jessica
-
Postów
4 099 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez jessica
-
-
wrzucać skrypt do OTLa zmieniając tylko nazwę dysku z G na n. F?
możesz tak spróbować.
Jeśli to nic nie da, to będzie znaczyło, że na innym penie jest aktywna infekcja. W takim przypadku konieczny będzie log z USBFix LISTING.
jessi
-
Poprawiło sie, wszystko wygląda tak jak powinno
Tak, log z USBFix to potwierdza.
Teraz już możesz spokojnie, bez nerwów, czekać na @Picasso nawet choćby Jej wyzdrowienie trwało jeszcze długie dni.
jessi
-
Wykonaj Skrypt, który podałam, a potem zrób log z USBFix LISTING
i napisz, czy to poprawiło sytuację
jessi
-
Dopiero teraz zauważyłam, że jest log z USBFix'a.
Nie widzę w nim żadnego *.scr.
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:Files
attrib /d /s -s -h G:\* /C
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Zrób nowy log z USBFix, z opcji LISTING.
Ostatni log z OTL (ten na specjalnych ustawieniach) nie przydał się, bo podałam inną literkę pendrive, niż była w rzeczywistości.
jessi
-
To niedobrze.
Zrób nowy log z OTL, ale na ustawieniach:
W pole Własne opcje skanowania/Scrypt wklej:
H:\*
%systemdrive%\*.*Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".i dopiero wtedy kliknij Skanuj.
jessi
-
Dodatkowo:
1) Pobierz ServicesRepair. Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.
2) Do Notatnika wklej:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"=""
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK).Zrestartuj komputer.
3) Zrób nowy log z FSS.
jessi
-
Spróbuj z USBFix w Trybie Awaryjnym (F8 przed startem Systemu).
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Zrób log z >USBFix z opcji LISTING
Otwórz Notatnik i wklej w nim:
HKLM\...\Run: [] - [x]
HKCU\...\Run: [T1024622TT4] - C:\Windows\system32\562732180417l.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
S3 catchme; \??\C:\Users\Tomek\AppData\Local\Temp\catchme.sys [x]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x]
S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [x]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x]
C:\Users\Tomek\AppData\Local\temp\aqbarqcr.exe
C:\Users\Tomek\AppData\Local\temp\AskSLib.dll
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.jessi
-
HKLM\...\Run: [avgnt] - C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [681032 2013-10-07] (Avira Operations GmbH & Co. KG)
HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [APSDaemon] - C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe [59720 2013-04-21] (Apple Inc.)
HKLM\...\Run: [QuickTime Task] - F:\Program Files\QuickTime\QTTask.exe [421888 2013-05-01] (Apple Inc.)
te się uruchamiają razem z Systemem.
wg mnie, trzy ostatnie można wyłączyć z Autostartu, ale to tylko moje prywatne zdanie, a nie zalecenie.
Poza tym - spróbuj użyć tego ESET Uninstaller
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste) - nie wiem, za ile dni czy tygodni będzie w stanie normalnie odpowiadać na Forum.
W logach nie widzę żadnej infekcji.
Error - 2013-11-01 06:00:01 | Computer Name = GNIADEK-EE71E1B | Source = Service Control Manager | ID = 7026
Description = Nie można załadować następujących sterowników startu rozruchowego
lub systemowego: nod32drvO10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\System32\imon.dll (Eset )
NOD nie został prawidłowo usunięty przy pomocy specjalnego narzędzia: ESET Uninstaller - http://kb.eset.com/esetkb/index?page=content&id=SOLN2289&cat=EAV&actp=LIST
Teraz System traci czas na szukaniu nieistniejących plików.
Są też oczywiście sponsorskie śmieci:
1) Odinstaluj:
MyFreeCodec
"V9Software" = V9 Homepage Uninstaller
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt3) Otwórz Notatnik i wklej w nim:
S2 NOD32krn; "C:\Program Files\Eset\nod32krn.exe" [x]
BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll No File
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x]Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.
4) Zrób nowe logi z OTL i FRST.
Potem czekaj na @Picasso.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Otwórz Notatnik i wklej w nim:
C:\Documents and Settings\Tomek\Ustawienia lokalne\Temp\uninst1.exe
S4 IntelIde; No ImagePath
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKLM - DefaultScope value is missing.
Startup: C:\Documents and Settings\Tomek\Menu Start\Programy\Autostart\zjl7bdod.lnk
ShortcutTarget: zjl7bdod.lnk -> C:\DOCUME~1\ALLUSE~1\DANEAP~1\dodb7ljz.plz (No File)
HKCU\...\Run: [Ovmyvav] - "C:\Documents and Settings\Tomek\Dane aplikacji\Vepai\yxhi.exe"
C:\Documents and Settings\Tomek\Dane aplikacji\Vepai
HKLM\...\Run: [tuto4pc_pl_6] - [x]
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.Zrób nowe logi z FRST.
jessi
-
The key does not exist
W dalszym ciągu usługi Systemowe są zniszczone.
Nie wiem dlaczego nie dadzą się odbudować, więc musisz czekać na @Picasso (nie wiem, kiedy będzie w stanie pomagać).
w międzyczasie możemy wypróbować, czy da się te usługi odbudować ręcznie.
wypróbujemy to na usłudze Centrum zabezpieczeń
https://www.fixitpc.pl/topic/1765-naprawa-centrum-zabezpieczen-i-zapory-windows-xp/
w poście nr 2 powyższego tematu,jest podane, jak to zrobić. Zacznij od razu od punktu nr 2 (2. W przypadku gdy punkt 1 nie pomoże, odtwórz usługę Centrum...)
Zrób potem nowy log z FSS.
Jeśli w dalszym ciągu w tym logu będzie:
wscsvc Service is not running. Checking service configuration:Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
To użyjesz jeszcze raz Rogue Killer.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Nie dałeś logu FRST.txt.
W pozostałych logach nie widzę żadnej infekcji.
https://www.fixitpc.pl/topic/3088-wmiprvseexe-i-xe0305/?hl=wmiprvse.exe
1) Odinstaluj:
MyFreeCodec
OptimizerPro1 (Version: 1.0)
RegClean Pro (x32 Version: 6.21)
vShare.tv plugin 1.3 (x32 Version: 1.3)
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt3) Otwórz Notatnik i wklej w nim:
Task: {7F60547C-6548-4640-9A7F-E66EDA57098B} - System32\Tasks\RegClean Pro_DEFAULT => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe [2013-05-27] (Systweak Inc)
Task: C:\Windows\Tasks\RegClean Pro_DEFAULT.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
Task: C:\Windows\Tasks\RegClean Pro_UPDATES.job => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe
AlternateDataStreams: C:\ProgramData\Microsoft:1DPnEJXSGbDT80jvoqWJxgFRp9
AlternateDataStreams: C:\ProgramData\Microsoft:IZUN3yTQI6LsQwVXJo42CUDcwCk
AlternateDataStreams: C:\Users\Dom\Ustawienia lokalne:FFpA7f5UvgICUn1Vgxwc0K25u
AlternateDataStreams: C:\Users\Dom\AppData\Local:FFpA7f5UvgICUn1Vgxwc0K25u
AlternateDataStreams: C:\Users\Dom\AppData\Local\Dane aplikacji:FFpA7f5UvgICUn1Vgxwc0K25u
AlternateDataStreams: C:\Users\Dom\AppData\Local\Temp:2ZIKBFxG7Zw1ctxKlSw3oliPlik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.
4) Zrób nowe logi z FRST i OTL.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
1) Odinstaluj:
AVG Security Toolbar (x32 Version: 17.0.1.12)
SweetIM for Messenger 3.7 (x32 Version: 3.7.0007)
2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt3) Otwórz Notatnik i wklej w nim:
Task: {5BED8212-FF09-4F98-99E4-935597C89C72} - System32\Tasks\BitGuard => Sc.exe start BitGuard
Task: {DCBA9BBA-6245-48F6-9E3D-306FB6C2CA96} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe
C:\Program Files (x86)\AVG Secure Search\vprot.exe
C:\Program Files (x86)\Common Files\AVG Secure Search
HKLM-x32\...\Run: [vProt] - C:\Program Files (x86)\AVG Secure Search\vprot.exe [2404376 2013-10-01] (
HKU\UpdatusUser\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] - C:\Program Files (x86)\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe [1266712 2013-06-03] (AVG Secure Search)
AppInit_DLLs-x32: c:\PROGRA~3\BitGuard\271769~1.27\{C16C1~1\BitGuard.dll [2735584 2013-10-22] ()
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=ST1000LM024XHN-M101MBB_S2U5JACCA28662&ts=1362419811
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A028C0143DD4807F&affID=119357&tsp=5012
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=ST1000LM024XHN-M101MBB_S2U5JACCA28662&ts=1362419813
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={1335E23F-D9BB-4A3B-B42F-EB56FE046309}&mid=0028c198fa91415d9ad7f5511f902596-7013a3bda34ea410c23a47e6af72c9f18f827ae6&lang=pl&ds=ik011&pr=&d=2012-12-23 18:47:31&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)xä URL =
BHO-x32: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.0.1.12\AVG Secure Search_toolbar.dll (AVG Secure Search)
Toolbar: HKLM-x32 - AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\17.0.1.12\AVG Secure Search_toolbar.dll (AVG Secure Search)
Handler-x32: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\17.0.12\ViProtocol.dll (AVG Secure Search)
CHR HKLM-x32\...\Chrome\Extension: [ndibdjnfmopecpmkdieinmbadjfpblof] - C:\ProgramData\AVG Secure Search\ChromeExt\17.0.1.12\avg.crx
R2 vToolbarUpdater17.0.12; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\17.0.12\ToolbarUpdater.exe [1734680 2013-10-01] (AVG Secure Search)
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [46368 2013-10-01] (AVG Technologies)
2013-10-30 08:23 - 2013-10-30 14:15 - 00003420 _____ C:\Windows\System32\Tasks\BitGuard
2013-10-29 23:41 - 2013-10-29 23:41 - 00000000 ____D C:\Users\Janek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
2013-10-29 16:23 - 2013-10-29 22:43 - 00000000 ____D C:\Program Files (x86)\Dowwnnload keeeper
2013-10-29 16:18 - 2013-10-29 16:18 - 00000000 ____D C:\ProgramData\WinterSoft
2013-10-29 11:54 - 2013-10-30 00:36 - 00000000 ____D C:\Program Files (x86)\SearchNewTab
2013-10-29 11:53 - 2013-10-29 22:46 - 00000000 ____D C:\Program Files (x86)\WebSearch
2013-10-29 11:53 - 2013-10-29 22:46 - 00000000 ____D C:\Program Files (x86)\Ss.Helper
2013-10-29 11:52 - 2013-10-30 00:36 - 00000000 ____D C:\Program Files (x86)\Download keepeer
2013-10-29 11:51 - 2013-10-29 16:28 - 00000000 ____D C:\ProgramData\InstallMate
C:\Users\Janek\AppData\Local\Temp\56295uninstall.exe
C:\Users\Janek\AppData\Local\Temp\Sqlite3.dll
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.4) Zrób nowe logi z FRST i OTL.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Otwórz Notatnik i wklej w nim:
(GreenMind Association ffff) C:\Users\abc\AppData\Local\Temp\avgua32.exe
() C:\Users\abc\AppData\Roaming\SettingsWin\getxempl2.exe
HKCU\...\Run: [svchost] - C:\Users\abc\AppData\Roaming\Microsoft\svchost.exe [44968 2012-07-08] (Microsoft Corporation)
HKCU\...\Run: [getxempl2] - C:\Users\abc\AppData\Roaming\SettingsWin\getxempl2.exe [1065202 2013-09-18] ()
KLM-x32\...\Run: [] - [x]
AppInit_DLLs-x32: c:\progra~2\sshelp~1\psupport.dll [857600 2013-10-06] ()
Startup: C:\Users\abc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RegSvcs.exe (Microsoft Corporation)
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {16DB9702-A8C8-443D-8688-7CD2C31293F7} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=512435&p={searchTerms}
BHO: Downnlload. kEueper - {1346016A-BF03-F13E-92D5-6723B8631923} - C:\Program Files (x86)\Downnlload. kEueper\MX3xnnX4t.x64.dll ()
BHO-x32: Downnlload. kEueper - {1346016A-BF03-F13E-92D5-6723B8631923} - C:\Program Files (x86)\Downnlload. kEueper\MX3xnnX4t.dll ()
FF SearchEngineOrder.user_pref("browser.search.order.1,S", "");: user_pref("browser.search.order.1,S", "");
FF Plugin-x32: @t.garena.com/garenatalk - C:\Program Files (x86)\Garena Plus\bbtalk\plugins\npPlugin\npGarenaTalkPlugin.dll No File
FF Extension: Downnlload. kEueper - C:\Users\abc\AppData\Roaming\Mozilla\Firefox\Profiles\z71ad889.default\Extensions\iqizm_1z@ouypool-o.net
S3 cpuz130; \??\C:\Users\abc\AppData\Local\Temp\cpuz130\cpuz_x64.sys [x]
S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [x]
S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [x]
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\ProgramData\Downnlload. kEueper
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\ProgramData\23413a397414c394
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\Program Files (x86)\ss helper
2013-10-30 16:32 - 2013-10-30 16:32 - 00000000 ____D C:\Program Files (x86)\Downnlload. kEueper
2013-10-30 16:31 - 2013-10-30 16:31 - 00000000 ____D C:\ProgramData\InstallMate
C:\Users\abc\AppData\Local\Temp\appshat-distribution.exe
C:\Users\abc\AppData\Local\Temp\avgua32.exe
C:\Users\abc\AppData\Local\Temp\down.5768.web_assistant_v2.exe
C:\Users\abc\AppData\Local\Temp\ose00000.exe
C:\Users\abc\AppData\Local\Temp\smt_ar_dosearches.exe
C:\Users\abc\AppData\Local\Temp\SRLDetectionLibrary5781857955678186537.dll
C:\Users\abc\AppData\Local\Temp\TsuD673F8DE.dll
C:\Users\abc\AppData\Local\Temp\UpdateCheckerSetup.exe
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten logZrób nowe logi z FRST i OTL.
Potem czekaj na @Picasso (nie wiem, kiedy będzie miała możliwość odpowiadania na Forum)
jessi
-
Nie masz już AVG2012, a są w logu jego resztki.
Możesz wykonać to poniższe, ale jeśli wolisz, to możesz poczekać na @Picasso na ostateczną ocenę, bo i tak będziesz czekał na ostateczną ocenę, (ja nie zamknę tematu).
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-05-05 14:16:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Joanna\Dane aplikacji\systweak
[2012-12-07 14:12:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Joanna\Dane aplikacji\AVG2012
SRV - File not found [Auto | Stopped] -- C:\Program Files\AVG\AVG2012\avgwdsvc.exe -- (avgwd)
SRV - File not found [Auto | Stopped] -- C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe -- (AVGIDSAgent)
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.jessi
-
1) Otwórz Notatnik i wklej w nim:
C:\Program Files\Google\Desktop\Install
U2 CertPropSvc;
S4 IntelIde; No ImagePath
Toolbar: HKCU - No Name - {472734EA-242A-422B-ADF8-83D1E48CC825} - No File
Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.Daj go.
Zrób nowy log z FRST
Jeszcze raz użyj ESET Service Repair, potem zrestartuj komputer, i zrób log z FSS.
Chodzi o to, że zniszczone usługi nie zostały odbudowane.
Nie wiem, z jakiej przyczyny,
jessi
-
1) Odbudowa usług PolicyAgent i RemoteAccess:
Otwórz Notatnik i wklej w nim:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6c,\ 00,73,00,61,00,73,00,73,00,2e,00,65,00,78,00,65,00,00,00 "DisplayName"="Usługi IPSEC" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,54,00,63,00,70,00,\ 69,00,70,00,00,00,49,00,50,00,53,00,65,00,63,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zarządza zasadami zabezpieczeń IP i uruchamia sterownik ISAKMP/Oakley (IKE) i sterownik zabezpieczeń IP." "PolstoreDllRegisterVersion"=dword:00000002 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Enum] "0"="Root\\LEGACY_POLICYAGENT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess] "Type"=dword:00000020 "Start"=dword:00000004 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Routing i dostęp zdalny" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):4e,00,65,00,74,00,42,00,49,00,4f,00,53,00,47,00,72,00,\ 6f,00,75,00,70,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Oferuje usługi routingu firmom w środowiskach sieci lokalnych i rozległych." @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers] "ActiveProvider"="{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers\{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="{1AA7F840-C7F5-11D0-A376-00C04FC9DA04}" "DisplayName"="Księgowanie usługi RADIUS" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,72,00,61,00,64,00,2e,00,64,00,6c,00,6c,00,00,00 "ProviderTypeGUID"="{76560D80-2BFD-11d2-9539-3078302C2030}" "VendorName"="Microsoft" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Accounting\Providers\{1AA7F846-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="" "DisplayName"="Księgowanie systemu Windows" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\ 70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 "ProviderTypeGUID"="{76560D81-2BFD-11d2-9539-3078302C2030}" "VendorName"="Microsoft" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers] "ActiveProvider"="{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers\{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="{1AA7F83F-C7F5-11D0-A376-00C04FC9DA04}" "DisplayName"="Uwierzytelnianie usługi RADIUS" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,\ 61,00,73,00,72,00,61,00,64,00,2e,00,64,00,6c,00,6c,00,00,00 "VendorName"="Microsoft" "ProviderTypeGUID"="{76560D00-2BFD-11d2-9539-3078302C2030}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Authentication\Providers\{1AA7F841-C7F5-11D0-A376-00C04FC9DA04}] "ConfigClsid"="" "DisplayName"="Uwierzytelnianie systemu Windows" "Path"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,\ 70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 "VendorName"="Microsoft" "ProviderTypeGUID"="{76560D01-2BFD-11d2-9539-3078302C2030}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\DemandDialManager] "DllPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,\ 00,70,00,72,00,64,00,64,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces] "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\0] "InterfaceName"="Sprzężenie zwrotne" "Type"=dword:00000005 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\0\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\1] "InterfaceName"="Wewnętrzny" "Type"=dword:00000004 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\1\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2] "InterfaceName"="{8BE61CC0-E394-4310-A592-FED02D84FD4E}" "Type"=dword:00000003 "Enabled"=dword:00000001 "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Interfaces\2\Ip] "ProtocolId"=dword:00000021 "InterfaceInfo"=hex:01,00,00,00,68,00,00,00,03,00,00,00,05,00,ff,ff,38,00,00,\ 00,00,00,00,00,40,00,00,00,04,00,ff,ff,04,00,00,00,01,00,00,00,40,00,00,00,\ 07,00,ff,ff,10,00,00,00,01,00,00,00,48,00,00,00,00,00,00,00,01,00,00,00,00,\ 00,00,00,58,02,c2,01,08,07,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters] "RouterType"=dword:00000001 "ServerFlags"=dword:00802702 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6d,00,70,00,72,00,64,00,69,00,6d,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AppleTalk] "EnableIn"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip] "AllowClientIpAddresses"=dword:00000000 "AllowNetworkAccess"=dword:00000001 "EnableIn"=dword:00000001 "IpAddress"="0.0.0.0" "IpMask"="0.0.0.0" "UseDhcpAddressing"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip\StaticAddressPool] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip\StaticAddressPool\0] "From"=dword:00000000 "To"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ipx] "EnableIn"=dword:00000001 "AcceptRemoteNodeNumber"=dword:00000001 "AllowNetworkAccess"=dword:00000001 "AutoWanNetAllocation"=dword:00000001 "FirstWanNet"=dword:00000000 "GlobalWanNet"=dword:00000001 "LastWanNet"=dword:00000000 "WanNetPoolSize"=dword:000003e8 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Nbf] "EnableIn"=dword:00000001 "AllowNetworkAccess"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Performance] "Open"="OpenRasPerformanceData" "Close"="CloseRasPerformanceData" "Collect"="CollectRasPerformanceData" "Library"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,\ 00,61,00,73,00,63,00,74,00,72,00,73,00,2e,00,64,00,6c,00,6c,00,00,00 "Last Counter"=dword:00000804 "Last Help"=dword:00000805 "First Counter"=dword:000007de "First Help"=dword:000007df "WbemAdapFileSignature"=hex:01,88,e5,06,07,8c,88,44,d4,76,d0,a7,86,ec,e9,f9 "WbemAdapFileTime"=hex:00,24,53,21,c2,9e,c8,01 "WbemAdapFileSize"=dword:00003000 "WbemAdapStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy] "ProductDir"="C:\\WINDOWS\\system32\\IAS" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\01] @="IAS.ProxyPolicyEnforcer" "Requests"="0 1 2" "Responses"="0 1 2 3 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\02] @="IAS.NTSamNames" "Providers"="1" "Requests"="0" "Responses"="0 1 3" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\03] @="IAS.BaseCampHost" "Requests"="0 1" "Responses"="0 1 2 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\04] @="IAS.RadiusProxy" "Providers"="2" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\05] @="IAS.NTSamAuthentication" "Providers"="1" "Requests"="0" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\06] @="IAS.AccountValidation" "Providers"="1" "Requests"="0" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\07] @="IAS.PolicyEnforcer" "Providers"="1" "Requests"="0" "Responses"="0 1 3" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\08] @="IAS.NTSamPerUser" "Providers"="1" "Requests"="0" "Responses"="0 1 3" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\09] @="IAS.EAP" "Providers"="1" "Requests"="0 2" "Responses"="0" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\10] @="IAS.URHandler" "Providers"="0 1" "Requests"="0 2" "Responses"="0 1" "Reasons"="33" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\11] @="IAS.ChangePassword" "Providers"="1" "Requests"="0" "Responses"="0 1" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\12] @="IAS.AuthorizationHost" "Requests"="0 1 2" "Responses"="0 1 2 4" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\13] @="IAS.Accounting" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Policy\Pipeline\14] @="IAS.MSChapErrorReporter" "Providers"="0 1" "Requests"="0" "Responses"="2" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers] "Stamp"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip] "ProtocolId"=dword:00000021 "GlobalInfo"=hex:01,00,00,00,80,00,00,00,02,00,00,00,03,00,ff,ff,08,00,00,00,\ 01,00,00,00,30,00,00,00,06,00,ff,ff,3c,00,00,00,01,00,00,00,38,00,00,00,00,\ 00,00,00,00,00,00,00,01,00,00,00,07,00,00,00,02,00,00,00,01,00,00,00,03,00,\ 00,00,0a,00,00,00,16,27,00,00,03,00,00,00,17,27,00,00,05,00,00,00,12,27,00,\ 00,07,00,00,00,0d,00,00,00,6e,00,00,00,08,00,00,00,78,00,00,00,00,00,00,00,\ 00,00,00,00,00,00,00,00 "DLLPath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,69,\ 00,70,00,72,00,74,00,72,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG
Uruchom plik przez dwuklik, potwierdź import do rejestru.2) Pobierz >>ESET ServicesRepair
Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator.3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2012-01-25 13:17:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\MyHeritage
[2012-01-25 11:29:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Właściciel\Dane aplikacji\MyHeritage
:Files
C:\Documents and Settings\Właściciel\Menu Start\Programy\Antivirus Security Pro
:Reg
[HKEY_USERS\S-1-5-21-507921405-1960408961-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Antivirus Security Pro"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
4) Zrób nowy log z FSS
5) Zrób nowe logi z FRST i OTL.
Potem czekaj na @Picasso (nie wiem, kiedy będzie miała możliwość tu odpowiedzieć.
Co do kwarantanny FRST - to zostanie podane na koniec.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O20 - HKCU Winlogon: Shell - (C:\Users\Donio\AppData\Roaming\Other.res) - C:\Users\Donio\AppData\Roaming\Other.res ()
:Commands
[emptytemp]Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera (do Trybu Normalnego). Zapisz raport, który pokaże się po restarcie.
Odinstaluj:
"AVG Secure Search" = AVG Security Toolbar
"spamfreesearch" = Blekko Search Bar
"uTorrentControl_v2 Toolbar" = uTorrentControl_v2 Toolbar
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Ask Toolbar Updater
"AppsHat Mobile Apps" = AppsHat Mobile AppsUżyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txtZrób nowy log z OTL oraz wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294
Potem czekaj na @Picasso (nie wiem, kiedy będzie miała możliwość odpowiedzieć)
jessi
-
CHR - default_search_provider: qone8 (Enabled)
W Google Chrome to jeszcze jest widoczne w logu OTL.
Problem w tym, że OTL nie potrafi niczego usuwać z Google Chrome, a FRST w ogóle tego nie dostrzegł, więc też nie usunie.
To chyba trzeba by było samemu zmienić w Ustawieniach Chrome.
Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:FilesC:\Windows\system32\ApnDatabase.xml
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-3978686291-2099738226-2851485640-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.
Napisz, czy problem z qone8 dalej istnieje.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Ja w logach nie dostrzegam żadnej infekcji.
Ale są ślady sponsorskich śmieci.
Spróbuj w Trybie Normalnym użyć >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txtPotem trzeba by było zrobić nowe logi, bo poprzednie byłyby już nieaktualne.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txtUruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
[2013-09-17 12:54:43 | 000,000,000 | ---D | M] -- C:\Users\Shogi\AppData\Roaming\1J1F1H1E2Y2Z1P1C1B2W1L1T2ZtF1E1I
[2013-10-30 18:19:38 | 000,001,961 | ---- | C] () -- C:\Users\Shogi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
[2013-10-30 18:19:07 | 000,000,306 | ---- | C] () -- C:\Windows\tasks\Dealply.job
O4 - HKU\S-1-5-21-3978686291-2099738226-2851485640-1001..\Run: [] C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe File not found
[2013-10-30 18:19:19 | 000,000,553 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\qone8.xml
[2013-01-03 20:31:27 | 000,002,203 | ---- | M] () -- C:\Users\Shogi\AppData\Roaming\mozilla\firefox\profiles\qe8mwl0o.default\searchplugins\MyStart Search.xml
[2011-05-17 18:23:12 | 000,003,295 | ---- | M] () -- C:\Users\Shogi\AppData\Roaming\mozilla\firefox\profiles\qe8mwl0o.default\searchplugins\search-results.xml
[2012-12-19 07:19:02 | 000,002,455 | ---- | M] () -- C:\Users\Shogi\AppData\Roaming\mozilla\firefox\profiles\qe8mwl0o.default\searchplugins\Web Search.xml
[2013-07-02 05:39:26 | 000,006,505 | ---- | M] () -- C:\Users\Shogi\AppData\Roaming\mozilla\firefox\profiles\qe8mwl0o.default\searchplugins\babylon.xml
[2013-07-02 05:39:37 | 000,001,294 | ---- | M] () -- C:\Users\Shogi\AppData\Roaming\mozilla\firefox\profiles\qe8mwl0o.default\searchplugins\delta.xml
[2013-10-30 18:19:06 | 000,000,000 | ---D | M] (DealPly Shopping) -- C:\Users\Shogi\AppData\Roaming\mozilla\Firefox\Profiles\qe8mwl0o.default\extensions\{e53a26f5-7199-4a5b-86f5-d2e86854b979}
[2013-09-17 12:54:43 | 000,000,000 | ---D | M] (BonanzaDeals) -- C:\Users\Shogi\AppData\Roaming\mozilla\Firefox\Profiles\qe8mwl0o.default\extensions\{f9d03c26-0575-497e-821d-f7956d23e0ca}
FF - prefs.js..browser.search.defaultenginename: "qone8"
FF - prefs.js..browser.search.selectedEngine: "qone8"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://start.qone8.com/web/?type=ds&ts=1383153559&from=amt&uid=WDCXWD10EURX-63FH1Y0_WD-WMC1U690856408564&q={searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.qone8.com/web/?type=ds&ts=1383153559&from=amt&uid=WDCXWD10EURX-63FH1Y0_WD-WMC1U690856408564&q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://start.qone8.com/?type=hp&ts=1383153559&from=amt&uid=WDCXWD10EURX-63FH1Y0_WD-WMC1U690856408564
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://start.qone8.com/web/?type=ds&ts=1383153559&from=amt&uid=WDCXWD10EURX-63FH1Y0_WD-WMC1U690856408564&q={searchTerms}
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://start.qone8.com/web/?type=ds&ts=1383153559&from=amt&uid=WDCXWD10EURX-63FH1Y0_WD-WMC1U690856408564&q={searchTerms}
:Files
C:\Users\Shogi\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi
:Reg
[-HKEY_USERS\S-1-5-21-3978686291-2099738226-2851485640-1001\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.Zrób nowe logi z OTL i FRST.
jessi
-
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
Log FRST - jest ... pusty.
Masz też infekcję ZeroAcces!
Nie wiem, od której infekcji zacząć.
1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:
:OTL
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\All Users\Dane aplikacji\ganVrWsU\ganVrWsU.exe -sm) - C:\Documents and Settings\All Users\Dane aplikacji\ganVrWsU\ganVrWsU.exe ()
[2013-10-29 10:29:58 | 000,001,960 | ---- | C] () -- C:\Documents and Settings\Właściciel\Pulpit\Antivirus Security Pro.lnk
[2013-10-29 10:29:58 | 000,000,118 | ---- | C] () -- C:\Documents and Settings\Właściciel\Pulpit\Antivirus Security Pro support.url
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O4 - HKU\S-1-5-21-507921405-1960408961-1801674531-1003..\Run: [Google Update] Reg Error: Value error. File not found
O4 - HKU\S-1-5-21-507921405-1960408961-1801674531-1003..\Run: [AS2014] C:\Documents and Settings\All Users\Dane aplikacji\ganVrWsU\ganVrWsU.exe ()
O4 - HKLM..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install File not found
O4 - HKLM..\Run: [AS2014] C:\Documents and Settings\All Users\Dane aplikacji\ganVrWsU\ganVrWsU.exe ()
[2013-03-11 11:22:32 | 000,006,512 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
:Files
C:\Documents and Settings\All Users\Dane aplikacji\ganVrWsU
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.2) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :)
Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.3) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).
4) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt5) Zrób nowe logi z FRST i OTL.
jessi
-
Źle trafiłaś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (kłopoty osobiste)
HKCU\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1177522938-3192551413-1856643698-1000\$8223fa178a103d7c5e0f7d0d7b538a54\n. ATTENTION! ====> ZeroAccess?
Brak logu z TDSSKiller'a, ale na pewno nie wszystko usunął. Te, wg mnie, też będą do usunięcia:
[2012/12/07 21:12:19 | 000,000,000 | ---D | M] -- C:\Users\Smok\AppData\Roaming\Innyeb
[2012/12/07 21:13:08 | 000,000,000 | ---D | M] -- C:\Users\Smok\AppData\Roaming\Iqivq
[2012/12/07 21:11:45 | 000,000,000 | ---D | M] -- C:\Users\Smok\AppData\Roaming\Nonugu
1) Użyj RogueKiller. Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego.
2) Zrób log z Farbar Service Scanner.
3) Zrób nowe logi z FRST.
Potem pozostanie tylko czekanie na @Picasso....
jessi
Rootkit z którym sobie nie radzę, Windows 7
w Dział pomocy doraźnej
Opublikowano
Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)
Ja w logach nie widzę żadnej infekcji, więc musisz czekać na @Picasso.
Z logu Extras.txt:
jessi