picasso

To infekcja Gamarue. Dodaj precyzyjne dane: - Zestaw obowiązkowych logów, by sprawdzić czy pendrive nie zainfekował przypadkiem systemu. W tym przypadku wystarczą mi raporty z FRST. - Spis obiektów na urządzeniu, czyli log USBFix z opcji Listing.

Ostatni obrazek pokazuje Podstawowy kanał IDE i Bieżący tryb transferu: Tryb PIO = to właśnie ta usterka. Z prawokliku odinstaluj ten Podstawowy, na którym jest PIO, zresetuj system. Windows zrekonstruuje urządzenie i Windows znacznie przyśpieszy.

Tym razem wszystko wykonane. Adware zostało pomyślnie usunięte. Poprawki na szczątki po odinstalowanych programach: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] => [X] C:\Program Files\Conduit C:\Program Files\GamersFirst C:\Program Files\Gore Special Edition C:\Program Files\iMesh Applications C:\Program Files\KBot C:\Program Files\Malwarebytes' Anti-Malware C:\Program Files\Opera C:\Program Files\Point Blank Italia C:\Program Files\Profibot C:\Program Files\RaidCall C:\Program Files\raidcall6.0_beta C:\Program Files\Video Codec C:\Program Files\WhiteSmoke C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1 C:\ProgramData\211C5 C:\ProgramData\AVG C:\ProgramData\Babylon C:\ProgramData\Blizzard Entertainment C:\ProgramData\boost_interprocess C:\ProgramData\CyberLink C:\ProgramData\eSellerate C:\ProgramData\Fast And Safe C:\ProgramData\Malwarebytes C:\ProgramData\McAfee C:\ProgramData\OpenFM C:\ProgramData\Screaming Bee C:\ProgramData\Sun C:\ProgramData\Temp C:\Users\Agnese\AppData\Local\*.txt C:\Users\Agnese\AppData\Local\Babylon C:\Users\Agnese\AppData\Local\Conduit C:\Users\Agnese\AppData\Local\Facebook C:\Users\Agnese\AppData\Local\Opera C:\Users\Agnese\AppData\Local\Overwolf C:\Users\Agnese\AppData\Local\PointBlank C:\Users\Agnese\AppData\Local\SKIDROW C:\Users\Agnese\AppData\LocalLow\{286D8163-AD91-FE69-0708-40FE6924F251} C:\Users\Agnese\AppData\LocalLow\{943B4541-3FCE-0927-8470-323D42E914D8} C:\Users\Agnese\AppData\LocalLow\BabylonToolbar C:\Users\Agnese\AppData\LocalLow\Conduit C:\Users\Agnese\AppData\LocalLow\imeshbandmltbpi C:\Users\Agnese\AppData\LocalLow\Incredibar.com C:\Users\Agnese\AppData\LocalLow\mediabarbs C:\Users\Agnese\AppData\LocalLow\Oracle C:\Users\Agnese\AppData\LocalLow\raidcall C:\Users\Agnese\AppData\LocalLow\Sun C:\Users\Agnese\AppData\LocalLow\Temp C:\Users\Agnese\AppData\LocalLow\Toolbar4 C:\Users\Agnese\AppData\LocalLow\WhiteSmokeToolbar C:\Users\Agnese\AppData\LocalLow\wincorebsband C:\Users\Agnese\AppData\LocalLow\wincoreimband C:\Users\Agnese\AppData\Roaming\.minecraft C:\Users\Agnese\AppData\Roaming\.techniclauncher C:\Users\Agnese\AppData\Roaming\AVG C:\Users\Agnese\AppData\Roaming\Babylon C:\Users\Agnese\AppData\Roaming\CoSoSys C:\Users\Agnese\AppData\Roaming\Cyberlink C:\Users\Agnese\AppData\Roaming\DVDVideoSoft C:\Users\Agnese\AppData\Roaming\Malwarebytes C:\Users\Agnese\AppData\Roaming\MusicNet C:\Users\Agnese\AppData\Roaming\OpenCandy C:\Users\Agnese\AppData\Roaming\OpenFM C:\Users\Agnese\AppData\Roaming\Opera C:\Users\Agnese\AppData\Roaming\rmi C:\Users\Agnese\AppData\Roaming\Screaming Bee C:\Users\Agnese\AppData\Roaming\skyz C:\Users\Agnese\AppData\Roaming\uTorrent C:\Users\Agnese\AppData\Roaming\WhiteSmoke C:\Users\Agnese\AppData\Local\Microsoft\Windows\GameExplorer\{2B98CF51-2699-47A9-A9E8-E5F7562F80FF}\PlayTasks\0\Gioca.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink WaveEditor Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

kokos proszę nie edytuj wstecz pierwszego posta, przecież brak logiki w kolejności zadań - zadane określone czynności > nowy post z wynikami. Przekleiłam wszystko (z wyjątkiem GMER) do ostatniego posta. Sprawdź czy transfer dysku nie spadł z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. W żadnym z logów nie było widać czynnego proxy w Firefox. Czy na pewno problem z mBankiem nadal występuje? Zadane czynności pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-425070134-1683481979-3785275989-1006\...\Run: [RAMKontroler] => C:\Program Files\XimSoft\RAM Kontroler\RamKontroler.exe Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /t REG_SZ /d "ntsd -d" /f RemoveDirectory: C:\Documents and Settings\admin\Pulpit\Stare dane programu Firefox DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Operacja pomyślnie wykonana, efekty z procesami iexplore.exe powinny ustąpić. Kończymy: 1. Odinstaluj zbędny / przeterminowany Spybot - Search & Destroy. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. PS. Poprzednio chodziło mi oczywiście o link "Portale z oprogramowaniem / Instalatory - na co uważać". Omyłkowo podałam link ogólny zawierający wprawdzie przekierowanie do tego artykułu, ale podmieniłam już na link właściwy we wcześniejszym poście.

Fix wykonany. Natomiast AdwCleaner czepia się komunikatora QQ - ten komunikator jest od początku na Twojej liście zainstalowanych i nie ruszałam tego umyślnie. Czy to celowa instalacja?.

Na początek uwaga na temat pliku C:\Users\komputer\Desktop\HijackThis(12030)-dp.exe = to nie jest poprawny plik tylko śmieć "Asystent pobierania" dobrychprogramów: KLIK. Problem tworzy niepożądany obiekt moters. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CustomCLSID: HKU\S-1-5-21-3374041939-2616359436-2706521396-1000_Classes\CLSID\{56FDF344-FD6D-11d0-958A-006097C9A090}\InprocServer32 -> C:\Users\komputer\AppData\Roaming\moters\supna.dll () C:\ProgramData\ecbaef90-5696-41e1-a1c3-3e8112ce2840 C:\Users\komputer\AppData\Roaming\moters C:\Users\komputer\Desktop\HijackThis(12030)-dp.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Specjalny skrót IE jest uszkodzony: Shortcut: C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\komputer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi (Shortcut już mi nie jest potrzebny). Dołącz też plik fixlog.txt. .

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. Są ślady prób z ComboFixem i na ten temat: KLIK. Z raportów nic konkretnego nie wynika pod kątem zgłaszanych problemów. Do usunięcia tylko wpisy puste / odpadki aplikacji oraz uruchamiane obiekty niepoprawnie usuniętego paska AVG. W spoilerze doczyszczanie: Jedyne akcje ze spoilera, które mogą mieć ewentualne odbicie w działaniu systemu (przyśpieszenie), to usunięcie elementów AVG, Akamai NetSession Interface i Bing ze startu. vs. DRV:64bit: - [2011-10-21 11:30:02 | 012,310,112 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdpmd64.sys -- (intelkmd) DRV:64bit: - [2011-10-21 11:30:02 | 012,310,112 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) Rozumiem, iż chodzi tu o konfigurację hybrydową AMD-Intel oraz BSOD punktujący igdpmd64.sys. Do wglądu ten temat: KLIK. Ale jakie błędy? Czy da się cokolwiek odinstalować (nie tylko powyższe)? Jak ten błąd "parametru" dokładnie jest sformułowany? Pokaż zrzut ekranu / przepisz 1:1. .

Wszystko zrobione, skan już był prowadzony wcześniej, toteż kończymy. Zastosuj DelFix (GMER dokasuj ręcznie) i wyczyść foldery Przywracania systemu: KLIK.

Fix wykonany w zakresie pustych wpisów. Skan tych szczególnych klas nic nie wykazał (brak oznak niestandardowych filtrów). Dla świętego spokoju jeszcze zrób inne szukanie - uruchom FRST, w polu Search wklej: LowerFilters;UpperFilters;moufiltr;Ti64 Klik w Search Registry i dostarcz wynikowy log. Temat przenoszę do działu Hardware. Zasady tego działu: KLIK.

Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\Techgile C:\Program Files (x86)\Zero G Registry C:\ProgramData\Ask C:\ProgramData\AVG Security Toolbar C:\Users\Robert\AppData\LocalLow\dt.dat C:\Users\Robert\AppData\Roaming\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy log fixlog.txt. 2. Uruchom AdwCleaner, wybierz opcję Szukaj i przedstaw wynikowy log z folderu C:\AdwCleaner.

Sprawdź czy transfer dysku nie obniżył się z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Fix wykonany. Drobne poprawki na szczątki "Free Ride Games". Otwórz Notatnik i wklej w nim: FF Plugin: @exent.com/npExentCtl,version=7.0.0.0 -> C:\Program Files\Free Ride Games\npExentCtl.dll No File S2 X4HSEx_Pr143; \??\C:\Program Files\Free Ride Games\X4HSEx_Pr143.Sys [X] DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

- Rootkit.Cidox.H.VBR: ani GMER, ani TDSSKiller nie notują tego rodzaju infekcji. Nie podałeś raportu MBAM (metoda obrazków jest niewdzięczna i ukrywa różne detale o skanie), więc nie widać jaką wersję bazy danych się posługiwałeś. Podobna detekcja kilka dni temu sklasyfikowana jako fałszywy alarm i zalecenie aktualizacji: KLK. - Trojan.Agent.BVBGen: fałszywy alarm na pliku MRT.exe = Malicious Software Removal Tool Microsoftu. Do tego opisu równie dobrze pasuje aktywność oprogramowania zabezpieczającego, a dzieje się tu sporo (inwazyjne sterowniki): COMODO Firewall (główny podejrzany), ESET NOD32 Antivirus (stary i scrackowany). Wysokie obciążenie SYSTEM: tu należy podejrzewać sterowniki, ogólnie system jest upstrzony masą instalacji i starych sterowników. Podejrzanych dużo. W systemie siedzi też przeterminowany Spybot - Search & Destroy, a dodatkowy aspekt z nim związany: zmodyfikował plik HOSTS (to archaiczna metoda zabezpieczeń), który przetwarza ponad 15 tysięcy rekordów. To nie jest zdrowe, a tu przykład co się może dziać, gdy HOSTS jest zbyt gruby: FRST. Ale na chodzie jest nadrzędny element, czyli usługi + sterownik: ==================== Processes (Whitelisted) ================= (BlueStack Systems, Inc.) C:\Program Files\BlueStacks\HD-UpdaterService.exe ========================== Services (Whitelisted) ================= S2 BstHdAndroidSvc; C:\Program Files\BlueStacks\HD-Service.exe [402192 2014-05-01] (BlueStack Systems, Inc.) R2 BstHdUpdaterSvc; C:\Program Files\BlueStacks\HD-UpdaterService.exe [774928 2014-05-01] (BlueStack Systems, Inc.) ==================== Drivers (Whitelisted) ==================== R2 BstHdDrv; C:\Program Files\BlueStacks\HD-Hypervisor-x86.sys [113424 2014-05-01] (BlueStack Systems) Póki co, to tu jest ślad infekcji całkiem gdzie indziej niż typowane. W Harmonogramie zadań jest obiekt infekcji VBKlip/Banatrix, tylko nie wiadomo czy powiązany plik nadal jest na dysku (jeśli nie, to wpis jest bez znaczenia). I infekcja ta raczej nie powoduje takich objawów jak opisywane. Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe Na razie do wyczyszczenia stare wersje, powyższy delikwent, wpisy odpadkowe i Temp: 1. Odinstaluj stare wersje: Adobe Flash Player 14 Plugin, Adobe Shockwave Player 11.5, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\SYSTEM.job => C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe R1 Aspi32; C:\WINDOWS\system32\Drivers\Aspi32.sys [16877 2002-07-17] (Adaptec) [File not signed] S3 gmer; C:\WINDOWS\System32\DRIVERS\gmer.sys [85969 2009-01-23] (GMER) [File not signed] S4 ACDaemon; C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 C-Dilla; \??\C:\WINDOWS\system32\drivers\CDANT.SYS [X] S3 cpuz130; \??\d:\Temp\cpuz130\cpuz_x32.sys [X] S3 hamachi; system32\DRIVERS\hamachi.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 LHidUsbK; System32\Drivers\LHidUsbK.Sys [X] S3 LMouKE; system32\DRIVERS\LMouKE.Sys [X] S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] S3 sony_ssm.sys; \??\d:\Temp\sony_ssm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKU\S-1-5-21-823518204-1614895754-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction ProxyServer: [s-1-5-21-823518204-1614895754-839522115-1003] => : HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://pl.yahoo.com?fr=fp-comodo HKU\S-1-5-21-823518204-1614895754-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-823518204-1614895754-839522115-1003 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO: FGCatchUrl -> {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} -> d:\Program Files\FlashGet\jccatch.dll No File FF DefaultSearchEngine: Yahoo FF SelectedSearchEngine: Yahoo FF Keyword.URL: hxxp://pl.search.yahoo.com/search?fr=ytff-comodo&p= FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 -> d:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{28B7AA99-C0F9-4C47-995E-8A8D729603A1}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe /Automation No File CustomCLSID: HKU\S-1-5-21-823518204-1614895754-839522115-1003_Classes\CLSID\{7AABBB95-79BE-4C0F-8024-EB6AF271231C}\localserver32 -> D:\Program Files\AutoCAD 2007\acad.exe No File C:\Documents and Settings\All Users\Dane aplikacji\wmc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\Aspi32.sys C:\WINDOWS\System32\DRIVERS\gmer.sys C:\WINDOWS\system32\drivers\VBoxNetAdp.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f CMD: sc delete VBoxNetAdp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, bo COMODO uniemożliwi pracę FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Pokaż raport prezentujący "prawie dwieście" pozycji. A wg dostarczonych logów są do czyszczenia głównie różne szczątki, wspominane w MountPoints2 oraz adware i inne puste wpisy: 1. Przez Dodaj/Usuń programy odinstaluj niepożądany program Free Ride Games Player oraz stare dziurawe wersje Adobe Flash Player 10 ActiveX, Adobe Reader 7.0 - Polish. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: FW: Norton Internet Worm Protection (Disabled) {990F9400-4CEE-43EA-A83A-D013ADD8EA6E} SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, msansspc.dll S2 mynsnvtq; \??\C:\WINDOWS\system32\drivers\mynsnvtq.sys [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-18\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-19\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) HKU\S-1-5-20\...\Run: [Exetender] => C:\Program Files\Free Ride Games\GPlayer.exe [4936152 2012-12-04] (Exent Technologies Ltd.) CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S" CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\System32\jmdp\SweetNT.crx [Not Found] HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} HKU\S-1-5-21-574771872-493493670-3516649425-1006\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1417289356&from=cor&uid=TOSHIBAXMK6025GAS_Y5JJ6087SXXY5JJ6087S&q={searchTerms} Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKU\S-1-5-21-574771872-493493670-3516649425-1006 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} FF Plugin: www.exent.com/GameTreatWidget -> C:\Program Files\Free Ride Games\NPGameTreatPlugin.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\Free Ride Games C:\Program Files\Free Ride Games C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser" /v {C4069E3A-68F1-403E-B40E-20066696354B} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

GMER zrobiłeś w niewłaściwych warunkach, tzn. przy czynnym sterowniku SPTD od DAEMON Tools Lite. Owszem, są tu oznaki infekcji - wpis EucubEpivn.dat w starcie oraz zablokowane oprogramowanie zabezpieczające w oparciu o polityki oprogramowania. Ale infekcja nie wygląda na czynną, gdyż jej plik usuwał właśnie skaner ESET. Przypuszczalna droga infekcji: exploit Java. W tym temacie będzie więc usuwanie odpadków po infekcji oraz wpisów pustych. To raczej nie ma związku z opisywanymi problemami. Akcja: 1. Na początek odinstaluj starsze wersje oraz zbędniki: Acrobat.com, Adobe AIR, Adobe Shockwave Player 11.5, Java 7 Update 55, Windows Live Toolbar. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Lavasoft HKLM Group Policy restriction on software: C:\Program Files\ESET HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\McAfee HKU\S-1-5-21-300751917-3985659210-3560172915-1003\...\Run: [EucubEpivn] => regsvr32.exe "C:\ProgramData\EucubEpivn\EucubEpivn.dat" HKU\S-1-5-18\...\RunOnce: [AutoLaunch] => C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly Task: {8C86B6DC-108A-4FB9-9902-1DC702D854C5} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe S2 RoxLiveShare10; "C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe" [X] FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.gazeta.pl/0,0.html?p=133 HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://msn.gazeta.pl/?ocid=OIE9HP HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.com.pl/0SEPLPL/SAOS01?FORM=TOOLBR HKU\S-1-5-21-300751917-3985659210-3560172915-1003\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gazeta.pl/0,0.html?p=133 SearchScopes: HKU\S-1-5-21-300751917-3985659210-3560172915-1003 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = C:\Program Files\mozilla firefox\plugins C:\ProgramData\EucubEpivn C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Get Video Conferencing.lnk C:\ProgramData\Microsoft\Windows\Start Menu\McAfee Install.lnk C:\Users\marek\AppData\Roaming\Systweak C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Z raportów nic nie wynika, a IE owszem korzysta z zupełnie innej instalacji (Adobe Flash Player 15 ActiveX). Sprawdź jak się zachowuje Firefox, gdy: - We wtyczkach wyłączysz wszystko z wyjątkiem wtyczki FlashPlayer. - W Rozszerzeniach wyłączysz tymczasowo Classic Theme Restorer. Pod tym kątem załóż nowy temat w dziale Hardware. Powtarzałam już kilka razy, że jestem świadoma jakie tematy nie są rozwiązane i nie ma potrzeby przypominania się. Jeśli się nie wypowiadam, to znaczy, że na ten moment nie mam nic do powiedzenia (nie zanalizowane dane, brak koncepcji etc.). .

ayla, OTL od dawna już jest podrzędnym raportem dostarczanym tylko przy okazji, obecnie obowiązkowy jest FRST. A te wpisy MountPoints2 kierują na pliki wyglądające na Sality. Nie wiadomo jednak jak długo te wpisy są w systemie, gdyż MountPoints2 trzyma wszystko, dopóki się tego nie wyczyści.

Źle wkleiłeś skrypt, obciąłeś ostatnią literkę ("SE" zamiast "SET"). Powtarzaj skrypt o zawartości i dostarcz wynikowy fixlog.txt: CMD: SET

W zasadach jest napisane jakie logi są obowiązkowe: są to FRST, OTL i GMER, ale nie DDS. O DDS pada prośba, gdy nie ma możliwości dostarczenia FRST i OTL, prośba jest wyraźnie przeze mnie umieszczana w danym temacie (tu nic takiego nie wystąpiło). Temat przenoszę, na razie do działu Windows, ale możliwe że przejdzie do działu Sieci. Brak oznak infekcji, w Firefox jest tylko jedna szczątkowa wyszukiwarka adware, ale to nie gra roli w kontekście problemów i na razie pomijam. Wolne ładowanie stron internetowych: Na początek zainteresuj się sprawdzeniem czy nie bruździ zainstalowane oprogramowanie, a konkretnie COMODO Internet Security Premium. Na próbę go odinstaluj. Ale to nie wszystkie aspekty sprawy: Są oznaki dewastacji / jakiejś awarii systemowej. Lista zainstalowanych programów jest zbyt krótka w stosunku do tego co rzeczywiście w systemie występuje. Nie widać połowy programów, które definitywnie są w systemie i się uruchamiają. Na przykład: AMD Quick Stream, McAfee Security Scan, Skype, Spybot Search & Destroy - na liście zainstalowabych kompletnie brak takich pozycji. Tu sugerowałabym Przywracanie systemu do czasu, gdy nie było problemów, tylko że jest kolejny problem, tzn. FRST zwraca błąd wyliczania punktów sugerujący uszkodzenie systemowego WMI: ==================== Restore Points ========================= Could not list Restore Points. Check "winmgmt" service or repair WMI. Czy wchodząc do interfejsu Przywracania systemu widzisz jakieś punkty Przywracania systemu dostępne? .

Operacje wykonane, na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. A jest możliwa jej deinstalacja? Wg logów brak wejścia deinstalacji na liście Dodaj/Usuń i brak skrótu do deinstalatora w Menu start. Logi są zdolne tylko pokazać sterownik Sality (o ile infekcja czynna), autoryzacje Zapory (dowodujące że on był, bo autoryzacje równie dobrze mogą być odpadkami), polityki oraz mniejsze detale. Infekcja w wykonywalnych per se nie jest "widziana" - co najwyżej może być zanotowane wybiórcze "odświeżanie" plików Microsoftu i aplikacji, ale przyczyna odświeżenia nie jest precyzyjnie znana (jest wiele innych powodów dla których pliki mogą być zmodyfikowane na świeżo). Do detekcji wirusa w wykonywalnych musi być użyty antywirus: Każdy z nich może być użyty. Mówimy tu o skanie każdej partycji z osobna, by uzyskać pewność, że zalążek wirusa nigdzie się nie czai. Wystarczy jeden plik niechcący uruchomiony i nastąpi reinfekcja. Sality interesuje się tylko wykonywalnymi, pliki multimedialne są bezpieczne, o ile na płycie nie wylądowało coś więcej niż tylko te pliki. Jeśli chodzi o laptopa, to znaczenie ma system współdzielenia folderów - czy dyski laptopa były dostępne spod PC w owym czasie? .

Fix nie wykonał się. Przejdź w Tryb awaryjny i ponów próbę. Szukasz sterowników AMD tu: KLIK. Przed manipulacją ze sterownikami utwórz punkt Przywracania systemu.

Tematy zdaje się skleję razem, bo tu nie ma żadnych nowości w stosunku do poprzedniego wątku i jest jakby kontynuacja treści. Tylko drobna poprawka na dwa wpisy których uprzednio nie było widać (FRST ich nie skanował po prostu). Otwórz Notatnik i wklej w nim: ProxyEnable: [.DEFAULT] => Internet Explorer proxy is enabled. ProxyServer: [.DEFAULT] => http=127.0.0.1:49218;https=127.0.0.1:49218 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Wróć do poprzedniego tematu i tych moich wypowiedzi: Przy okazji, znowu widać w logu tę samą stronę adware otwieraną przy starcie Google Chrome: Chrome: ======= CHR StartupUrls: Profile 1 -> "hxxp://astromenda.com/?f=7&a=ast_ir_14_36_ch&cd=2XzuyEtN2Y1L1Qzu0CyEtAyEyC0BtDtByEzztD0ByB0A0F0CtN0D0Tzu0SzyyBzztN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StDzzyDtDtBtCyE0DtG0E0AyDzztGtBzy0AtAtGyE0AyByCtGtC0D0E0C0D0B0B0B0Ezyzyzy2QtN1M1F1B2Z1V1N2Y1L1Qzu2StB0EtByE0DyDtC0FtG0B0BtByCtGyEyB0E0EtGzytDtC0FtG0AyC0C0FtB0E0EyDyC0CyDtD2Q&cr=1213641450&uref=308&ir=" Czy na pewno synchronizacja została wtedy wyłączona?

Poprawki: 1. Nadal widzę poniższą pozycję na liście zainstalowanych - czy na pewno nie pominąłeś tego? 2. Otwórz Notatnik i wklej w nim: CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [Not Found] C:\Program Files (x86)\Browsers Apps C:\Program Files (x86)\Greener Web C:\Program Files (x86)\SupTab C:\ProgramData\AVAST Software C:\ProgramData\boost_interprocess C:\ProgramData\install_clap C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\OEM_YAHOO C:\ProgramData\Pokki C:\ProgramData\Temp C:\ProgramData\WindowsProtectManger C:\Users\Andrrzej Szachta\AppData\Local\Mozilla C:\Users\Andrrzej Szachta\AppData\Local\Pokki C:\Users\Andrrzej Szachta\AppData\LocalLow\Smartbar C:\Users\Andrrzej Szachta\AppData\LocalLow\Temp C:\Users\Andrrzej Szachta\AppData\LocalLow\trustedshopper C:\Users\Andrrzej Szachta\AppData\Roaming\QEDYQJMM C:\Users\Andrrzej Szachta\AppData\Roaming\TuneUp Software C:\Users\Andrrzej Szachta\AppData\Roaming\VKZRD Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7473B376-BABC-4D84-BF08-00EE7CE8CD8E} /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Browsers Apps" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Szukaj, dostarcz wynikowy log z folderu C:\AdwCleaner.

Wszystko zrobione. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. Następnie uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Czego nie skasuje DelFix (np. pobrany GMER), to już ręcznie dokończ.

1. Widzę, że następujące aplikacje nadal wiszą na liście zainstalowanych: ==================== Installed Programs ====================== Adobe Flash Player 12 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 12.0.0.70 - Adobe Systems Incorporated) Adobe Reader 8.1.2 (HKLM\...\{AC76BA86-7AD7-1033-7B44-A81200000003}) (Version: 8.1.2 - Adobe Systems Incorporated) AVG Web TuneUp (HKLM\...\AVG Web TuneUp) (Version: 4.0.0.19 - AVG Technologies) Foxit Reader (HKLM\...\Foxit Reader_is1) (Version: 5.4.5.124 - Foxit Corporation) Jaki jest problem przy próbie deinstalacji paska AVG oraz Foxit? A programy Adobe usuń za pomocą specjalnych deinstalerów listowanych w tym temacie: KLIK. 2. Inne poprawki. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll No File C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\user\Dane aplikacji\Mozilla C:\Program Files\mozilla firefox C:\Sun Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .