jessica

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Na "G" nie masz żadnych folderów, wg logu USBFix.

1) Odinstaluj "BuzzSearch" = BuzzSearch 2013.11.07.232809

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2012/11/30 23:18:40 | 095,023,320 | ---- | C] () -- C:\ProgramData\0tbpw.pad
[2013/11/18 01:42:30 | 069,554,284 | -HS- | C] () -- C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
[2013/11/18 02:23:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\BuzzSearch
O4 - Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
O4 - HKCU..\Run: [iTunesHelper] wscript.exe //B "C:\Users\Piotr\AppData\Local\Temp\iTunesHelper.vbe" File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O2 - BHO: (BuzzSearch) - {5cf5a690-c8f4-488e-9d20-f21aef602d41} - C:\Program Files (x86)\BuzzSearch\BuzzSearchBHO.dll (BuzzSearch)
[2012/01/08 14:56:20 | 000,000,792 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\mozilla\firefox\profiles\85e5vfsn.default\searchplugins\startsear.xml
[2013/11/08 00:28:10 | 000,008,373 | ---- | M] () (No name found) -- C:\Users\Piotr\AppData\Roaming\mozilla\firefox\profiles\85e5vfsn.default\extensions\firefox@mybuzzsearch.com.xpi
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=80ad6ecb-3a00-11e1-9034-e811329756ef&q="
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=80ad6ecb-3a00-11e1-9034-e811329756ef&q={searchTerms}

:Files
G:\iTunesHelper.vbe

:Commands
[emptytemp]

3) Zrób log z USBFix LISTING

4) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

5) Zrób nowy log z OTL na ustawieniach:
Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".

jessi

Źle trafiłaś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

1) Odinstaluj:

WebConnect 3.0.0

Searchqu Toolbar (Version: 4.1.0.3114)

Qtrax Player (Version: 01.001.0001)

Avira SearchFree Toolbar (Version: 12.6.0.1898) - bo w logach widzę Avasta, a nie wolno mieć dwóch Antywirusów

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

3) Otwórz Notatnik i wklej w nim:

