picasso

Potwierdzam wykonanie zadania. Resztę czynności już podałam. Temat rozwiązany. Zamykam. .

Zapomniałeś dostarczyć ten skan: .

muzyk75 To są logi z tego samego komputera i masz multum cech to demaskujących (układ startu, układ dysków, konto użytkownika, nazwa komputera). Chyba sugerujesz się wadą OTL, który nie potrafi wykryć poprawnie edycji Windows 8 (zresztą z edycjami Windows 7 też jest problem) oraz instalacji Internet Explorer nowszej niż IE9 (wszystkie instalacje IE10 i IE11 są pokazane jako "IE9" w OTL). To jeden z wielu powodów dla których OTL jest tu już podrzędnym raportem, który jest podawany głównie porównawczo, a podstawowy log bez określonych przekłamań to FRST. spokojnyy W przyklejonym są konkrety na temat konfiguracji FRST. Sekcje Drivers MD5 oraz List BCD nie mają być zaznaczone. Prośba o ich zaznaczenie pada w konkretnych przypadkach, gdy są podstawy do tego. Ten log GMER wklejony do posta (jak i jakikolwiek inny log GMER zrobiony z poziomu Hirens) jest bezużyteczny. Pokazuje zawartość płyty Hirens na silniku XP (ewidentna ścieżka płyty X:\i386 oraz inne "wirtualne" ścieżki X:\ czy B:\), a owe odczyty (*** hidden *** ) sugerujące ingerencję "rootkit" to fałsz (to są wszystko komponenty płyty!). GMER nie może być uruchamiany w środowiskach zewnętrznych z poziomu bootowalnych płyt, przedstawi nie to środowisko co należy. A jeśli chodzi o log GMER wstawiony w załącznik, to jest czymś "zmajstrowany", wszystkie ścieżki mają braki ukośników \, co świadczy, że log nie jest wiernie przeklejony. Podobnie bez sensu jest uruchamiać ComboFix z Hirens lub jakiegokolwiek innego bootowalnego mechanizmu. Ten program nie jest w ogóle przeznaczony do takiego typu uruchomienia (jedynie spod Windows może działać poprawnie). A sama integracja w Hirens jest nielegalna i zbanowana. Jedyny poprawny ComboFix to ten z linka Bleepingcomputer.com. Wszystko inne: stare, niepewne lub źle podane. Pliki odpowiadające masce C:\Programdata\*bdinstall* należą do skanera BitDefender. Ich usuwanie przez ComboFix to błąd / fałszywy alarm, skutek niezbyt inteligentnej rutyny usuwania wszystkich luźnych plików w C:\ProgramData. ComboFix nie jest skanerem antywirusowym, pewne kasacje są wynikiem zupełnie innej oceny niż w klasycznym programie antywirusowym. Dlatego też używanie ComboFix jest obwarowane klauzulą, by tego nie używać na własną rękę. Spakowane/zaszyfrowane pliki to jest tylko detekcja niemożności ich skanu a nie detekcja infekcji. Jest wiele instalatorów specyficznie pakowanych / kompresowanych, do których skanery nie mogą wejść. Tu nie ma nic dziwnego. Bez precyzyjnego raportu nie można tego ocenić. Jedyne co sugeruje, że to był obiekt infekcji - o ile dobrze przepisałeś nazwę wykonywalnego - to podwójne rozszerzenie *.exe.exe. Ale bez dokładnego raportu jest niemożliwym potwierdzić brak błędy przy przepisywaniu. I w dostarczonych tu raportach nie ma nic pasującego do tego "wyniku". Kompletny brak oznak ZeroAccess tutaj. A w kwestii botnetu ZeroAccess: KLIK. Ogólnie: brak tu oznak infekcji. Sprecyzuj więc z czym masz aktualnie problem na tym systemie, bo są tu niejasne wątki: - "Wirtualne napędy, brak uprawnień" = o co chodzi, jakie wirtualne napędy (brak śladów w raportach) oraz jaki "brak uprawnień" i gdzie? - "Największy to chyba zużycie procesora i dysku twardego." = jakie procesy pobierają najwięcej CPU, w ogóle o jakim zakresie zajęcia CPU mowa? .

kbudka, opuść już tę część z Ask Toolbar i przejdź do kolejnych punktów. .

Belfegor Niekompletna instrukcja, pominięty plik VBS w starcie. gutek927 Po pierwsze: tu są nowe zasady działu już od dłuższego czasu, dostarczyłeś tylko logi z OTL, a narzędzie to jest tu już drugorzędne (nie ma wielu nowych detekcji) w stosunku do obowiązkowego FRST. Po drugie: opisz co robiłeś i dostarcz owe raporty z FRST. .

