videos\mfcmifc.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?searchsource=10&cui=un39948887164765202&um=2&ctid=ct3289847&sspv=tb_t5
FF NewTab: chrome://fvd.speeddial/content/fvd_about_blank.html
FF Homepage: chrome://fvd.speeddial/content/fvd_about_blank.html

Zrób nowy log z FRST (już bez Addition).

jessi

Infekcja usunięta.

Qtrax Player (HKCU)
Qtrax Player (x32 Version: 1.00.0001)

Jeśli tego nie używasz, to odinstaluj.

Teraz już możesz spokojnie czekać na wyzdrowienie @Picasso - (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

To dobrze!
 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

FSS -usuń ręcznie.

FRST - na razie niech zostanie.

jessi

A więc jest OK, ten Fix.Reg niepotrzebny.

Nie wiem, dlaczego Defender dalej nie działa.

Musisz chyba czekać na @Picasso - choć wydaje mi się, że ten dział Forum ma Moderatora, więc może On wie, co jest "nie tak"?

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości pomagania (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Już jest po operacji, ale kiedy zacznie pomagac - nie wiem.

1) Odinstaluj:

"V9Software" = V9 Homepage Uninstaller

"NewTabs" = NewTabs Uninstall
"{1270EE0A-2E34-4BB1-B0E7-CF8DB6F1FE75}" = IObit Apps Toolbar v7.4

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKU\S-1-5-21-2387539136-3764754847-301430632-1000..\Run: [Dhqqqt] C:\Users\Kasia\AppData\Roaming\Dhqqqt.exe (AdSndUisb)
O4 - HKLM..\Run: []  File not found
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&ilc=12&type=668083"
[2012-09-17 13:33:45 | 000,000,402 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml

:Files
H:\yhh.bat
H:\*.lnk
attrib /d /s -s -h H:\* /C

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

3) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

4) Zrób nowy log z USBFix

5) Zrób nowy log z OTL.

jessi

Może ten Fix nie jest potrzebny?

>>Start >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services >
>zaznacz: WinDefend >
>w okienku po prawej sprawdź jaka wartość jest w pozycji "Start"
>zwiń ten klucz, klikając na (-).

jessi

Co do logów z OTL i FRST: nie widzę w nich żadnej infekcji.

Kosmetyka. Otwórz Notatnik i wklej w nim:

S3 ALSysIO; \??\C:\Users\ADRIAN~1\AppData\Local\Temp\ALSysIO64.sys [x]

R3 WinRing0_1_2_0; \??\C:\Users\ADRIAN-DOM\AppData\Local\Temp\tmpA642.tmp [x]

C:\Users\ADRIAN-DOM\AppData\Local\Temp\PidGenX.dll

C:\Users\ADRIAN-DOM\AppData\Local\Temp\raptrpatch.exe

C:\Users\ADRIAN-DOM\AppData\Local\Temp\raptr_stub.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

Usluga Windows Search zakonczyla dzialanie; wystapil nastepujacy blad: %%2

Ten Error nie wynika z infekcji.

jessi

W tych logach także nie widzę żadnej infekcji.

Musisz czekać na @Picasso, by oceniła, co jest powodem problemu: sprzęt, czy może jakiś program, albo System?

jessi

W logach FRST nie widzę już niczego podejrzanego.

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000

Zrób log z FSS.

jessi

Nie dałeś logu FRST Addition.

Otwórz Notatnik i wklej w nim:

HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKCU\...\Run: [EADM] - D:\Nowy folder\Origin\Origin.exe [3561816 2013-11-18] (Electronic Arts)
HKCU\...\Policies\Explorer: [NoWindowsUpdate] 1
HKLM-x32\...\Run: [Adobe] - C:\Users\KOMP\AppData\Roaming\Adobe\color.vbe [15361 2013-01-19] ()
C:\Users\KOMP\AppData\Roaming\Adobe\color.vbe
U3 ay00ojwu; C:\Windows\System32\Drivers\ay00ojwu.sys [0 ] (Microsoft Corporation)
S3 gdrv; \??\C:\Windows\gdrv.sys [x]
C:\Users\KOMP\AppData\Local\Temp\ICReinstall_uTorrent_Installer.exe
C:\Users\KOMP\AppData\Local\Temp\libcurl-4.dll
C:\Users\KOMP\AppData\Local\Temp\libeay32.dll
C:\Users\KOMP\AppData\Local\Temp\libidn-11.dll
C:\Users\KOMP\AppData\Local\Temp\librtmp.dll
C:\Users\KOMP\AppData\Local\Temp\libssh2.dll
C:\Users\KOMP\AppData\Local\Temp\libusb-1.0.dll
C:\Users\KOMP\AppData\Local\Temp\nv3DVStreaming.dll
C:\Users\KOMP\AppData\Local\Temp\nvSCPAPI.dll
C:\Users\KOMP\AppData\Local\Temp\nvSCPAPI64.dll
C:\Users\KOMP\AppData\Local\Temp\nvStereoApiI.dll
C:\Users\KOMP\AppData\Local\Temp\nvStInst.exe
C:\Users\KOMP\AppData\Local\Temp\pthreadGC2.dll
C:\Users\KOMP\AppData\Local\Temp\r3steam.exe
C:\Users\KOMP\AppData\Local\Temp\SkypeSetup.exe
C:\Users\KOMP\AppData\Local\Temp\sonarinst.exe
C:\Users\KOMP\AppData\Local\Temp\ssleay32.dll
C:\Users\KOMP\AppData\Local\Temp\svchost.exe
C:\Users\KOMP\AppData\Local\Temp\ubi2D19.tmp.exe
C:\Users\KOMP\AppData\Local\Temp\zlib1.dll
C:\Users\KOMP\AppData\Local\Temp\_is31C9.exe

Daj ten raport.

Zrób nowe logi z FRST (zaznacz:Addition)

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Jest infekcja.

1) Odinstaluj C:\Program Files (x86)\DAEMON Tools Toolbar

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

3) Daj logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

jessi

RD ]     J:\Muzyka

Na "J" wszystkie foldery mają atrybut "r" - czy nie ma przeszkód w dostaniu się do ich zawartości?

jessi

Error - 2013-11-18 15:57:20 | Computer Name = RodzinaK | Source = Microsoft-Windows-WHEA-Logger | ID = 20

Description = Wystąpił krytyczny błąd sprzętowy.    Składnik: mostek północny firmy

AMD  Źródło błędu: 3  Typ błędu: 2  Identyfikator kontrolera APIC procesora: 0    Widok szczegółów

 tego wpisu zawiera dodatkowe informacje.

Biorąc to powyższe pod uwagę, to raczej nie jest wina infekcji.

W logach OTL - nie widać zresztą żadnej.

jessi

Nie ma najmniejszego śladu po infekcji.

1) Odinstaluj:

"{5C61A5E0-B786-44BC-BCBB-413C56D37F96}" = pdfforge Toolbar v8.1

"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

3) Zrób nowy log z OTL.

4) Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)
Być może trzeba też zainstalować nowszą wersję Javy 64 bit >http://java.com/pl/download/faq/java_win64bit.xml

Pewnie miałeś najnowszą wersję tej infekcji: po zamknięciu okna POLIZJI infekcja niszczy sama siebie.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

W logu nie widzę ani tej infekcji, ani żadnej innej.

Są sponsorskie śmieci, ale to mniej ważne. Może poczekać, aż będziesz mógł wejść w Tryb Normalny.

jessi

Wg mnie - jest OK.

W USBFix kliknij na przycisk UNINSTALL.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Może @Picasso, jak już wyzdrowieje, to będzie miała jeszcze jakieś zalecenia lub uwagi, ale na to możesz już spokojnie czekać.

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
SRV - [2013-10-10 22:11:09 | 001,733,448 | ---- | M] (AVG Secure Search) [Auto | Running] -- C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.0.12\ToolbarUpdater.exe -- (vToolbarUpdater17.0.12)
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\17.0.12\\npsitesafety.dll ()
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [vProt] C:\Program Files (x86)\AVG Nation toolbar\vprot.exe ()
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\17.0.12\ViProtocol.dll (AVG Secure Search)
[2013-11-14 20:54:25 | 000,385,528 | ---- | M] () -- C:\WINDOWS\SysNative\ApnDatabase.xml

:Files
J:\cbbw88s.exe
J:\689342.exe
J:\*.lnk
attrib /d /s -s -h J:\* /C

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z USBFix LISTING.

Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

W logach nie widzę niczego podejrzanego.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKLM..\Run: [sTCAgent] "C:\Program Files (x86)\Splashtop\Splashtop Connect IE\STCAgent.exe" File not found
O4 - HKLM..\Run: [ZyngaGamesAgent] "C:\Program Files (x86)\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" File not found

:Commands
[emptytemp]

Nie wiem, kiedy @Picasso będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

Na wszelki wypadek przygotuj wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

jessi

W nowym logu nie widzę już niczego do usuwania.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

Teraz możesz trochę spokojniej czekać, aż wyzdrowieje @Picasso.(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

Przepraszam za stwarzanie problemow, nie wiedzialam, ze jest taka sytuacja, bo w innym razie nie prosilabym o pomoc i nie zawracalabym nikomu glowy. 

To nie Twoja wina, więc nie masz za co przepraszać.

Po prostu takie sytuacje zdarzają się życiu, czy tego chcemy, czy nie.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgvmodem.sys -- (LGVMODEM)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgbtbus.sys -- (lgbusenum)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgbtport.sys -- (LgBttPort)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\USER\AppData\Local\Temp\catchme.sys -- (catchme)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetndis.sys -- (andnetndis)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetmodem.sys -- (ANDNetModem)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgandnetdiag.sys -- (AndNetDiag)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\lgandnetadb.sys -- (andnetadb)

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\LyricsArt@SternoC.co: C:\Program Files\LyricsArt\116.xpi

[2010/09/14 13:41:12 | 000,002,506 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml

O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll File not found

O3 - HKU\S-1-5-21-1424421345-115930411-479481771-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

 

:Files

C:\Program Files\LyricsArt

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]

"SPONSORS"="DISABLE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-1424421345-115930411-479481771-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[-HKEY_USERS\S-1-5-21-1424421345-115930411-479481771-1000\Software\Microsoft\Internet Explorer\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}]

[-HKEY_USERS\S-1-5-21-1424421345-115930411-479481771-1000\Software\Microsoft\Internet Explorer\SearchScopes\{A6722584-4A36-4956-B012-45CEE59D1929}]

[HKEY_USERS\S-1-5-21-1424421345-115930411-479481771-1001\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

 

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Zainstaluj nowszą, bezpieczniejszą wersję Javy:

>http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1880261.html (wybierz: Windows x86 Offline lub Online)

jessi

1) Otwórz Notatnik i wklej w nim:

HKCU\...\Run: [minerd] - "C:\Users\HaPe\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\HaPe\AppData\Roaming\minerd\start.bat"
C:\Users\HaPe\AppData\Roaming\minerd
HKCU\...\Run: [svchost] - "C:\ProgramData\svchost0\nnkzcpsaq.exe"
C:\ProgramData\svchost0
Task: {3791EDCE-E73B-4F3C-9B55-41B79CAF12F2} - \RegClean Pro_UPDATES No Task File
Task: {6F9ED8DB-A837-4FE3-BE1E-30EF0A414141} - \DigitalSite No Task File
Task: {7C46A5D6-5120-498D-8467-7A3677E1205B} - \Windows Update Check - 0x0C290301 No Task File
Task: {E1FA9DAD-CE82-440D-8E80-7A46E31DBF5C} - \RegClean Pro_DEFAULT No Task File
IMEO\mbam.exe: [Debugger] utzxq_.exe
IMEO\mbamgui.exe: [Debugger] uthqt_.exe
IMEO\MSASCui.exe: [Debugger] ufhpd_.exe
IMEO\MsMpEng.exe: [Debugger] isyun_.exe
IMEO\msseces.exe: [Debugger] ttdas_.exe
IMEO\rstrui.exe: [Debugger] uex_.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
S2 Util WebConnect; "C:\Program Files (x86)\WebConnect\bin\utilWebConnect.exe" [x]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x]
2013-10-27 22:25 - 2013-07-31 00:30 - 00386923 _____ C:\Windows\system32\ApnDatabase.xml
C:\Users\HaPe\AppData\Local\Temp\aria.exe
C:\Users\HaPe\AppData\Local\Temp\duznffnqdua.exe
C:\Users\HaPe\AppData\Local\Temp\Extract.exe
C:\Users\HaPe\AppData\Local\Temp\nircmd.exe
C:\Users\HaPe\AppData\Local\Temp\setup.exe
C:\Users\HaPe\AppData\Local\Temp\SP61277.exe
C:\Users\HaPe\AppData\Local\Temp\SP62765.exe
C:\Users\HaPe\AppData\Local\Temp\SP63283.exe
C:\Users\HaPe\AppData\Local\Temp\SP63286.exe
C:\Users\HaPe\AppData\Local\Temp\SP63287.exe
C:\Users\HaPe\AppData\Local\Temp\SP63340.exe
C:\Users\HaPe\AppData\Local\Temp\SP63752.exe
C:\Users\HaPe\AppData\Local\Temp\ztjtebhzezr.exe

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.
Daj ten raport.

2) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv]
"DisplayName"="@%SystemRoot%\\system32\\FirewallAPI.dll,-23092"
"Group"="network"
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,00,\
  72,00,69,00,76,00,65,00,72,00,73,00,5c,00,6d,00,70,00,73,00,64,00,72,00,76,\
  00,2e,00,73,00,79,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\FirewallAPI.dll,-23093"
"ErrorControl"=dword:00000001
"Start"=dword:00000003
"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv\Enum]
"0"="Root\\LEGACY_MPSDRV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

3) >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".

4) >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Update>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".

5) >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Zapora Systemu Windows>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie >OK
Kliknij na "Uruchom ponownie".

6) >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Defender>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (lub ręcznie) >OK
Kliknij na "Uruchom ponownie".

7) Zrób log z FSS

8)Zrób logi z FRST

jessi