Task: {72484409-7924-41C3-B5A8-7EA63DB97BE1} - System32\Tasks\Dealply => C:\Users\USER\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE
Task: {72C73285-4669-4939-8EDB-4BDC1F8C9D6D} - System32\Tasks\Hoolapp For Android => C:\Users\USER\AppData\Roaming\HOOLAP~1\UPDATE~1\UPDATE~1.EXE
C:\Users\USER\AppData\Roaming\Dealply
C:\Users\USER\AppData\Roaming\HOOLAP~1
Task: {95024117-10C3-4BD6-A211-DBD5C9548913} - System32\Tasks\DealPlyUpdate => C:\Program
Task: {BAEF4C24-76B4-4E1F-AB58-2C8CA4E08653} - System32\Tasks\Hoolapp Init => C:\Users\USER\AppData\Roaming\HOOLAP~1\Hoolapp.exe
Task: C:\Windows\Tasks\Dealply.job => C:\Users\USER\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000Core.job => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000UA.job => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe
C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: {6429C6B6-0B18-4B4B-B540-5817D8332D62} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000UA => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-10-08] (Facebook Inc.)
Task: {18B57A10-59A8-4223-BA6A-8B6B648D2FE2} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1424421345-115930411-479481771-1000Core => C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe [2012-10-08] (Facebook Inc.)
HKLM\...\Run: [DATAMNGR] - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\DATAMN~1.EXE
C:\PROGRA~1\BEARSH~1
HKCU\...\Run: [Facebook Update] - C:\Users\USER\AppData\Local\Facebook\Update\FacebookUpdate.exe [138096 2012-10-08] (Facebook Inc.)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page"
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=hp&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1377720625
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=&utm_content=ds&from=cor&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1377720625
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=384&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - URL http://isearch.babylon.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss_Btisdt4&mntrId=A40FE0CB4E268068
SearchScopes: HKCU - {0D7562AE-8EF6-416d-A838-AB665251703A} URL = http://start.facemoods.com/?a=gppc&s={searchTerms}&f=4
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=121845&tt=gc_&babsrc=SP_ss_btis2&mntrId=A40FE0CB4E268068
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=UG&apn_dtid=YYYYYYYYIT&apn_uid=F4189569-9094-448C-9635-0AAC52775A4E&apn_sauid=9265078D-4F82-48AA-94AC-EF271A271863
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=ds&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418410&type=default&q={searchTerms}
SearchScopes: HKCU - {8A244612-A1F7-11E0-95C0-E71F4824019B} URL = http://badoo.com/startpage/?source=bsb&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=384&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - {A6722584-4A36-4956-B012-45CEE59D1929} URL = http://search.softonic.com/MOY00010/tb_v1?q={searchTerms}&SearchSource=4&cc=&mi=a40faadc000000000000e0cb4e268068&r=820
BHO: No Name - {02478D38-C3F9-4efb-9B51-7695ECA05670} -  No File
BHO: MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files\WebConnect\WebConnectBHO.dll (Web Connect)
HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1673680 2013-10-23] (APN)
C:\Program Files\AskPartnerNetwork
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab
Toolbar: HKCU - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKLM - Avira SearchFree Toolbar - {41564952-412D-5637-00A7-7A786E7484D7} - C:\Program Files\AskPartnerNetwork\Toolbar\AVIRA-V7\Passport.dll (APN LLC.)
Toolbar: HKLM - MediaBar - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll ()
BHO: UrlHelper Class - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\qvo6.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\SearchTheWeb.xml
FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&utm_campaign=eXQ&utm_content=sc&from=newgdp&uid=WDCXWD2500AAJS-00VTA0_WD-WMART075820158201&ts=1380418408
CHR Extension: (WebConnect) - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\ieakfmpjhljbpbfpldjkddkjmmgjmgon\1.0.0_0
CHR HKLM\...\Chrome\Extension: [aaaaacalgebmfelllfiaoknifldpngjh] - C:\ProgramData\AskPartnerNetwork\Toolbar\AVIRA-V7\CRX\ToolbarCR.crx
CHR HKLM\...\Chrome\Extension: [ajcghoegamlabppilamagaddfdfamden] - C:\Program Files\LyricsArt\116.crx
CHR HKLM\...\Chrome\Extension: [bgnjcnjlaajofpendibcoodneacalfho] - C:\Program Files\SuperLyrics\Chrome.crx
CHR HKLM\...\Chrome\Extension: [elchiiiejkobdbblfejjkbphbddgmljf] - C:\Program Files\Softonic\Softonic\1.8.19.3\Softonic.crx
HR HKLM\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx
CHR HKLM\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\USER\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx
CHR HKLM\...\Chrome\Extension: [ihflimipbcaljfnojhhknppphnnciiif] - C:\Program Files\facemoods.com\facemoods\1.4.17.9\facemoods.crx
R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-10-23] (APN LLC.)
R2 IBUpdaterService; C:\ProgramData\IBUpdaterService\ibsvc.exe [642464 2013-01-16] ()
R2 Update WebConnect; C:\Program Files\WebConnect\updateWebConnect.exe [65320 2013-10-04] (WebConnect)
R2 Util WebConnect; C:\Program Files\WebConnect\bin\utilWebConnect.exe [65320 2013-10-04] (WebConnect)
R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-28] (Wsys Co., Ltd.)
C:\ProgramData\eSafe
C:\Program Files\WebConnect
2013-11-18 02:44 - 2013-11-18 02:44 - 00000000 ____D C:\Users\USER\AppData\Local\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\ProgramData\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\Program Files\AskPartnerNetwork
2013-11-18 02:26 - 2013-11-18 02:26 - 00000000 ____D C:\ProgramData\APN
2013-11-18 03:15 - 2013-09-14 01:39 - 00000000 ____D C:\ProgramData\BitGuard
2013-11-18 03:10 - 2013-05-26 18:29 - 00000000 ____D C:\Users\USER\AppData\Roaming\Dealply
2013-11-18 03:05 - 2013-02-28 00:06 - 00000000 ____D C:\Program Files\SuperLyrics
2013-11-18 02:44 - 2013-11-18 02:44 - 00000000 ____D C:\Users\USER\AppData\Local\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\ProgramData\AskPartnerNetwork
2013-11-18 02:27 - 2013-11-18 02:27 - 00000000 ____D C:\Program Files\AskPartnerNetwork
2013-11-18 02:26 - 2013-11-18 02:26 - 00000000 ____D C:\ProgramData\APN
2013-11-18 02:20 - 2012-04-10 23:38 - 00000000 ____D C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player
2013-11-18 02:20 - 2012-04-10 23:38 - 00000000 ____D C:\Program Files\FoxTabFLVPlayer
2013-11-10 19:43 - 2013-08-28 21:10 - 00000000 ____D C:\ProgramData\eSafe
C:\Users\USER\AppData\Local\Temp\ICReinstall_ccleaner.exe
C:\Users\USER\AppData\Local\Temp\uninst1.exe
S3 andnetadb; System32\Drivers\lgandnetadb.sys [x]
S3 AndNetDiag; system32\DRIVERS\lgandnetdiag.sys [x]
S3 ANDNetModem; system32\DRIVERS\lgandnetmodem.sys [x]
S3 andnetndis; system32\DRIVERS\lgandnetndis.sys [x]
S3 catchme; \??\C:\Users\USER\AppData\Local\Temp\catchme.sys [x]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x]
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x]
S3 LgBttPort; system32\DRIVERS\lgbtport.sys [x]
S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [x]
S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [x]
S3 usbbus; system32\DRIVERS\lgusbbus.sys [x]
S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x]
S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj ten raport.

4) Zrób nowe logi z FRST i OTL.

jessi

 Do czego służy ten skrypt?

Do usunięcia pustych kluczy z Rejestru.

Oraz do opróżnienia folderów TEMP.

jessi

W logach widać infekcję. Może usunięcie tej infekcji poprawi sytuację? Nie wiem, ale może warto spróbować?

1) Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner[s1].txt

2) Zrób log z Farbar Service Scanner.

3) Zrób logi z FRST.

Disk    \Device\Harddisk0\DR0                                              unknown MBR code

Czy to może laptop? (choć nie wiem, czy GMER potrafi wykryć MBR WIN 8)

jessi

Źle trafiłaś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

W logu nie widzę infekcji.

Ciekawi mnie, dlaczego u Ciebie pojawiła się niemiecka wersja tej infekcji?

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKLM..\Run: []  File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1771593470-3012635902-189330645-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files (x86)\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll File not found
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMss.dll File not found

:Reg
[-HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes\{99F626CC-4A92-467D-B0C4-986FBC7F4EA8}]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-1771593470-3012635902-189330645-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Commands
[emptytemp]

jessi

Czy te działania poprawiły sytuację?

Kosmetyka:

Otwórz Notatnik i wklej w nim:

SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR DefaultSearchURL: (dosearches)
CHR DefaultSuggestURL: (dosearches) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR Extension: (a2zLyrics-1) - C:\Users\BARTEK\AppData\Local\Google\Chrome\User Data\Default\Extensions\afeodekfkejjgjigfnhhifffljmhnpfn\1.24.16_0
C:\Users\BARTEK\AppData\Local\Google\Chrome\User Data\Default\Extensions\afeodekfkejjgjigfnhhifffljmhnpfn
S3 MSICDSetup; \??\F:\CDriver64.sys [x]
S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]

jessi

Miejmy nadzieję, że już będzie OK.
 

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

W logach nie widzę niczego podejrzanego.

Prawdopodobnie to któryś z Twoich programów tworzy te pliki, dziwnie jest to, że te pliki to *.exe. Żaden normalny program nie powinien wytwarzać tymczasowych *.exe.

Do  >SystemLook-64 wklej:

:filefind
jh1x.exe
pts5x.exe

:file
C:\temp\jh1x.exe
C:\temp\pts5x.exe

:regfind
jh1x.exe
pts5x.exe

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

W logach nie widzę infekcji.

1) Odinstaluj:

"WsysControl" = Wsys Control 10.2.1.2652

"dosearches Browser Protecter" = dosearches Browser Protecter

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

3) Zrób nowe logi z OTL i FRST

jessi

W poprzednim logu FSS - Windows Defender był OK.

Teraz w zasadzie też jest OK, ale jest wyłączony.

Jeśli chcesz włączyć, to:

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Defender>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie >OK
Kliknij na "Uruchom ponownie".

Ja u siebie ustawiłam na: Wyłączone.

Ale ustaw u siebie tak, jak chcesz.

Ja sytuację oceniam na opanowaną.

Rogue Killer - usuń ręcznie.

ESET Service Repair - usuń ręcznie.

SETAcl - usuń ręcznie.

FRST, OTL, FSS - na razie zostaw, bo może @Picasso zechce jeszcze coś zalecić .

Masz nieaktualną  Javę, więc koniecznie zainstaluj bardziej bezpieczną Javę 7update 45

Najpierw:

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft]
"SPONSORS"="DISABLE"

Potem pobierz i zainstaluj Javę wg >https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizuj%C4%85ce-temat/#entry130045 (post nr 4)

Masz też nieaktualne Adobe Flash Player - też to zaktualizuj.

Pewnie inne programy też są nieaktualne - nie sprawdzałam tego.

Myślę, że teraz możesz spokojnie, bez nerwów, czekać na wyzdrowienie @Picasso.

Nie wiem, kiedy zajmie się Twoim tematem - Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

Zniszczone przez ZeroAcces'a usługi Systemowe zostały odbudowane.

Dwie z nich nie są włączone.

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".

>>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź: Windows Update>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK
Kliknij na "Uruchom ponownie".

Zrób nowy log z FSS.

Otwórz Notatnik i wklej w nim:

C:\Users\krystyna\Desktop\Antivirus Security Pro support.url

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

Zrób nowy log z FRST.

jessi

Czy zmieniła się sytuacja na "H"?

jessi

1) Otwórz Notatnik i wklej w nim:

C:\Program Files\Google\Desktop\Install
C:\Users\krystyna\AppData\Local\Temp\ntdll_dump.dll
S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [x]

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

3) Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.

4) Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru.
https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=48432

5) Pobierz narzędzie SetACL, (SetACL.3.06
 z folderu Commandline version wypakuj wersję dopasowaną do systemu (x86 = 32-bit, x64 = 64-bit) i umieść w katalogu C:\Windows.

6) W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik umieść bezpośrednio na C:\.

"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA"
"machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA"

8) Zrób nowy log z FSS

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Infekcja ZeroAcces

1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek x64 po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.

2) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

3) Zrób nowy log z FRST (bez Addition)

jessi

Ja tu już nic nie wymyślę (nic u Ciebie nie działa), więc czekaj na wyzdrowienie @Picasso

jessi

"a" spróbuj usunąć poprzez SHIFT+DEL

Potem:

Otwórz Notatnik i wklej w nim:

attrib /d /s -s -h G:\FLAC MP3
attrib /d /s -s -h G:\nikon sd
attrib /d /s -s -h G:\PQI 15GB
PAUSE

Napisz, czy to coś dało?

jessi

masz jakiś bardzo dziwny System, bo u mnie USBFix działa bez problemów.

Podaj nazwy tych ukrytych folderów - spróbujemy jeszcze raz z podobnym Skryptem, jak ostatnio

jessi

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)

Teraz możesz już spokojnie czekać na @Picasso - w najlepszym przypadku zacznie znów pomagać za tydzień, ale to baaardzo optymistyczna opcja, bo po operacji musi na pewno poleżeć kilka dni w szpitalu..

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

USBFix nie chciał zadziałać. (komunikat: Line 18145(File"C:\UsbFix\Go.exe")  Error: Variable must be of type"Object".)

W USBFix kliknij na przycisk UNINSTALL.

Potem ściągnij go od nowa.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Nie masz żadnej infekcji.

A sciślej: pewnie masz najnowszą wersję tej infekcji - po zamknięciu okna komunikatu infekcja zniszczy samą siebie.

Zrób twardy restart Systemu - to powinno zanknąć okno komunikatu.

Są ślady sponsorskich śmieci, więc potem:

1) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-10-07 08:07:28 | 000,000,000 | ---D | M] -- C:\Users\Pamela\AppData\Roaming\BabSolution
O3 - HKLM\..\Toolbar: (searchgol Toolbar) - {00078E95-3A4A-4137-8DE7-2824908D1C17} - C:\Program Files\searchgol\searchgol\1.8.16.19\searchgolTlbr.dll (Montera Technologeis LTD)
O2 - BHO: (searchgol Helper Object) - {8F547BDD-FCD4-48F8-A06F-573D6F404A3C} - C:\Program Files\searchgol\searchgol\1.8.16.19\bh\searchgol.dll (Montera Technologeis LTD)
[2013-09-14 13:44:37 | 000,000,000 | ---D | M] (uTorrentControl_v6) -- C:\Users\Skiba\AppData\Roaming\mozilla\Firefox\Profiles\7ncar2ai.default\extensions\{96f454ea-9d38-474f-b504-56193e00c1a5}
FF - prefs.js..browser.startup.homepage: "http://www.searchgol.com/?babsrc=HP_ss&mntrId=54AD0015CFE0C4CE&affID=125032&tsp=5028"
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\hsygsqnn.sys -- (hsygsqnn)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys -- (FairplayKD)

:Commands
[emptytemp]

jessi

 a próbowałeś tego ostatniego mojego zalecenia?

Nic z tego.

U Ciebie żadne komendy nie działają, więc nie da się usunąć atrybutów z tych ukrytych folderów, ani usunąć tego G:\a

@Picasso pewnie zna jeszcze jakiś inny sposób na usunięcie tego"a" i tych atrybutów.

Może za kilka tygodni tu zajrzy.

EDIT:

możemy spróbować użyć komend na każdy folder oddzielnie:

Otwórz Notatnik i wklej w nim:

attrib /d /s -s -h G:\dell
attrib /d /s -s -h G:\Files
attrib /d /s -s -h G:\FLAC MP3
attrib /d /s -s -h G:\nikon sd
attrib /d /s -s -h G:\PQI 15GB
attrib /d /s -s -h G:\pulpit
attrib /d /s -s -h G:\seagate
attrib /d /s -s -h G:\yera
del /s G:\a
pause

Zrób nowy log z USBFix.

jessi

Jessica, mógłbym Cię przeprosić teraz? Nie będzie mnie w domu przez 4h.

Ależ tu nikt nikogo nie pogania. :)

Coś OTL nie zmienia atrybutów tych ukrytych folderów.

Spróbujemy inaczej:

1. Otwórz Notatnik i wklej w nim:

DEL /S "G:\a"

attrib /d /s -s -h G:\*

 

PAUSE

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako: FIX.BAT > Uruchom ten plik dwuklikiem.

2) Zrób nowy log z USBFix.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/)

Nie przegladałam dokładnie logów, ale zanim zjawi się tu @Picasso (za kilka tygodni), to możesz :

1) Odinstalować Ask Toolbar (x32 Version: 1.12.2.0)

2) Użyć Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

Error: (10/07/2013 06:34:39 PM) (Source: Service Control Manager) (User: )
Description: Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu:
%%1068

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

O4 - Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nero.bat.lnk = C:\Windows\SysWOW64\nero.bat ()
O4 - Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PowerReg Scheduler.exe ()
O4 - Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winword.exe.lnk = C:\Windows\SysWOW64\winword.exe

Nie podobają mi się te pliki.

Sprawdź je na --> JOTTI/ albo na VIRUSTOTAL

jessi
 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
attrib /d /s -s -h G:\* /C
G:\a

Kliknij w Wykonaj Skrypt.

Potem zrób nowy log z USBFix.

jessi