picasso

hiro12, zasugerowałeś infekcyjny kierunek ruchu (założyłeś temat w dziale Malware a nie diagnostyki innych rzeczy) i wystąpienie usterki co dopiero ("Wczoraj zainstalowalem malwarebytes usunalem 4 trojany reszty czyli 34 problemow nie ruszalem gdyz samo przeniesienie ich do kwarantanny programu zamulilo mi kompa"). A tu się nagle okazuje, że problem ma zupełnie inną postać i jest już od formatu (ponad rok). Temat przenoszę, na razie do działu Windows 7. Nie opisałeś na czym polega "nie działanie" oryginału i skąd ściągałeś dedykowane. Czy mowa o którymś z tych linków: KLIK / KLIK? A swoje przypuszczenia potwierdzisz deinstalując te sterowniki i tyle. Te sterowniki są strasznie stare: ==================== Drivers (Whitelisted) ==================== S2 E4LOADER; C:\Windows\System32\Drivers\e4ldr.sys [69656 2007-01-04] (Analog Deivces) R3 e4usbaw; C:\Windows\System32\DRIVERS\e4usbaw.sys [104344 2007-01-04] (Analog Devices Inc.) Te na linkowanych przeze mnie stronach również. Wątpliwe, by były nowsze dostępne. .

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy (wydzielone). Nie zostały dostarczone także żadne materiały do analizy. Obowiązkowe są logi: FRST, OTL, GMER. Zasady działu również mówią, że instrukcje są unikatowe i nie wolno ich przetwarzać na innych systemach. Instrukcje są dostosowane pod jeden konkretny system. .

Na temat używania ComboFix: KLIK. Zasady działu jakie tu logi są obowiązkowe: KLIK. Czyli należy podać FRST, OTL i GMER. ComboFix nie. .

Wyjaśnienie braku danych przy tych procesach: KLIK. Opcja "Pokaż procesy wszystkich użytkowników" ujawnia te dane. Mamy tu infekcję w postaci strumieni ADS podczepionych pod świeżo utworzony folder "Temp". Prócz tego jeszcze szczątki adware, ale to nieczynne iobiekty. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: (Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe (Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe (Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe (Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe HKU\S-1-5-21-906435108-3439195025-2073306531-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:026EB853.dat" URLSearchHook: HKCU - (No Name) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {64511A76-362E-4551-8000-BA43A8F82AAF} URL = http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=36a0fad500000000000068a3c44e539c SearchScopes: HKCU - {B5DF8EE5-D8B8-4C31-8858-311463CDB647} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKCU - No Name - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No File C:\Program Files (x86)\mozilla firefox\plugins FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox Task: {097E3930-62E5-4088-AB43-09011B8A24FA} - System32\Tasks\{120FB32D-A916-4D55-AEF5-40C40B5C7E3D} => C:\Users\Tomek\Desktop\LeagueofLegends.exe Task: {53F0AA64-4F75-4EE9-BEC2-5C508A81C4DC} - \Program aktualizacji online firmy Adobe. No Task File Task: {558FF4C4-5B80-4CED-9D6C-4476A19E2D20} - \AdobeFlashPlayerUpdate No Task File Task: {7A5C515D-2D24-4A3D-BC9A-0EC2BC168092} - \AdobeFlashPlayerUpdate 2 No Task File Task: {898EAD81-BA3B-4D97-97B8-15E2E4B0871D} - System32\Tasks\{672535B5-AC22-4EC4-BE6A-7D68116F801D} => C:\Users\Tomek\Documents\LeagueofLegends.exe S3 ALSysIO; \??\C:\Users\Tomek\AppData\Local\Temp\ALSysIO64.sys [X] C:\Temp C:\Users\Tomek\AppData\Local\Temp\*.dll C:\Users\Tomek\AppData\Local\Temp\*.exe C:\Users\Tomek\AppData\Roaming\ProgSense C:\Users\Tomek\Desktop\AVG-PC-TuneUp(21136).exe C:\Users\Tomek\Documents\aTube-Catcher(21622).exe C:\Users\Tomek\Downloads\*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\Search the Web" /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Preferencje Google Chrome wyglądają na uszkodzone, toteż w przeglądarce: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z katalogu C:\AdwCleaner (był używany). Wypowiedz się czy nastąpiła poprawa wydajności. .

Skrypt wykonany. Możesz zakończyć temat: 1. Zastosuj TFC - Temp Cleaner. 2. Usuń używane narzędzia z C:\Users\Maniek\Desktop\DIAGNOZA\FRST. Popraw za pomocą DelFix. To tyle. .

ComboFix nic ciekawego nie robił. Przejdź do wykonania skryptu FRST i przedstaw wyniki.

Z pewnością to infekcja routera. Wpinając się w sieć sterowaną takim urządzeniem Windows przejmuje zainfekowane DNS, dlatego ujawnił się u Ciebie problem. Problem znika po resecie DNS routera. Tu takim "resetem" było przełączenie się na Twoją własną sieć kontrolowaną innym rozdzielnikiem. U nich nadal istnieje problem i muszą go rozwiązać resetując ustawienia routera (DNS i hasło dostępu). Na temat używanych skanerów: - Pominąłeś użycie ComboFix i na ten temat: KLIK. Przedstaw plik C:\ComboFix.txt. - Na dysku pobrany SpyHunter. To wątpliwy skaner stosujący taktyki nacisku, by go zainstalować, aż się okazuje że usuwanie wyników jest płatne. - SpyBot Search and Destroy to przestarzały skaner, lata świetności za sobą. W Twoich raportach nie ma żadnych oznak infekcji. Tylko kosmetyka na puste nieinfekcyjne wpisy i deinstalacja ComboFix. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1845197865-2059153121-408865562-1000\...\Run: [Power2GoExpress] => NA U3 BcmSqlStartupSvc; U2 CLKMSVC10_3A60B698; U2 CLKMSVC10_C3B3B687; U2 DriverService; U2 iATAgentService; U2 idealife Update Service; U3 IGRS; S3 intaud_WaveExtensible; system32\drivers\intelaud.sys [X] U2 IviRegMgr; S3 iwdbus; system32\DRIVERS\iwdbus.sys [X] U2 Oasis2Service; U2 PCCarerService; U2 ReadyComm.DirectRouter; U2 RichVideo; U2 RtLedService; U2 SeaPort; U2 SoftwareService; C:\ProgramData\McAfee C:\ProgramData\Spybot - Search & Destroy C:\Program Files (x86)\McAfee C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Users\Maniek\Downloads\SpyHunter-Installer.exe C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\sqlite3.dll Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {6A1806CD-94D4-4689-BA73-E35EA1EA9990} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: C:\Users\Maniek\Downloads\ComboFix.exe /uninstall Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ostatnia komenda to deinstalacja ComboFix, więc czekaj cierpliwie. Przedstaw wynikowy fixlog.txt. .

Do uzupeniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a ne post pod postem. Posty sklejone. Zadanie niby wykonane, a odczyt bez zmian. Proponuję użyć Przywracanie systemu do daty, gdy nie było problemu. Na początku tematu były dostępne następujące punkty: ==================== Restore Points ========================= 10-05-2014 12:09:54 Zaplanowany punkt kontrolny 14-05-2014 12:05:35 Zainstalowano oprogramowanie Zune 4.8 19-05-2014 11:15:29 Installed Microsoft XNA Framework Redistributable 4.0 Czy wśród nich jest jakiś o dacie starszej niż usterka? .

Zastrzeżenia na temat raportów: - Zabrakło raportu z GMER. - Trzymaj się konfiguracji FRST zaleconej w przyklejony temacie. Sekcje Drivers MD5 i List BCD nie mają być zaznaczone. - OTL także skonfigurowany inaczej niż zalecone, skonfigurowany na 180 dni, a ma być 30. Ten log i tak usuwam, jest zbyt duży, a nie wnosi nic do sprawy. I nic tu nie wskazuje na to, by problemy miały źródło w infekcji. Pod kątem problemów sieciowych i "Odmowy dostępu" zwracają tu uwagę następujące składniki: - Odpadkowy archaiczny sterownik pozostawiony po Kasperskym. Wejdź w Tryb awaryjny Windows i zastosuj Kaspersky Remover. - Sprawdź także wpływ COMODO Internet Security, by go całkowicie wykluczyć jako przyczynę problemów. Do wdrożenia testowa deinstalacja. Po przeprowadzeniu powyższego zajmij się adware (jest tu bardzo agresywny obiekt "Browser Tab Search by Ask"): 1. Otwórz Notatnik i wklej w nim: (SafetyNut Inc) C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe (SafetyNut Inc) C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe (SafetyNut Inc) C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\safetynut.exe HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\safetycrt.dll [489992 2014-05-12] () HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\safetycrt.dll [664584 2014-05-12] () IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe R2 SafetyNutManager; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\SafetyNutManager.exe [3544072 2014-05-12] (SafetyNut Inc) R1 F06DEFF2-5B9C-490D-910F-35D3A9119622; C:\Program Files (x86)\Browser Tab Search by Ask\SafetyNut\x64\configmgrc1.cfg [36224 2014-05-12] (SafetyNut Inc) S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () C:\Windows\SysWow64\Drivers\StarOpen.sys S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 KeyP; SYSTEM32\DRIVERS\KEYP.SYS [X] S3 nmwcdcx64; system32\drivers\ccdcmbox64.sys [X] S3 nmwcdnsucx64; system32\drivers\nmwcdnsucx64.sys [X] S3 nmwcdnsux64; system32\drivers\nmwcdnsux64.sys [X] S3 nmwcdx64; system32\drivers\ccdcmbx64.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" Task: {3660812E-9F3C-4339-AB8D-B4256FF0DFD1} - System32\Tasks\SLOW-PCfighter => C:\Program Files\Fighters\SLOW-PCfighter\SLOW-PCfighter64.exe Task: {7A40FD07-A3DB-40FA-84AF-0BDE364FB477} - \Program aktualizacji online produktu Real Player. No Task File Task: {7D42AF1A-730F-4D59-B58F-DCD393D220D9} - System32\Tasks\Driver Robot => C:\Program Files (x86)\Driver Robot\Driver Robot.lnk Task: {B5A63802-415E-466C-920E-3979336BAE7C} - System32\Tasks\{59C50064-62C2-49CE-9376-F041E61D0CE1} => C:\Program Files (x86)\vag-com-max2000\VagCom-SVO3031a-n.exe Task: {E9D4ABBD-D1DA-4C7B-AC8B-195AF83BC020} - System32\Tasks\McQcModifier-5c47-a7b0 => C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd [2009-08-29] () Task: {FA905027-001E-40DD-A09D-E7182D705B58} - System32\Tasks\SLOW-PCfighter64 => C:\Program Files\Fighters\SLOW-PCfighter\SLOW-PCfighter64.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN11459&gct=hp&d=488-209&v=a12627-338&t=4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Secondary Start Pages = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12627-338&apn_uid=2591851358814523&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12627-338&apn_uid=2591851358814523&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKCU - DefaultScope {E4B106E2-C3F2-4098-9E9C-3A6217EF71D6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=800236&p={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&affID=119816&tt=gc_&babsrc=SP_ss&mntrId=E44F761A042FE497 SearchScopes: HKCU - {8E307E27-13D6-4FCF-B144-0AF90D3B315F} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12627-338&apn_uid=2591851358814523&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKCU - {E4B106E2-C3F2-4098-9E9C-3A6217EF71D6} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=800236&p={searchTerms} FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\Seweryn\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\Ask.xml C:\Users\Seweryn\AppData\Local\AdTrustMedia C:\Users\Seweryn\AppData\Roaming\AVG Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Przez Panel sterowania odinstaluj adware Browser Tab Search by Ask for Firefox. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

Jeśli chodzi o reakcję ESET, to wykrył pewnie usuniętego (czyli i nieczynnego) trojana w folderze C:\FRST\Quarantine (kwarantanna FRST). Folder ten i tak w całości usunął ostatni skrypt do FRST. Lecimy dalej: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Co się nie usunie ręcznie dokasuj. 3. Dla pewności zrób pełne skany za pomocą Malwarebytes Anti-Malware oraz Hitman Pro. Jeśli skanery coś wykryją, dostarcz ich raporty, w przeciwnym wypadku są one zbędne. .

Jak mówiłam, prawdopodobnie chodzi o to, że jest instalowany update w niewłaściwej wersji bitowej, tzn. Java 64-bit, a 32-bitowe programy potrzebują Java 32-bit. Przed Przywróceniem systemu była tylko Java 64-bit: ==================== Installed Programs ====================== Java 7 Update 55 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417055FF}) (Version: 7.0.550 - Oracle) Po Przywróceniu systemu siedzi tu Java 32-bit: ==================== Installed Programs ====================== Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.510 - Oracle) I dokończ odpadki adware oraz stare rozszerzenie "Smart Web Printing" (jeśli Firefox zostanie zainstalowany, nie będzie z tym zgodny): 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] => [X] SearchScopes: HKCU - {5653652B-E1B6-4A4D-9E0B-48BEC281790C} URL = http://ask-tb.com/web?tpid=FXT-RG&o=Y10001&pf=V7&p2=^B9M^YYYYYY^YY^PL&gct=&itbv=12.10.0.3815&apn_uid=B9E6D12C-CECC-4510-9A01-F6F97D2B233B&apn_ptnrs=^B9M&apn_dtid=^YYYYYY^YY^PL&apn_dbr=cr_32.0.1700.76&doi=2014-01-20&trgb=ALL&q={searchTerms}&psv= FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKCU\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib) S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys C:\Users\ADFX\Downloads\MWSnap(11460).exe C:\Users\ADFX\Downloads\PDFCreator(12691).exe Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres ask-tb.com Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres qvo6.com Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

1. Otwórz Notatnik i wklej w nim: (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe (Cherished Technololgy LIMITED) C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe R2 IePluginService; C:\Documents and Settings\All Users\Dane aplikacji\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED) R2 Wpm; C:\Documents and Settings\All Users\Dane aplikacji\WPM\wprotectmanager.exe [496640 2014-03-20] (Cherished Technololgy LIMITED) AppInit_DLLs: C:\PROGRA~1\SupTab\SEARCH~1.DLL => C:\Program Files\SupTab\SearchProtect32.dll [85504 2014-03-05] (Skytech Co., Ltd.) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1395339708&from=cor&uid=_ HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395339708&from=cor&uid=_&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1395339708&from=cor&uid=_ HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395339708&from=cor&uid=_&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1395339708&from=cor&uid=_ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395339708&from=cor&uid=_&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395339708&from=cor&uid=_&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1395339708&from=cor&uid=_ BHO: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited) Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware sweet-page uninstaller, WPM17.8.0.3442. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner. .

BSOD i logowanie na profil tymczasowy niejasne, nie widzę co tu mogło się do tego przyczynić, może AVG się "wkurzył". Poza tym, wszystko wygląda na wykonane. Ostała się tylko drobnostka, tzn. strona startowa mysearch.avg.com w IE, to można skorygować ręcznie w Opcjach internetowych. Teraz przechodzimy do tego: Zacznij od zamknięcia linków widocznych w Shortcut.txt, tzn. ścieżki w C:\ProgramData. 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows 2. W Notatniku utwórz trzy pliki o następującej zawartości: ----> Pierwszy plik: "\\?\C:\ProgramData\Application Data",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix1.txt na Pulpicie. ----> Drugi plik: "\\?\C:\ProgramData\Desktop",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix2.txt na Pulpicie. ----> Trzeci plik: "\\?\C:\ProgramData\Menu Start",1,"O:SYD:PAI(D;;CC;;;WD)(A;;0x1200a9;;;WD)(A;;FA;;;SY)(A;;FA;;;BA)" Plik zapisz pod nazwą fix3.txt na Pulpicie. 3. Otwórz Notatnik i wklej w nim: CMD: SetACL -on "C:\ProgramData\Application Data" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix1.txt CMD: SetACL -on "C:\ProgramData\Desktop" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix2.txt CMD: SetACL -on "C:\ProgramData\Menu Start" -ot file -actn restore -bckp C:\Users\Owner\Desktop\fix3.txt CMD: DIR /AL /S C:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nie jestem pewna ile potrwa generowanie raportu, jeśli są obszerniejsze uszkodzenia linków niż na razie wykryte, Fix może mielić sporo czasu. Czekaj cierpliwie. Zaprezentuj wynikowy fixlog.txt. .

No i wszystko jasne. Pierwsze logi tego nie pokazywały (prawdopodobnie oszukane skanami i zrobione w momencie zaraz po usunięciu wpisu markowego infekcji jeszcze przed jego regeneracją). Teraz się pokazał dowód co się dzieje i dlaczego pliki HTML nabija. Jest tu Ramnit - wirus plików wykonywalnych (infekuje także pliki HTM/HTML), świadczy o tym inicjacja Desktoplayer.exe z Userinit: HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\users\sebek\microsoft\desktoplayer.exe,c:\program files\microsoft\desktoplayer.exe Pro forma opis wirusa: KLIK / KLIK. Tu nie ma się co zastanawiać: format dysku to najlepsze i najszybsze rozwiązanie problemu. Powód jest następujący: zwalczyć tę infekcję (wszystkie pliki wykonywalne Windows i programów są infekowane) graniczy z cudem, a nawet jeśli od biedy się to uda, uszkodzenia mogą być potężne i próby naprawy plików mogą przekroczyć opłacalność. Są tu aż trzy partycje, należy sformatować wszystkie, bo partycje to nie bariera dla wirusa w wykonywalnych (atakuje wszystkie pliki tego rodzaju na obojętnym dostępnym dysku): ==================== Drives ================================ Drive c: () (Fixed) (Total:37.46 GB) (Free:0.92 GB) NTFS Drive d: () (Fixed) (Total:54.09 GB) (Free:2.75 GB) NTFS Drive f: () (Fixed) (Total:19.65 GB) (Free:12.61 GB) NTFS Nie wolno też z tego dysku skopiować na zapas żadnych plików typu EXE, DLL, HTM i HTML, gdyż wystaczy jeden lewy plik i po formacie przypadkowe jego uruchomienie spowoduje reinfekcję. .

zyzio, jeśli nie proszę Cię o logi z FRST, to mi ich nie podawaj (usuwam zbędnik). Co miało być zrobione na ich podstawie, zostało już zrobione. Nowe raporty FRST nic nie wnoszą do tematu. 1. Na temat ostatniego pliku fixlog.txt, katalog C:\AdwCleaner się nie usunął. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 2. Jeśli chodzi o BSOD, to na próbę odinstaluj Avast i sprawdź jakie rezultaty to przyniesie. .

Tak, przecież dane brałam z raportu utworzonego po deinstalacji archaicznego Liska. Wg raportu deinstalacja nie usunęła folderu C:\Program Files\Mozilla Firefox 3.6 Beta 5, dlatego załączyłam go. .

1. Skanery wykryły szczątki adware i "downloadery". Usuń wszystkie wyniki wskazane prze MBAM, z wyjątkiem RiskWare.Tool.CK (ekhm... crack Office), oraz Hitman. Przez SHIFT+DEL (omija Kosz) dokasuj cały folder instalacyjny Tarma C:\ProgramData\InstallMate. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Sprawdź co wymaga aktualizacji. .

Zabrakło GMER. Brak oznak infekcji w dostarczonych raportach i problem nawet nie wygląda na pochodną infekcji, była przecież całkowita reinstalacja: W Dzienniku zdarzeń jest następujący błąd: System errors: ============= Error: (05/28/2014 11:32:37 AM) (Source: Tcpip) (EventID: 4199) (User: ) Description: System wykrył konflikt adresów między adresem IP 192.168.1.2 a komputerem o sieciowym adresie sprzętowym 70-9E-29-50-04-09. W rezultacie mogą być zakłócone operacje sieciowe na tym komputerze. Temat przenoszę do działu Sieci. Dział ma inne wymogi i należy dostarczyć te dane: KLIK. PS. Dodatkowe komentarze w spoilerze, bez związku z problemami sieciowymi: .

Jeśli chodzi o ten błąd: ... to jestem przekonana, że problem tworzy COMODO Internet Security. To nie pierwszy raz tu na forum, że aktywny CIS kompletnie zapobiegł wykonaniu modyfikacji planowanym skryptem FRST. Natomiast z AutoIt nie jestem pewna, zanim zgłoszę to jako bug poproszę o wejście do Trybu awaryjnego Windows (minimalna aktywność CIS) i z jego poziomu powtórzenie pliku fixlist.txt w pierwotnej wersji uwzględniającej linię CMD: z importem FIX.REG. Po tym wejdź z powrotem w Tryb normalny i zrób logi FRST (Addition też ma powstać). Google Chrome: w fixlist.txt zadałam usuwanie polityki Google, co jeszcze się nie wykonało. Nie wiemy jakie to będzie mieć skutki, dopóki tego nie przetworzymy. Resztę będę analizować po otrzymaniu kolejnego zestawu logów. .

Adware w postaci w pełni zainstalowanych programów, głównie "produkcje" tandemu APN / Mindspark, ale plącze się też Conduit i różne szczątki innych obiektów. Ponadto, notuję tu dodatkowy problem z rozwinięciem linków symbolicznych (dlatego Shortcut.txt jest tak koszmarnie duży): Shortcut: C:\ProgramData\Application Data\Application Data\Application Data\Application Data\Application Data\Start Menu\Programs\K-Lite Codec Pack\Help\Frequently Asked Questions.lnk -> C:\Program Files (x86)\K-Lite Codec Pack\Info\faq.htm () Wygląda to na problem tego rodzaju: KLIK. Tym zajmiemy się potem, po wyczyszczeniu adware. Lecimy: 1. Otwórz Notatnik i wklej w nim: (APN LLC.) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe (COMPANYVERS_NAME) C:\Program Files (x86)\Motitags_94\bar\1.bin\94barsvc.exe () C:\Program Files (x86)\Motitags_94\bar\1.bin\AppIntegrator64.exe (http://www.tinydm.com/) C:\Users\Owner\AppData\Local\DM\TinyDM.exe (VER_COMPANY_NAME) C:\Program Files (x86)\Motitags_94\bar\1.bin\94brmon.exe (APN) C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe R2 APNMCP; C:\Program Files (x86)\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2014-03-26] (APN LLC.) R2 Motitags_94Service; C:\Program Files (x86)\Motitags_94\bar\1.bin\94barsvc.exe [44752 2013-11-22] (COMPANYVERS_NAME) S2 Update LinkSwift; "C:\Program Files (x86)\LinkSwift\updateLinkSwift.exe" [X] S2 Util LinkSwift; "C:\Program Files (x86)\LinkSwift\bin\utilLinkSwift.exe" [X] S2 X5XSEx_Pr143; \??\C:\Program Files (x86)\Free Ride Games\X5XSEx_Pr143.Sys [X] HKLM-x32\...\Run: [Motitags Search Scope Monitor] => C:\Program Files (x86)\Motitags_94\bar\1.bin\94SrchMn.exe [44784 2013-11-22] (MindSpark) HKLM-x32\...\Run: [Motitags_94 Browser Plugin Loader] => C:\Program Files (x86)\Motitags_94\bar\1.bin\94brmon.exe [30096 2013-11-22] (VER_COMPANY_NAME) HKLM-x32\...\Run: [ApnTBMon] => C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1801168 2014-03-26] (APN) HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [vProt] => C:\Program Files (x86)\AVG SafeGuard toolbar\vprot.exe [2561560 2014-05-08] () HKLM-x32\...\Run: [] => [X] HKU\.DEFAULT\...\Run: [searchProtect] => \SearchProtect\bin\cltmng.exe HKU\.DEFAULT\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup HKU\S-1-5-19\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup HKU\S-1-5-20\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup HKU\S-1-5-21-2696247456-811157038-2453434591-1000\...\Run: [searchProtect] => C:\Users\UpdatusUser\AppData\Roaming\SearchProtect\bin\cltmng.exe HKU\S-1-5-21-2696247456-811157038-2453434591-1000\...\Run: [Yontoo Desktop] => "C:\Users\Owner\AppData\Roaming\Yontoo\YontooDesktop.exe" HKU\S-1-5-21-2696247456-811157038-2453434591-1000\...\Run: [Optimizer Pro] => C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe HKU\S-1-5-21-2696247456-811157038-2453434591-1000\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup HKU\S-1-5-21-2696247456-811157038-2453434591-1001\...\Run: [Exetender] => "C:\Program Files (x86)\Free Ride Games\GPlayer.exe" /runonstartup HKU\S-1-5-21-2696247456-811157038-2453434591-1001\...\Run: [Tiny download manager] => C:\Users\Owner\AppData\Local\DM\TinyDM.exe [288728 2013-09-28] (http://www.tinydm.com/) HKU\S-1-5-21-2696247456-811157038-2453434591-1001\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Owner\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 861191289cd347d3ab4ab91405788bb8-29cf90d90ef2d6b9d678849a91a3293d0812fa2c --CMPID 0913b HKU\S-1-5-21-2696247456-811157038-2453434591-1001\...\Run: [AVG-Secure-Search-Update_1213b] => C:\Users\Owner\AppData\Roaming\AVG 1213b Campaign\AVG-Secure-Search-Update-1213b.exe /PROMPT /mid=861191289cd347d3ab4ab91405788bb8-29cf90d90ef2d6b9d678849a91a3293d0812fa2c /CMPID=1213b HKU\S-1-5-21-2696247456-811157038-2453434591-1001\...\Run: [AVG-Secure-Search-Update_0214c] => C:\Users\Owner\AppData\Roaming\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe /PROMPT /mid=861191289cd347d3ab4ab91405788bb8-29cf90d90ef2d6b9d678849a91a3293d0812fa2c /CMPID=0214c AppInit_DLLs: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll => C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC64Loader.dll File Not Found AppInit_DLLs-x32: C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll => "C:\PROGRA~2\SearchProtect\SearchProtect\bin\SPVC32Loader.dll" File Not Found Task: {16B2C885-5F9C-4C50-92E9-28232CC4EBCE} - \LaunchApp No Task File Task: {1CF3D206-7FCB-4A34-8602-1F799E60FB7E} - System32\Tasks\DriverUpdate Startup => C:\Program Files (x86)\DriverUpdate\DriverUpdate.exe [2013-06-22] (SlimWare Utilities, Inc.) Task: {35081B65-A216-4384-9740-7807BD4BDEBE} - System32\Tasks\Updater12767.exe => C:\Users\Owner\AppData\Local\Updater12767\Updater12767.exe Task: {CD8B185A-6FC9-47C4-A418-9CF574008B83} - System32\Tasks\VisualBeeRecovery => C:\Users\Owner\AppData\Local\VisualBeeExe\VisualBeeRecovery.exe Task: C:\Windows\Tasks\DriverUpdate Startup.job => C:\Program Files (x86)\DriverUpdate\DriverUpdate.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?ctid=CT3318857&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=2&UP=SPC239FBD8-26F7-4768-87F6-0F2822679A51&SSPV= URLSearchHook: HKCU - (No Name) - {7888381e-e4f0-48f5-a278-b48b0187d950} - C:\Program Files (x86)\Motitags_94\bar\1.bin\94SrcAs.dll (MindSpark) SearchScopes: HKLM-x32 - {6ccbf86d-181d-4ac0-8079-26f4e4b403c1} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^B5J^xdm043^YYA^ca&ptb=01F858CB-C4B8-41DB-88FA-55836CF1F11E&ind=2013112210&n=77fda792&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3318857&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SPC239FBD8-26F7-4768-87F6-0F2822679A51&q={searchTerms}&SSPV= SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3318857&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SPC239FBD8-26F7-4768-87F6-0F2822679A51&q={searchTerms}&SSPV= SearchScopes: HKCU - {1248F259-004C-4A7D-8FDE-CBB26DAEBEA2} URL = http://www.mysearchresults.com/search?c=4504&t=01&q={searchTerms} SearchScopes: HKCU - {150BEBD6-B7D6-4E24-9C5D-9280D8942D82} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241284&CUI=UN12477351471578215&UM=2 SearchScopes: HKCU - {36A406DB-5AD9-4A3C-B35E-ECCBD63EDCC5} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3298581&CUI=UN11682813212036123&UM=2 SearchScopes: HKCU - {4BB75C76-B95D-449C-8DEA-5ED784624FAB} URL = http://www.search.ask.com/web?tpid=ORJ-V7C&o=APN11406&pf=V7&p2=^BBE^OSJ000^YY^CA&gct=&itbv=12.7.0.15&apn_uid=77BC22E9-C2B3-4501-96AB-4A2E1E50D56E&apn_ptnrs=BBE&apn_dtid=^OSJ000^YY^CA&apn_dbr=ie_10.0.9200.16736&doi=2013-11-23&trgb=IE&q={searchTerms}&psv= SearchScopes: HKCU - {6B1889B6-8465-43B2-BB24-A15B3D93F078} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3299872&CUI=UN55662326567831331&UM=2 SearchScopes: HKCU - {6ccbf86d-181d-4ac0-8079-26f4e4b403c1} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^B5J^xdm043^YYA^ca&ptb=01F858CB-C4B8-41DB-88FA-55836CF1F11E&ind=2013112210&n=77fda792&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://mysearch.avg.com/search?cid={0162FA5C-89C5-434C-B01E-1C9DDFB457B0}&mid=861191289cd347d3ab4ab91405788bb8-29cf90d90ef2d6b9d678849a91a3293d0812fa2c&lang=pl&ds=AVG&coid=avgtbavg&cmpid=&pr=fr&d=2014-01-29 18:13:52&v=18.0.5.292&pid=safeguard&sg=&sap=dsp&q={searchTerms} BHO: Ask Toolbar - {4F524A2D-5637-4300-76A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-V7C\Passport_x64.dll (APN LLC.) BHO-x32: Ask Toolbar - {4F524A2D-5637-4300-76A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-V7C\Passport.dll (APN LLC.) BHO-x32: Toolbar BHO - {598f4e85-2ee6-43a8-bf43-c75c82b925fe} - C:\Program Files (x86)\Motitags_94\bar\1.bin\94bar.dll (MindSpark) BHO-x32: Search Assistant BHO - {6df8a038-1b03-41eb-a92b-0e82de08ee4a} - C:\Program Files (x86)\Motitags_94\bar\1.bin\94SrcAs.dll (MindSpark) Toolbar: HKLM - Ask Toolbar - {4F524A2D-5637-4300-76A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-V7C\Passport_x64.dll (APN LLC.) Toolbar: HKLM-x32 - Motitags - {40f650b7-7625-4388-a39d-e7224d0a69b6} - C:\Program Files (x86)\Motitags_94\bar\1.bin\94bar.dll (MindSpark) Toolbar: HKLM-x32 - Ask Toolbar - {4F524A2D-5637-4300-76A7-7A786E7484D7} - C:\Program Files (x86)\AskPartnerNetwork\Toolbar\ORJ-V7C\Passport.dll (APN LLC.) Toolbar: HKCU - No Name - {40F650B7-7625-4388-A39D-E7224D0A69B6} - No File DPF: HKLM-x32 {6A060448-60F9-11D5-A6CD-0002B31F7455} FF Plugin-x32: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin - C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\18.1.5\\npsitesafety.dll No File FF Plugin-x32: @exent.com/npExentCtl,version=7.0.0.0 - C:\Program Files (x86)\Free Ride Games\npExentCtl.dll No File FF Plugin-x32: @Motitags_94.com/Plugin - C:\Program Files (x86)\Motitags_94\bar\1.bin\NP94Stub.dll (MindSpark) FF Plugin-x32: www.exent.com/GameTreatWidget - C:\Program Files (x86)\Free Ride Games\NPGameTreatPlugin.dll No File C:\Program Files (x86)\mozilla firefox\plugins FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml FF HKLM-x32\...\Firefox\Extensions: [avg@toolbar] - C:\ProgramData\AVG SafeGuard toolbar\FireFoxExt\18.1.5.512 AlternateDataStreams: C:\ProgramData\Temp:373E1720 C:\END C:\Program Files (x86)\Mozilla Firefoxsafeguard-secure-search.xml C:\Program Files (x86)\MyPC Backup C:\Program Files (x86)\SearchProtect C:\Users\Owner\daemonprocess.txt C:\Users\Owner\AppData\Local\genienext C:\Users\Owner\AppData\Local\iac C:\Users\Owner\AppData\Local\Mobogenie C:\Users\Owner\AppData\Local\SearchProtect C:\Users\Owner\AppData\Local\VisualBeeClient C:\Users\Owner\AppData\LocalLow\iac C:\Users\Owner\AppData\Roaming\newnext.me C:\Users\Owner\Documents\Mobogenie C:\Windows\SysWOW64\SearchProtect Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: Ask Toolbar, AVG SafeGuard toolbar, McAfee Security Scan Plus, Motitags Internet Explorer Toolbar oraz Tiny Download Manager (prawdopodobnie to także niechciana instalacja). EDIT: I jeszcze VisualBee for Microsoft PowerPoint, te modyfikacje Conduit pochodzą ze sponsora tej instalacji. 3. Wyczyść Firefox: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Uruchom AdwCleaner. Zastosuj Szukaj (powinno być znacznie mniej wykrytych wpisów), a po tym Usuń. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z usuwania AdwCleaner. .

Kolene podejście: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /v NoModify /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /v NoRemove /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} /v NoRepair /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Powyższe działanie powinno uwidocznić przycisk deinstalacji. Spróbuj SupraSavings odinstalować. Następnie otwórz Notatnik i wklej w nim: Folder: C:\Program Files\SupraSavings File: C:\Windows\system32\SecureAssist64.dll Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{D12C40DB-CD7D-4D86-9285-5E2FE23693E4} Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw kolejny fixlog.txt. .

Akcja pomyślnie przeprowadzona i nie widzę już żadnych jawnych obiektów infekcji. Kolejna porcja działań: 1. Uruchom FRST i w polu Search wklej 052CDA90, klik w Search Registry i dostarcz wynikowy log Search.txt. 2. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Zaprezentuj plik fixlog.txt. .

Czy ustąpił problem z Facebook? Jeśli chodzi o wpis wyłączony w msconfig (czyli już nieczynny), to już wiem w czym problem. Ten wpis "AAAAA...." spowodował błąd skanu FRST i w logu Addition nie pokazał się ani ten wpis ani żaden kolejny po nim występujący. Zgłosiłam to autorowi. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. Wpis z msconfig powinien się ulotnić. 2. Mała drobnostka w Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń wszystkie wystąpienia adresu mysearch.avg.com oraz nadwyżkowe google (zostaw tylko jeden z adresów). 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Skan z GMER zrobiłeś w złych warunkach, przy czynnym emulatorze SPTD: KLIK. R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381440 2014-03-03] (Duplex Secure Ltd.) U3 anvgoisi; C:\Windows\System32\Drivers\anvgoisi.sys [0 ] (Intel Corporation) Uwagi na temat używanych skanerów: - SpyHunter to wątpliwy program, który silnie się reklamuje, by go zainstalować, a po instalacji się okazuje, że usuwanie wyników jest płatne. - Spybot Search and Destroy to przestarzały program. - MBAM i Spybota pobierałeś z portali a nie stron domowych. Poniższe pliki to nie są instalatory zasadnicze. Czym to grozi: KLIK. C:\Users\Adaś\Downloads\Malwarebytes-AntiMalware(13117).exe C:\Users\Adaś\Downloads\Spybot-Search-Destroy(12546).exe To nowa infekcja, co dopiero w innym temacie ją widziałam. Infekcja ładuje się via strumienie NTFS: ==================== Alternate Data Streams (whitelisted) ========= AlternateDataStreams: C:\Temp:list3 AlternateDataStreams: C:\Temp:pid1 AlternateDataStreams: C:\Temp:pid2 AlternateDataStreams: C:\Temp:rnd.dat Wyłączanie wpisu w msconfig nie powoduje jego usunięcia, tylko nieaktywność wpisu. Z tym, że tu jest dziwna sprawa, skan FRST nie wykazuje, by ten wpis był widoczny w msconfig: ==================== Disabled items from MSCONFIG ============== MSCONFIG\startupreg: 331BigDog => C:\Program Files (x86)\USB Camera\VM331STI.EXE Czy na pewno "AAAAA...." jest nadal widoczne w msconfig? I to "AAAAA...." to nie jedyny problem, jest tu także w starcie uruchamiany infekcyjny plik skryptu. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2066428769-1742790634-616578676-1000\...\Run: [zyrhxgyrtk] => wscript.exe //B "C:\Users\Adaś\AppData\Roaming\zyrhxgyrtk..vbs" Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File FF user.js: detected! => C:\Users\Adaś\AppData\Roaming\Mozilla\Firefox\Profiles\5j5b6fbs.default\user.js FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] C:\Temp C:\Program Files\Enigma Software Group C:\Program Files (x86)\AVG SafeGuard toolbar C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\WiseEnhance C:\ProgramData\AVG Security Toolbar C:\ProgramData\Spybot - Search & Destroy C:\Users\Adaś\AppData\Roaming\zyrhxgyrtk..vbs C:\Users\Adaś\AppData\Roaming\ESET C:\Users\Adaś\Downloads\Malwarebytes-AntiMalware(13117).exe C:\Users\Adaś\Downloads\Spybot-Search-Destroy(12546).exe C:\Users\Adaś\Downloads\SpyHunter-Installer.exe C:\Windows\ACF5FE1B377240688B872D2A6EFD0A05.TMP C:\Windows\System32\Tasks\Safer-Networking Reg: reg query "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig" /s Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

zagladacz, nie wiadomo co będzie dalej. Diagnostyka dysku wykaże co się z nim dzieje. Przecież jest możliwy scenariusz, że dysk będzie do wymiany, a w takim przypadku tracą zasadność jakiekolwiek operacje prowadzone w tym temacie, bo to będzie równoznaczne ze stawianiem XP na nowo. .