Jeśli MBAM nie wykrywa ponownie żadnego trojana, to już wszystko.

Wygląda na to, że uruchomiłeś skrypt do FRST aż dwa razy, co jest bez sensu (skrypt nie przetworzy dwa razy tego samego, tego co już usunięte). Podaj zasadniczy fixlog.txt z pierwszego podejścia. Jest zarchwizowany w katalogu C:\FRST. Co do skrótu IE: oczywiście adware się tam dopisało. Skasuj ten skrót oraz wszystkie inne skróty przeglądarek (z Pulpitu / Menu Start / Paska zadań). Następnie utwórz nowe skróty do wybranej przeglądarki. .

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Post został wydzielony. Jest tu większa ilość adware, nie tylko zdefektowane odpadki Mobogenie. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware WPM17.8.0.3297 oraz (o ile nie instalowałeś tego celowo) Smart File Advisor 1.1.2. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection, SearchGol i inne pozycje, których nie rozpoznajesz. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy qvo6 oraz inne niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [735936 2013-09-28] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [499856 2014-01-02] (Cherished Technololgy LIMITED) U3 swmidi; Task: {73BF8425-08BE-472D-B3CC-07B149C1B87B} - System32\Tasks\EPUpdater => C:\Users\MODY~1\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe AlternateDataStreams: C:\Users\młody\Ustawienia lokalne:CrCvdjuvqHdKZ6Tl7QyKpvZTG AlternateDataStreams: C:\Users\młody\Ustawienia lokalne:y6fKnS4yglbZ0vLImGwT AlternateDataStreams: C:\Users\młody\AppData\Local:CrCvdjuvqHdKZ6Tl7QyKpvZTG AlternateDataStreams: C:\Users\młody\AppData\Local:y6fKnS4yglbZ0vLImGwT AlternateDataStreams: C:\Users\młody\AppData\Local\Dane aplikacji:CrCvdjuvqHdKZ6Tl7QyKpvZTG AlternateDataStreams: C:\Users\młody\AppData\Local\Dane aplikacji:y6fKnS4yglbZ0vLImGwT AlternateDataStreams: C:\Users\młody\AppData\Local\Temp:dRbleKyZHfCeM8p9y7E4dWHXP AlternateDataStreams: C:\Users\młody\AppData\Local\Temp:hM2Dk3HXHHUPB4Q9q3p C:\Program Files (x86)\Mobogenie C:\ProgramData\eSafe C:\ProgramData\WPM Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Chodziło tylko o fixlog.txt (wyniki przetwarzania skryptu), a nie archiwalne skany główne FRST. Usuwam niepotrzebne załączniki zostawiając właściwy plik fixlog z usuwania. Instrukcję powtórzyłeś tylko raz, a nie 4 razy. Są dwa logi z uruchamiania skryptu (jeden zasadniczy, jeden "wadliwy") oraz dwa logi ze skanów (to odpowiada historii tematu). Czy po przeprowadzonym tu czyszczeniu nadal występuje ten efekt? Na podstawie logów: prawie wszystko wykonane, ale trzeba wprowadzić poprawki. Nowe zadania: 1. Rzeczy, które nie wyglądają na wykonane, lub są wątpliwości w tej kwestii: - Został pokazany log AdwCleaner z opcji Szukaj (AdwCleanerR2.txt), a nie z opcji Usuń (AdwCleanerS2.txt). Czy na pewno opcja Usuń była zastosowana? - W procesach nadal uruchamia się PANDORA.TV. Nie wygląda na to, że odinstalowałeś KMP Service. To do wdrożenia. 2. Otwórz Notatnik i wklej w nim: C:\Support C:\Program Files (x86)\PSupport C:\Program Files (x86)\SaveClicker C:\ProgramData\SaveClicker C:\Windows\System32\Tasks\{0892C50B-7C73-4FCF-8C99-C0D30611D46D} Reg: reg delete HKLM\SOFTWARE\MATS /f CMD: rd /s /q C:\MATS CMD: rd /s /q C:\Users\Maciek\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w katalogu C:\Users\Maciek\Downloads. Uruchom FRST i kliknij w Fix. W katalogu C:\Users\Maciek\Downloads powstanie plik fixlog.txt. Przedstaw go. 3. Zrób nowy skan FRST (bez Addition). Log również powstanie w katalogu C:\Users\Maciek\Downloads. Przedstaw go. .

scopy, znam rozwiązanie tego problemu i nie mam zamiaru prowadzić tematu na innym forum, nie pracuję w taki sposób i to na zdekompletowanych danych. Ponawiam prośbę o dostarczenie wymaganych tu danych: nowe logi z FRST (obowiązkowy tutaj) + OTL, skoro manipulowaliście na innym forum. .

NN0 Na czym aktualnie stoimy w kwestii tego punktu: "ogólny spadek wydajności"? A skrypt pomyślnie przetworzony. Tradycyjne kroki końcowe: 1. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL zastosuj Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. Zastosuj zabezpieczenie przez infekcjami typu autorun.inf (takowa tu była). W Panda USB Vaccine wybierz opcję Computer Vaccination. Jestem samoukiem. Trudno mi wyjaśnić te aspekty. To się po prostu "stało". GregoryMusic Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Post wydzielony w nowy temat: KLIK. .

1. MBAM wykrył tę infekcję Facebook w Autostarcie. To właśnie ów plik, o którym mówiłam, że FRST nie mógł go usunąć, a nowy log już go nie pokazał... Oczywiście usuń trojana. 2. Jeśli chodzi o niemożność usunięcia katalogu FRST, to otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po tym kasowanie katalogu C:\FRST powinno się odbyć bez przeszkód. 3. Po wszystkim ponów czyszczenie folderów Przywracania systemu. .

Mamy tu następujące problemy: infekcja w postaci fałszywego wpisu Java uruchamiającego z katalogu AutoIt3 "Firefox Portable" oraz liczne adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: CCleaner Packages (to jest wrapper adware a nie CCleaner), IObit Apps Toolbar v8.5, Slick Savings, WPM17.8.0.3325. Część wpisów jest prawdopodobnie uszkodzona przez wielokrotne użycie AdwCleaner wcześniej. 2. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe (AutoIt Team) C:\Users\Jaro\AppData\Roaming\AutoIt3\AutoIt3.exe (Mozilla Corporation) C:\Users\Jaro\AppData\Roaming\AutoIt3\FirefoxPortable\App\Firefox\firefox.exe HKLM-x32\...\Run: [] - [x] HKCU\...\Run: [Java] - cmd /c cd %APPDATA%\AutoIt3 & AutoIt3.exe soundmng.txt HKCU\...\Run: [NextLive] - C:\Users\Jaro\AppData\Roaming\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) HKCU\...\Policies\Explorer: [] Task: {01E42602-4CBF-4699-937B-BB5FD343E397} - \PutLockerDownloader V6.0-codedownloader No Task File Task: {25F72C9D-95B2-4C21-B7AB-4B8C7F9E3F78} - \PutLockerDownloader V6.0-updater No Task File Task: {46959F48-085A-4CF3-8000-7C07F2297DA6} - \Desk 365 RunAsStdUser No Task File Task: {5D162A3B-C770-436B-BD95-4AB0CDB69BA5} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Jaro\AppData\Local\FilesFrog Update Checker\update_checker.exe Task: {A1309EDF-D446-4B88-95A9-9FD5FEB388AE} - \PutLockerDownloader V6.0-chromeinstaller No Task File Task: {BE4D404A-1A56-45AB-BF83-8FC1640970D5} - \PutLockerDownloader V6.0-enabler No Task File Task: {F5E6BC8B-23A5-4056-8F40-DD98FB83D10F} - \PutLockerDownloader V6.0-firefoxinstaller No Task File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com/web/?type=ds&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com/?type=hp&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com/?type=hp&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com/web/?type=ds&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.awesomehp.com/?type=sc&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {A0EF5419-9909-4E42-A923-888511F9CC20} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=402027&p={searchTerms} BHO-x32: SecretSauce - {0ffd0ef2-dbe9-483a-80c4-d2c331da1ce4} - C:\Program Files (x86)\SecretSauce\SecretSaucebho.dll (SecretSauce) BHO-x32: IEExtension.Extension - {d40c654d-7c51-4eb3-95b2-1e23905c2a2d} - C:\Windows\SysWOW64\mscoree.dll (Microsoft Corporation) FF Extension: No Name - C:\Users\Jaro\AppData\Roaming\Mozilla\Firefox\profiles\extensions\extensions [2013-12-06] FF Extension: Pirrit Suggestor - C:\Users\Jaro\AppData\Roaming\Mozilla\Firefox\profiles\extensions\suggestor@pirrit.com.xpi [2013-12-06] CHR StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe http://www.awesomehp.com/?type=sc&ts=1391028140&from=ild&uid=ST3500418AS_9VM112KBXXXX9VM112KB R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [493568 2014-01-29] (Cherished Technololgy LIMITED) R2 Update SecretSauce; C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe [102176 2014-01-28] () S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x] C:\Program Files (x86)\SecretSauce C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} C:\ProgramData\AVG C:\ProgramData\WPM C:\Users\Jaro\.android C:\Users\Jaro\AppData\Local\28050 C:\Users\Jaro\AppData\Local\cache C:\Users\Jaro\AppData\Local\genienext C:\Users\Jaro\AppData\Local\Mobogenie C:\Users\Jaro\AppData\Roaming\divx.exe C:\Users\Jaro\AppData\Roaming\launcher.exe C:\Users\Jaro\AppData\Roaming\0F1F1C2Y1H1P1C0I0T C:\Users\Jaro\AppData\Roaming\AutoIt3 C:\Users\Jaro\AppData\Roaming\AVG C:\Users\Jaro\AppData\Roaming\IObit C:\Users\Jaro\AppData\Roaming\newnext.me C:\Users\Jaro\AppData\Roaming\Pirrit C:\Users\Jaro\AppData\Roaming\SharePod C:\Users\Jaro\AppData\Roaming\Slick Savings C:\Users\Jaro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Windows\SysWOW64\tmp*.tmp Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Ponadto, w Menu Start > Wszystkie programy > prawoklik na skrót Internet Explorer > Właściwości > przeklej całą komendę widoczną w polu Element docelowy. .

Wymagane poprawki. Akcja: 1. Otwórz Notatnik i wklej w nim: Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\KATARZ~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKCU\...\Run: [Apps Hat] - C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\WebPlayer\AppsHat\WebPlayer.exe HKCU\...\Run: [NextLive] - C:\Documents and Settings\Katarzyna\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe) MountPoints2: {48aa2cd5-8b58-11e2-a049-bd8cf93df324} - F:\AutoRun.exe AppInit_DLLs: C:\PROGRA~1\MOVIES~1\SAFETY~1\SAFETY~2.DLL => File Not Found IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\safetynut\x64\safetycrt.dll HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tb.ask.com/index.jhtml?n=77FD35DB&p2=^AYY^xdm007^S06949^pl&ptb=322A4F43-A7A0-4CAB-AC4A-BAF924795321&si=CM73ws3O4bkCFche3god9x8A-g SearchScopes: HKLM - DefaultScope {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm007^S06949^pl&si=CM73ws3O4bkCFche3god9x8A-g&ptb=322A4F43-A7A0-4CAB-AC4A-BAF924795321&ind=2013092309&n=77fd59d5&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM - {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=n9602-149&apn_uid=8305672278134416&apn_dtid=BND473&o=APN10640&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm007^S06949^pl&si=CM73ws3O4bkCFche3god9x8A-g&ptb=322A4F43-A7A0-4CAB-AC4A-BAF924795321&ind=2013092309&n=77fd59d5&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {52db1893-8a90-4192-aede-08e00b8f8473} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Documents and Settings\Katarzyna\.android C:\Documents and Settings\Katarzyna\daemonprocess.txt C:\Documents and Settings\Katarzyna\Dane aplikacji\newnext.me C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\Apps Hat Mini C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Program Files\DiVapton Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Babylon Search i inne niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition) oraz zaległy OTL (te logi nadal są obowiązkowe). Dołącz plik fixlog.txt i log z AdwCleaner. .

Czyszczenie wykonane pomyślnie. Nasuwają się pytania: - Czy logi FRST zostały ponownie otworzone w owym "innym" Notatniku? - Czy problem z formularzami logowania nadal występuje? 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i obiekty: C:\REMOVE_THIS_FILE.livecd.swap C:\FRST C:\ProgramData\Doctor Web C:\Users\Krystian\Doctor Web C:\Users\Krystian\Desktop\Stare dane programu Firefox W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj stary Adobe Reader 9.5.5 MUI, zastąp najnowszym, o ile potrzebne: KLIK. .

Być może negatywny wpływ ma Kaspersky Internet Security 2012. .

stam222, ten log to nie ten log. Prosiłam o załączenie pliku fixlog.txt, który powstał na samym początku a nie o powtarzanie instrukcji. O ile pamiętam, uprzednio wklejony w poście skrypt wykonał się poprawnie. A teraz jest plik pokazujący wszędzie "not found", co oznacza, że ponownie wykonałeś instrukcję. Tego się nie robi, skrypty są jednorazowe, nie przetworzą po raz drugi tego samego. Nawet zasady działu (KLIK) o tym mówią, by nie powtarzać skryptów i instrukcji. Podaj pierwotny fixlog.txt, pierwszy z serii. Plik ten został już zarchiwizowany i siedzi pod nieco inną nazwą (z datą jako częścią) w katalogu C:\FRST. .

Oznak infekcji "policyjnej" brak, czyli musiał to być "tymczasowy" komunikat na poziomie przeglądarki. Za to do czyszczenia mamy odpadki adware. I drobna uwaga: używałeś skaner SpyHunter, jest to wątpliwy program stosujące klasyczną technikę naciągactwa ("skanuj, ale pokazane wyniki usunie tylko opłata"). Akcja: 1. Przez Panel sterowania odinstaluj adware Update for Video Converter, Video Converter Packages. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020 SearchScopes: HKLM - DefaultScope Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms} SearchScopes: HKLM - Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - Gazeta URL = http://szukaj.gazeta.pl/internet/0,0.html?p=125&slowo={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4004002269C9E68C&affID=119357&tsp=5020 SearchScopes: HKCU - {15F394EA-E08B-4720-B476-133C339278BB} URL = http://www.idg.pl?q={searchTerms} Task: {0C6054EE-B101-4313-8D68-CBFD552486B9} - System32\Tasks\RealDownloaderDownloaderScheduledTaskS-1-5-21-266271423-965352428-2610167932-1003 => C:\Program Files\RealNetworks\RealDownloader\recordingmanager.exe Task: {29A05649-FFB2-42B6-9B3C-BBE72A35E49E} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-266271423-965352428-2610167932-1003 => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe Task: {3212B0F6-2C42-42B3-9C77-0CF9FD8DAED0} - System32\Tasks\e-pity2012_kwiecien => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {5E808DFF-12AE-4AEA-A7CF-74C32A2CB346} - System32\Tasks\Danusia i Dominik NBAgent 5 4 => C:\program files\nero\nero 10\nero backitup\NBAgent.exe Task: {7CE8CF7F-E859-4287-86A4-4E01101B9200} - System32\Tasks\e-pity2012_styczen => C:\Program Files\e-file\e-pity2012\signxml.exe Task: {B77D3614-285D-46AC-A7C6-28A569CDEF38} - System32\Tasks\Danusia i Dominik => C:\Program Files\Nero\Nero 10\Nero BackItUp\NBCore.exe Task: {CEB6A870-8D77-4674-A705-283704DDFF16} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-266271423-965352428-2610167932-1003 => C:\Program Files\RealNetworks\RealDownloader\realupgrade.exe Task: {DD0766D9-A03C-4D8A-B565-F66645125833} - System32\Tasks\DigitalSite => C:\Users\Danusia i Dominik\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\Windows\Tasks\DigitalSite.job => C:\Users\DANUSI~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S4 sptd; System32\Drivers\sptd.sys [x] U2 wuaserv; C:\Program Files\Enigma Software Group C:\Users\Danusia i Dominik\AppData\Roaming\0D0S1L2Z1P1B C:\Users\Danusia i Dominik\AppData\Roaming\adma C:\Users\Danusia i Dominik\AppData\Roaming\Babylon C:\Users\Danusia i Dominik\AppData\Roaming\DigitalSite C:\Users\Danusia i Dominik\AppData\Roaming\Systweak C:\Windows\455F074C814E4520B69B5584BD90400C.TMP Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Wielkość liternictwa nie ma żadnego znaczenia, komendy nie są "case sensitive". Wszystko w porządku. Załączyłam tę komendę na wszelki wypadek, gdyby były inne luźne pliki EXE w tym miejscu, gdyż log jest ograniczony czasowo i nie można wszystkiego stwierdzić. FRST nie znalazł jednak takich plików. Tylko tyle oznacza ten odczyt. Za to jest inny "sporny" odczyt: C:\ProgramData\msgekxf.exe => Moved successfully. Plik jakoby pomyślnie usunięty, a tenże plik nadal widnieje w logu. 1. Poprawka. Otwórz Notatnik i wklej w nim: C:\ProgramData\msgekxf.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Jeśli nic, raport zbędny. .

Wiem gdzie jest ta modyfikacja adware, ale zanim się za to zabiorę uzupełnij dane: 1. Po pierwsze, użyta potwornie stara wersja FRST: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-10-2013 (ATTENTION: ====> FRST version is 120 days old and could be outdated) Ten program jest non-stop aktualizowany i musi być pobierany za każdym razem od nowa. Pobierz z przyklejonego (KLIK) i zrób nowe logi, pole Addition ma być zaznaczone, by powstały dwa logi. 2. Skoro użyłeś AdwCleaner, to proszę dołącz logi utworzone przez narzędzie. Logi są w folderze C:\AdwCleaner. I użycie AdwCleaner bez poprawnej deinstalacji adware via Panel sterowania to nie była dobra metoda podejścia do sprawy... Zawsze się zaczyna od deinstalacji, AdwCleaner nie zastępuje jej, tnie obiekty na chama i mogą być skutki uboczne. .

1. Jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: U4 WMCoreService; HKLM\...\Run: [setwallpaper] - c:\programdata\SetWallpaper.cmd C:\Program Files\NetPanel C:\Users\Administrator\AppData\Local\Bron.tok.A12.em.bin C:\Users\Administrator\AppData\Local\Loc.Mail.Bron.Tok C:\Users\Administrator\Downloads\avg_avct_stb_all_2014_4259_cm10.exe.part CMD: for /d %f in (C:\Users\Administrator\AppData\Local\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego potwierdzeniu przejdź do finalizacji: 2. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Administrator\Downloads\FRST-OlderVersion W OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. Zadałam do usuwania warunek z użyciem maski mając na uwadze pliki a nie foldery (FRST nie pozwala stosować znaków wieloznacznych w nazwach folderów). Jednakże w związku z tym, iż był również folder spełniający warunek, FRST nie usunął nawet pliku. Już obiekty załączyłam w powyższym skrypcie, ale użyłam poprzednio maskę, gdyż od Brontok może być więcej obiektów w tym miejscu. Na wszelki wypadek wejdź do folderu C:\Users\Administrator\AppData\Local i sprawdź czy są jakieś inne pliki / foldery zawierające w nazwie frazę Bron. Znalezione przez SHIFT+DEL skasuj. Tu nie za bardzo widać "śmieci". Jeśli zmierzasz do zintegrowanych z systemem programów ASUS oraz innych zewnętrznych aplikacji, to można jeszcze rozważyć usunięcie: ==================== Installed Programs ====================== „Windows Live Essentials“ (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden „Windows Live Mail“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live Messenger“ (x32 Version: 15.4.3502.0922 - „Microsoft Corporation“) Hidden „Windows Live“ fotogalerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Adobe Flash Player 10 Plugin (x32 Version: 10.0.32.18 - Adobe Systems Incorporated) ----> wtyczka dla FF ASUS LifeFrame3 (x32 Version: 3.0.24 - ASUS) ----> zrzuter ekranu / edytor powiązany z kamerą ASUS Splendid Video Enhancement Technology (x32 Version: 1.02.0031 - ASUS) ----> asusowe "poprawianie" jakości obrazu Control ActiveX Windows Live Mesh pentru conexiuni la distanță (x32 Version: 15.4.5722.2 - Microsoft Corporation) Fast Boot (Version: 1.0.9 - ASUS) ----> asusowy menedżer startu Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (x32 Version: 15.4.5722.2 - Microsoft Corporation) Gadu-Gadu 10 (x32 Version: - GG Network S.A.) Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (x32 Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (x32 Version: 15.4.5722.2 - Microsoft Corporation) Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Polski pakiet językowy dla programu Microsoft .NET Framework 4 Client Profile (Version: 4.0.30319 - Microsoft Corporation) Pošta Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Communications Platform (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Essentials (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Essentials (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Windows Live Family Safety (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live fotoattēlu galerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Fotogaléria (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Fotogalerie (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Foto-galerija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Fotótár (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Galerija fotografija (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live ID Sign-in Assistant (Version: 7.250.4225.0 - Microsoft Corporation) Hidden Windows Live Installer (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Language Selector (Version: 15.4.3508.1109 - Microsoft Corporation) Hidden Windows Live Mail (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Mesh (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Mesh ActiveX Control for Remote Connections (x32 Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX kontrola za daljinske veze (x32 Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (x32 Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-i juhtelement kaugühendustele (x32 Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (x32 Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live MIME IFilter (Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Movie Maker (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Photo Common (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Photo Gallery (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live PIMT Platform (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Hidden Windows Live Pošta (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Remote Client (Version: 15.4.5722.2 - Microsoft Corporation) Hidden Windows Live Remote Client Resources (Version: 15.4.5722.2 - Microsoft Corporation) Hidden Windows Live Remote Service (Version: 15.4.5722.2 - Microsoft Corporation) Hidden Windows Live Remote Service Resources (Version: 15.4.5722.2 - Microsoft Corporation) Hidden Windows Live SOXE (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live SOXE Definitions (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live UX Platform (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live UX Platform Language Pack (x32 Version: 15.4.3508.1109 - Microsoft Corporation) Hidden Windows Live Writer (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live Writer Resources (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Windows Live'i fotogalerii (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Фотогалерия на Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Dodatkowe komentarze: - Część wpisów Windows Live jest widoczna, po ich normalnej deinstalacji uruchom to narzędzie: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy nadal widać jakieś wpisy Windows Live i te usuń. - Gadu-Gadu 10: albo zamiana najnowszą wersją GG12 (jest zdecydowanie bardziej "przyjemniejsza"), albo alternatywą w stylu WTW. Opisy: KLIK. - Adobe Flash Player 10 Plugin: prawdopodobnie jest ta wtyczka sprzężona z GG10 i będzie staroć reinstalowana. Po usunięciu GG10 usuń tę wtyczkę i załaduj najnowszą. Wszystko tu: KLIK. Świeżą instalacją jest tu AVG w kombinacji z MBAM (wygląda na wersję trial z czynnym strażnikiem), więc nie jest wykluczone, iż owe instalacje przyczyniają się do efektu. .

FRST oznaczył ów plik w starcie jako niemożliwy do usunięcia. W nowym logu pliku już jednak nie ma, za to ... pojawiła się nowa infekcja Gamarue. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [14299] - C:\ProgramData\msgekxf.exe [69945 2010-11-20] ( ()) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKCU\...\Policies\Explorer: [TaskbarNoNotification] 0 HKCU\...\Policies\Explorer: [HideSCAHealth] 0 HKCU\...\CurrentVersion\Windows: [Load] c:\users\karolina\mspvbcvr.exe C:\ProgramData\msgekxf.exe c:\Users\karolina\*.exe C:\Users\Karolina\AppData\Roaming\*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Powtórz akcję z TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

1. Skrypt wykonany, więc możesz usunąć już używane narzędzia. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Na koniec usuń wszystkie stare Java i zastąp najnowszą (o ile w ogóle potrzebna) oraz zaktualizuj Adobe Flash Player i Foxit: KLIK. Stan obecny: ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (x32 Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Foxit Reader (x32 Version: 6.1.1.1031 - Foxit Corporation) Java 7 Update 17 (64-bit) (Version: 7.0.170 - Oracle) Java 7 Update 45 (x32 Version: 7.0.450 - Oracle) Jak mówiłam, na wyczucie kojarzy mi się z tym efektem COMODO. Nic więcej nie jestem w stanie stwierdzić, zwłaszcza, że problem obecnie nie występuje. .

Owe "aktywatory" są wykrywane z oczywistych względów (łamanie licencji / piractwo), ale to nie są wirusy. Defekt z "Moimi dokumentami" generuje zduplikowane odwołanie do userinit. I jest to skutek infekcji z urządzenia przenośnego USB. Coś tu było podpinane niedawno, w systemie są inne ślady tej infekcji, acz nic nie wskazuje na to, by była ona czynna. HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,userinit.exe Ponadto, w Dzienniku zdarzeń są jakieś dziwaczne błędy o formule: Application errors: ================== Error: (01/25/2014 07:38:34 PM) (Source: LoadPerf) (User: ) Description: Występująca w rejestrze wartość ciągu nazwy licznika wydajności jest niepoprawnie sformatowana. Nieprawdziwy ciąg to KRZAKI Przeprowadź następujące działania: 1. Usuwanie szczątków infekcji i ESET oraz reset liczników wydajności. Otwórz Notatnik i wklej w nim: HKLM\...\Winlogon: [userinit] C:\WINDOWS\system32\userinit.exe,userinit.exe HKCU\...\Run: [wsctf.exe] - wsctf.exe MountPoints2: {7a8dd0ee-85b4-11e3-ba6d-0011097ea21b} - E:\pbudsara.exe C:\Documents and Settings\All Users\Dane aplikacji\Logs C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\asd\Dane aplikacji\ESET C:\Documents and Settings\asd\Ustawienia lokalne\Dane aplikacji\ESET Reg: reg delete HKLM\software\Mozilla /f Reg: reg delete HKLM\Software\MozillaPlugins /f CMD: lodctr /R:PerfStringBackup.INI Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

W systemie jest multum instalacji adware. Akcja: 1. Otwórz Notatnik i wklej w nim: (ClickMeIn Limited) C:\Program Files\VuuPC\Connectivity.exe HKCU\...\Run: [NextLive] - C:\Documents and Settings\Robert\Dane aplikacji\newnext.me\nengine.dll [1283584 2014-01-06] (NewNextDotMe) HKCU\...\Policies\Explorer: [HideSCAHealth] 1 Winlogon\Notify\WgaLogon: WgaLogon.dll [X] MountPoints2: {c9e94e04-899f-11e3-af0a-001fe2656671} - J:\cdstart.exe ProxyServer: www.facebook.pl HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD502IJ_S13TJ90QB21856&ts=1355671989 SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=aa684a77-8344-459b-a777-6cc241c978fe&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}&installDate={installDate} SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.searchrocket.info/?l=1&q={searchTerms}&pid=700&r=2013/05/28&hid=2570990793&lg=EN&cc=PL&unqvl=16 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=aa684a77-8344-459b-a777-6cc241c978fe&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}&installDate={installDate} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=4C8E001FE2656671&affID=119357&tsp=4983 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=23C2E87D-3350-40F1-AEE1-39983D6B799F&apn_sauid=6C6520A8-ECEB-4137-ACCA-B3DA8427F7F0 BHO: DataMngr - {B939CF93-F2CB-443d-956C-DC523D85C9DB} - No File BHO: Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File BHO: Softonic Helper Object - {E87806B5-E908-45FD-AF5E-957D83E58E68} - C:\Program Files\Softonic\softonic\1.5.11.5\bh\softonic.dll (Softonic.com) BHO: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - No File Toolbar: HKLM - Wincore Mediabar - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - No File Toolbar: HKLM - Softonic Toolbar - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - C:\Program Files\Softonic\softonic\1.5.11.5\softonicTlbr.dll (Softonic.com) Toolbar: HKLM - Linkury Smartbar - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - C:\Program Files\Perion\NewTab\newTab.crx [2012-11-23] CHR HKLM\...\Chrome\Extension: [niogeckbkdcabhnapjbkeiklablhjoca] - C:\Program Files\Perion\ChromeInfoBar\ChromeInfoBar.crx [2012-11-23] CHR HKCU\...\Chrome\Extension: [amfclgbdpgndipgoegfpkkgobahigbcl] - C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\Smartbar/Application\1Extension.crx [2013-05-06] Task: C:\WINDOWS\Tasks\Lyrmix Update.job => C:\Program Files\Lyrmix\LyricsmixUpdate.exe S2 RemoteEngineService; C:\Program Files\VuuPC\remoteengine.exe [2967568 2013-05-22] (ClickMeIn Limited) R2 VuuPCConnectivity; C:\Program Files\VuuPC\Connectivity.exe [4746768 2013-05-22] (ClickMeIn Limited) S2 BrowserDefendert; C:\Documents and Settings\All Users\Dane aplikacji\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [x] S0 ddqdjmt; System32\drivers\otsno.sys [x] U1 luafv; S3 PCAMPR5; \??\C:\WINDOWS\System32\PCAMPR5.SYS [x] S3 rt2870; system32\DRIVERS\rt2870.sys [x] C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\BearShare C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\BrowserDefender C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\conttiinuoeetOssaVe C:\Documents and Settings\All Users\Dane aplikacji\F4D55F17000485B2006E0D8A8DB91C90 C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\StarApp C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Wru C:\Documents and Settings\All Users\Dane aplikacji\{E6A6CE03-6563-45AB-89FB-CAA10E4E1475} C:\Documents and Settings\Gość\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\Gośka\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\Robert\.android C:\Documents and Settings\Robert\.plugin140_03.trace C:\Documents and Settings\Robert\daemonprocess.txt C:\Documents and Settings\Robert\Dane aplikacji\BabMaint.exe C:\Documents and Settings\Robert\Dane aplikacji\0C1I1L1R1J0M1P0I1G C:\Documents and Settings\Robert\Dane aplikacji\BrowserCompanion C:\Documents and Settings\Robert\Dane aplikacji\defaulttab C:\Documents and Settings\Robert\Dane aplikacji\DSite C:\Documents and Settings\Robert\Dane aplikacji\Incredibar.com C:\Documents and Settings\Robert\Dane aplikacji\mediabarbs C:\Documents and Settings\Robert\Dane aplikacji\newnext.me C:\Documents and Settings\Robert\Dane aplikacji\Se Analyzer Tool SA C:\Documents and Settings\Robert\Dane aplikacji\Systweak C:\Documents and Settings\Robert\Dane aplikacji\wincorebsband C:\Documents and Settings\Robert\Menu Start\FoxTab FLV Player C:\Documents and Settings\Robert\Moje dokumenty\Mobogenie C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\genienext C:\Documents and Settings\Robert\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Program Files\AVAST Software C:\Program Files\FoxTabFLVPlayer C:\Program Files\Mobogenie C:\Program Files\maucampo C:\Program Files\VuuPC C:\WINDOWS\System32\ImHttpComm.dll Reg: reg delete HKCU\Software\Classes\.exe /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Search the Web" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware: Linkury Smartbar, Linkury Smartbar Engine, Softonic toolbar on IE and Chrome, SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.4, TornTV, Ultimate Codec Packages. 3. Firefox zabrudzony adware mocno, ale czyszczenie nieopłacalne, to zdezelowany stary Firefox 13.0.1. Za pomocą MozBackup skopiuj tylko zakładki i hasła (nic więcej), o ile potrzebne. Następnie odinstaluj Firefox, przy pytaniu o usuwanie danych użytkownika potwierdź. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj IncrediBar for Chrome™, New tab for Chrome™ Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomylne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy skan FRST (bez Addition) + OTL (bez Extras). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .