picasso

Zasady działu, obowiązkowe są także raporty FRST. Zamiennie sprawdź co widzi Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i podaj log wynikowy. Jeśli nic nie wykryje, log zbędny. Jaki konkretnie wirus jest wykrywany? .

Skoro instalacja obecie ciągnie się przez godzinę, zostaw ją jeszcze na trochę, by się upewnić że ona jednak się toczy. Ale 24 godziny to przegięcie. Jeśli pojawi się jakiś błąd, przedstaw go. .

Wszystko wygląda na usunięte, ale są dodatkowe komentarze / działania do wdrożenia: 1. Mini poprawki na wpisy odpadkowe. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF SearchEngineOrder.1: Ask Search FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll No File FF Plugin HKCU: @Skype Limited.com/Facebook Video Calling Plugin - C:\Users\Smółko Anna\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll No File HKCU\...\Policies\Explorer: [GreyMSIAds] 0 HKCU\...\Policies\Explorer: [] Task: {1F1B35DE-5DF6-4305-97A6-7208FAC3AFB5} - System32\Tasks\{E515B51A-F57B-4A9C-B526-B5D373445358} => D:\Pobrane\LeagueofLegends.exe Task: {1F5731F8-0E68-4E25-B8C8-19F1A8C0E230} - System32\Tasks\{A82F500D-5910-49AF-B06C-6B981E016CC5} => D:\Pobrane\LeagueofLegends.exe Task: {215918CD-1B7F-46DC-851D-F0EA9B2792B7} - System32\Tasks\{4B12922E-2E18-4472-B810-E69575C74B75} => D:\Pobrane\LeagueofLegends.exe Task: {3CC4930E-1380-4F74-9574-181F67438C0A} - System32\Tasks\{4CB1FB93-3A6A-4E0E-AA7B-6CA43E5692E9} => D:\Pobrane\LeagueofLegends.exe Task: {5C65894E-5036-419C-A644-AD5227F3C426} - System32\Tasks\{10EE5904-3E72-4271-BCF0-7411BCDE8889} => D:\Pobrane\LeagueofLegends.exe Task: {70702582-F3A2-46DB-AA46-41DABED21166} - System32\Tasks\{89DC3D1B-7DE7-493C-91A4-BC19D6DF47CC} => D:\Pobrane\LeagueofLegends.exe Task: {ABFD158E-BDF2-4156-8181-78CB2C0D95BD} - System32\Tasks\{ABFDA00F-4D63-4679-A0D6-856ECFE8BAE2} => D:\Pobrane\LeagueofLegends.exe Task: {B6C16C7F-506D-42EB-9A8A-FDCE2F9E7922} - System32\Tasks\{61AAF6A6-2A4F-403C-BFD0-616D7884E3FD} => D:\Pobrane\LeagueofLegends.exe Task: {E0C80A53-72ED-45D1-9356-CEE13480B3BF} - System32\Tasks\{5C960295-0685-4F7F-9D20-139EED0760CA} => D:\Pobrane\LeagueofLegends.exe Task: {F78859A1-AA93-426B-8A84-1AB60354CBAC} - System32\Tasks\{27695E0E-C8AA-4A08-90B2-7AA17D5D1312} => D:\Pobrane\LeagueofLegends.exe C:\Users\Smółko Anna\.android C:\Users\Smółko Anna\daemonprocess.txt C:\Users\Smółko Anna\AppData\Local\cache C:\Users\Smółko Anna\AppData\Local\genienext C:\Users\Smółko Anna\AppData\Roaming\newnext.me Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Po potwierdzeniu przejdź dalej: 2. Zamontowałeś Hosts_Anti_Adwares_PUPs. Plik HOST gruby i rośnie stale: ==================== Hosts content: ========================== 2009-07-14 03:34 - 2013-12-23 02:08 - 00039784 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 08sr.combineads.info # hosts anti-adware / pups 127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 2010-fr.com # hosts anti-adware / pups 127.0.0.1 2012-new.biz # hosts anti-adware / pups 127.0.0.1 212link.com # hosts anti-adware / pups (...) There are 635 more lines. Nie polecam, pozbądź się programu. Potężny plik HOSTS może prowadzić do zawieszeń systemu i sieci. Przykład z forum: KLIK. 3. Odinstaluj Qtrax Player i wszystkie stare Java 6. 4. Uruchom TFC - Temp Cleaner. 5. Usuń narzędzia: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj. 6. Wyczyść foldery Przywracania systemu: KLIK. 7. Na koniec pełna aktualizacja Windows: KLIK. Stan obecny: Windows 7 Professional (X64) OS Language: Polish Internet Explorer Version 8 .

Zestaw logów niekompletny. Brakuje pliku OTL Extras (opcja "Rejestr - skan dodatkowy" nie została zaznaczona), brakuje obowiązkowych raportów z FRST oraz GMER. Uzupełnij. .

FRST_przerwany.txt nie jest potrzebny. Usuwam z załączników. Wg opisu pierwotnego infekcji był to robak Gamarue. Podpięcie pendrive nie wykonuje tej infekcji automatycznie, infekcja bazuje na socjotechnice (ów skrót o nazwie urządzenia sugerujący użytkownikowi dostęp do danych, czyli namiawiający do kliknięcia). Zadania wykonane, urządzenia sprawne, toteż kończymy: 1. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Program Files\Kaspersky Lab C:\Documents and Settings\All Users\Dane aplikacji\Kaspersky Lab W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, odinstaluj USBFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj wszystkie stare produkty Adobe i Java, zastąp najnowszymi, zaktualizuj pozostałe niżej wymienione: KLIK. Wg raportu są tu: ==================== Installed Programs ====================== Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) (Version: 8.1.2 - Adobe Systems, Inc) Adobe Flash Player 11 ActiveX (Version: 11.8.800.174 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla FF Adobe Reader 8 - Polish (Version: 8.1.2 - Adobe Systems Incorporated) Adobe Reader 8.1.2 Security Update 1 (KB403742) (Version: - ) Adobe Shockwave Player (Version: 11 - Adobe Systems, Inc.) Java 7 Update 25 (Version: 7.0.250 - Oracle) Java™ 6 Update 23 (Version: 6.0.230 - Sun Microsystems, Inc.) Java™ 6 Update 5 (Version: 1.6.0.50 - Sun Microsystems, Inc.) Java™ SE Runtime Environment 6 Update 1 (Version: 1.6.0.10 - Sun Microsystems, Inc.) OpenOffice.ux.pl 2.2.0 (Version: 2.20.9134 - OpenOffice.org) .

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie, odinstaluj USBFix. 2. Zaktualizuj poniżej wyliczone programy: KLIK. ==================== Installed Programs ====================== Foxit Reader (Version: 4.3.1.118) Java™ 7 Update 4 (Version: 7.0.40) Opera 12.15 (Version: 12.15.1748) Skype™ 5.10 (Version: 5.10.116) Pod tym kątem załóż w dziale Windows nowy temat i dostarcz dane rozpisane w punkcie 5 ogłoszenia: KLIK. .

Ale w jakim skanerze i jaka była ścieżka dostępu? No cóż martinesq, usunęłam Ci co dopiero infekcję, a tu kolejna infekcja miner (tym razem coś co udaje "klawiaturę" w folderze Skype). Niestety wygląda na to, że sam to sobie ładujesz instalując coś określonego. Cracki do gier wysoce podejrzane. 1. Krok jeden: usuń wszystkie cracki do gier. Co do jednego. Mają zostać czyste niemodyfikowane gry. 2. Krok dwa: usunięcie minera. Otwórz Notatnik i wklej w nim: () C:\Users\mato\AppData\Roaming\Skype\wwing.exe HKCU\...\Run: [Keyboard Inf.] - C:\Users\mato\AppData\Roaming\Skype\wwing.exe [4086272 2013-12-26] () C:\Users\mato\AppData\Roaming\Skype\wwing.exe AlternateDataStreams: C:\ProgramData:NT AlternateDataStreams: C:\Users\All Users:NT AlternateDataStreams: C:\ProgramData\Application Data:NT AlternateDataStreams: C:\ProgramData\Dane aplikacji:NT AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT AlternateDataStreams: C:\Users\mato\Dane aplikacji:NT AlternateDataStreams: C:\Users\mato\AppData\Roaming:NT Folder: C:\Users\mato\AppData\Roaming\Skype Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Wszystko zrobione. Kończ: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: S3 gusvc; "C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe" [x] CMD: sc config "Internet Manager. RunOuc" start= demand Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Na liście zainstalowanych jest pozycja Adobe Reader X (10.1.8) MUI. Jeśli wpis nie jest widoczny na liście zainstalowanych, usuń wpis tym narzędziem: KLIK. 3. Ponownie uruchom TFC - Temp Cleaner. 4. Przez SHIFT+DEL skasuj wszystkie kopie FRST oraz folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 5. Wyczyść foldery Przywracania systemu: KLIK. .

Adux, analizuję logi kompleksowo. To nie jest tak, że "omijam" coś wyraźnego tylko dlatego, że zgłoszony problem jest inny... Co widzę, próbuję naprawić. Infekcja tu jest, prawdopodobnie to jest przyczyna spowolnienia. Są również śmieci adware. Przeprowadź następujące akcje: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [zeazem] - C:\Users\Adrian\zeazem.exe [57344 2013-12-29] () HKCU\...\Run: [GuardSoftware] - C:\Users\Adrian\AppData\Roaming\guard-joyh.exe [1241088 2013-12-29] () AppInit_DLLs: [ ] () AppInit_DLLs-x32: c:\progra~2\ss-hel~1\sprote~1.dll [1050112 2013-01-24] () SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {88FFCEB5-07CD-41DD-9C61-A7FDD2FD18D4} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: C:\Windows\Tasks\schedule!3036567561.job => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe CHR HKLM\SOFTWARE\Policies\Google: Policy restriction C:\Users\Adrian\zeazem.exe C:\Users\Adrian\AppData\Roaming\guard-joyh.exe C:\Users\Adrian\AppData\Local\Google C:\Program Files (x86)\mozilla firefox\browser\searchplugins\delta-homes.xml C:\Program Files (x86)\mozilla firefox\browser\searchplugins\qvo6.xml C:\Program Files (x86)\NettoCOupOn C:\Program Files (x86)\RanddomPrrice C:\Program Files (x86)\Ss-Helper C:\ProgramData\26f8224556c8cf1f C:\ProgramData\Intelewin filter C:\ProgramData\NettoCOupOn C:\ProgramData\RanddomPrrice C:\cookies.sqlite Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Spróbuj uruchomić AdwCleaner. Jeśli się uda, uruchom usuwanie. W katalogu C:\AdwCleaner powstanie log. 4. Przez Panel sterowania odinstaluj wątpliwy skaner SpyHunter. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Temat przenoszę do działu Windows. Nie wygląda to na problem infekcji. Spybot - Search & Destroy radzę odinstalować. Program jest dość mierny jak na dzisiejsze warunki. I doczyść mikroskopijne szczątki adware/infekcji, zanieczyszczone kopie profilów Firefox (przecież nie będziesz tego śmietnika przywracał) oraz odpadki po odinstalowanym Google Chrome. To nie ma związku z problemami. Instrukcje w spoilerze. Podejrzanymi w takich przypadkach są w pierwszej kolejności programy zabezpieczające (inwazyjne obiekty / sterowniki). Tu mamy ESET Smart Security. Zrób testową deinstalację (tylko to jest gwarancją) i sprawdź jakie są wyniki tej akcji. .

Wszystko poszło zgodnie z planem. Qooqlle nie powinno już się ujawniać. Kończymy: 1. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj te programy: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (x32 Version: 10.1.102.64) ----> wtyczka dla IE Adobe Flash Player 10 Plugin (x32 Version: 10.3.181.14) ----> wtyczka dla Firefox/Opera Adobe Reader 9 (x32 Version: 9.0.0) GG (HKCU Version: 11) Aktualizacje Adobe rozpisane w przyklejonym: KLIK. .

Zrozumiałam, że brak tego w kwarantannie. Skoro kwarantanna jest pełna, po prostu to z niej przywróć. Tylko to jest niejasce: Czy Windows został przeinstalowany na czysto? .

Proszę dostosuj się do zasad działu. Obowiązkowe są także raporty z FRST. Otrzymam je, a przejdę do usuwania. Prawidłowe użytkowanie: najpierw deinstaluje się adware poprzez Panel sterowania i menedżery przeglądarek, dopiero po tym AdwCleaner. AdwCleaner wyrywa na chama i nie zastępuje poprawnych deinstalacji. Ciekawi mnie też w jakiej wersji AdwCleaner był użyty (mam nadzieję, że nie jakaś stara zachomikowana na dysku, ten program pobiera się zawsze od nowa). I na razie nic tu nie kombinuj. .

Przy tej infekcji jest wręcz przeciwnie, najważniejsze jest mieć pewność, że system nie jest naruszony. Przemyśl to, zaleceniem przy infekcjach wykonywalnych i tak jest format, niezależnie od tego czy leczenie było teoretycznie pomyślne. Niestety leczenie z Sality nie gwarantuje sprawnego systemu. Windows nigdy nie wraca do poprzedniego stanu, nawet jeśli infekcja zostanie usunięta. Leczenie z Sality może bowiem oznaczać trwałe uszkodzenie plików Windows i programów, co i tak sprowadza się do jakiejś bezsensownej roboty podmian plików i reinstalacji uszkodzonych programów (w takiej sytuacji szybciej i pewniej pójdzie format z czystą instalacją). Poza tym, system jest tu w stanie zupełnie nieaktualizowanym, mniej do reinstalacji: Microsoft Windows 7 Home Premium (X86) OS Language: Polish Internet Explorer Version 8 Pytaniem jest: co widziałeś w SalityKiller, jakie były statystyki? Wg dostarczonych tu logów jakoby nie ma oznak tej infekcji w stanie czynnym, ale: - logi nie są w stanie zweryfikować szkód w plikach - na wszystkich dyskach nadal są reinfekcyjne pliki Sality - czy przypadkiem tu nie ma więcej niż jednego systemu (każdy musi być czyszczony z osobna)? Na teraz podaję instrukcje usunięcia z dysków tych widocznych plików Sality oraz odpadków adware / programów: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mobilegeni daemon] - E:\Program Files\Mobogenie\DaemonProcess.exe HKCU\...\Run: [NextLive] - E:\Windows\system32\rundll32.exe "E:\Users\Roko\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l MountPoints2: H - H:\autorun.exe SearchScopes: HKCU - DefaultScope {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKCU - {D577F86C-A144-420f-B56C-16987C609BD7} URL = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=4183257091&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKCU - {D9D6AF1B-897B-4eb8-8E72-9B3B334DD867} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File S3 gdrv; \??\E:\Windows\gdrv.sys [x] D:\autorun.inf D:\ufmd.pif E:\autorun.inf E:\sjlo.pif F:\autorun.inf F:\fnncgy.exe F:\wwurg.pif E:\ProgramData\AVAST Software E:\ProgramData\AVG E:\ProgramData\BonanzaDealsLive E:\Program Files\BonanzaDeals E:\Program Files\BonanzaDealsLive E:\Program Files\Mobogenie E:\Program Files\MyPC Backup E:\Users\Roko\.android E:\Users\Roko\AppData\Local\BonanzaDealsLive E:\Users\Roko\AppData\Local\cache E:\Users\Roko\AppData\Local\genienext E:\Users\Roko\AppData\Local\Mobogenie E:\Users\Roko\AppData\Roaming\AVG E:\Users\Roko\AppData\Roaming\Mozilla E:\Users\Roko\AppData\Roaming\newnext.me E:\Users\Roko\AppData\Roaming\OpenCandy E:\Users\Roko\AppData\Roaming\Splashtop E:\Users\Roko\AppData\Roaming\Systweak E:\Users\Roko\Documents\Mobogenie E:\Windows\system32\Drivers\aswNdisFlt.sys E:\Windows\system32\roboot.exe E:\Windows\Čö‚ CMD: rd /s /q D:\$RECYCLE.BIN CMD: rd /s /q D:\RECYCLER CMD: rd /s /q E:\$Recycle.Bin CMD: rd /s /q E:\RECYCLER CMD: rd /s /q F:\$RECYCLE.BIN Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot /v AlternateShell /t REG_SZ /d cmd.exe /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder E:\AdwCleaner z raportem z usuwania. 3. Usunięcie uszkodzonych programów. Wszystkie, które zwracały błąd uruchomienia i nadal są zdefektowane są do reinstalacji z nowo pobranych instalatorów. Poza tym, w Google Chrome w Rozszerzeniach odmontuj odpadek avast! Online Security. 4. Weryfikacja plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >E:\Users\Roko\Desktop\sfc.txt 5. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt, plik sfc.txt (na Pulpicie) i log z AdwCleaner. .

Wspominasz o raporcie z GMER, a go brak w temacie ... Widzę, że próbowałeś posiłkować się archaicznym RootkitRevealer (program ma kilka lat! sensu brak), na dodatek uruchomiłeś nie program zasadniczy lecz brudzący system "Asystent pobierania" RootkitRevealer(11876).exe (KLIK): Error: (12/26/2013 03:33:48 PM) (Source: Application Hang) (User: ) Description: Aplikacja zawieszająca RootkitRevealer(11876).exe, wersja 0.0.0.0, moduł zawieszenia hungapp, wersja 0.0.0.0, adres zawieszenia 0x00000000. Infekcji w rozumieniu trojanów tu nie ma, ale adware owszem czynne. 1. Przez Dodaj/Usuń programy odinstaluj adware SquirrelWeb, VideoDownloadConverter Toolbar. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj SquirrelWeb (o ile nadal będzie po ogólnej deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Pobierz najnowszą wersję FRST. Zrób nowy skan FRST, zaznacz ponownie pole Addition. Dołącz zaległy GMER oraz log utworzony przez AdwCleaner. .

Dziękuję za życzenia. Ode mnie także spóźnione. Wpis zniknął, więc możemy kończyć: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Internet Explorer 6 do wersji 8: KLIK. .

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Samsunek\AppData\Roaming\newnext.me C:\Users\Samsunek\Downloads\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj trzy wyliczone poniżej programy: KLIK / KLIK. Stan obecny: Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Reader X (10.1.8) MUI (x32 Version: 10.1.8) Gadu-Gadu 10 (x32) Jeśli wpis "Adobe Reader X (10.1.8) MUI" jest niewidzialny na liście programów, zastosuj do jego usunięcia to narzędzie: KLIK. .

Nie odinstalowałeś sterownika SPTD od emulatora napędów wirtualnych: R0 sptd; C:\Windows\System32\Drivers\sptd.sys [721904 2010-07-05] () U3 ae7ode8p; C:\Windows\System32\Drivers\ae7ode8p.sys [0 ] (Microsoft Corporation) Podałam Ci link: KLIK. Zastosuj narzędzie SPTDinst, zresetuj system i ponów skan GMER. Muszę go sprawdzić. Jest tu archaiczny system XP, mocno podatny na infekcje, a weryfikacja samych raportów FRST/OTL nie wystarcza. .

Dzięki za Upload, link niepotrzebny już i usuwam. Wszystko wykonane i możemy kończyć: 1. Uruchom TFC - Temp Cleaner. 2. W AdwCleaner uruchom Odinstaluj, przez SHIFT+DEL skasuj foldery: C:\FRST C:\Windows\erdnt C:\Users\Beata\Desktop\Upload 3. Odinstaluj w prawidłowy sposób ComboFix. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Beata\Desktop\ComboFix.exe /uninstall 4. Odinstaluj starą wtyczkę Adobe Flash Player 10 ActiveX (wersja dla IE) oraz zaktualizuj Internet Explorer i antywirusa MSSE. Wersje widziane jako zainstalowane: Internet Explorer Version 10 ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (x32 Version: 10.0.32.18 - Adobe Systems, Inc.) Microsoft Security Essentials (Version: 2.1.1116.0 - Microsoft Corporation) .

Wg raportów z rootkit detekcji Necurs został usunięty (logi w pierwszym poście nieaktualne pod tym kątem), więc maszyny antywirusowe powinny zostać odblokowane. Mamy tu jednak do wykonania jeszcze usuwanie drobnych śmieci adware i wpisów odpadkowych. 1. Otwórz Notatnik i wklej w nim: Task: D:\WINDOWS\Tasks\Go for FilesUpdate.job => D:\Program Files\GoforFiles\GFFUpdater.exe HKCU\...\Run: [NextLive] - D:\WINDOWS\system32\rundll32.exe "D:\Documents and Settings\kixx\Dane aplikacji\newnext.me\nengine.dll",EntryPoint -m l AppInit_DLLs: d:\docume~1\alluse~1\daneap~1\browse~1\23796~1.11\{16cdf~1\browse~1.dll [ ] () FF Plugin: @pandonetworks.com/PandoWebPlugin - D:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File S3 EagleXNt; \??\D:\Documents and Settings\kixx\Ustawienia lokalne\Temp\EagleXNt.sys [x] S2 StarOpen; No ImagePath D:\Documents and Settings\kixx\.android D:\Documents and Settings\kixx\daemonprocess.txt D:\Documents and Settings\kixx\Dane aplikacji\newnext.me D:\Documents and Settings\kixx\Dane aplikacji\GoforFiles D:\Documents and Settings\kixx\Dane aplikacji\TuneUp Software D:\Documents and Settings\kixx\Ustawienia lokalne\Dane aplikacji\genienext D:\Documents and Settings\kixx\Ustawienia lokalne\Dane aplikacji\cache D:\Documents and Settings\kixx\Ustawienia lokalne\Dane aplikacji\MFAData D:\Documents and Settings\All Users\Dane aplikacji\MFAData D:\WINDOWS\system32\Drivers\lgvlqrwg.sys D:\WINDOWS\system32\Drivers\pvpfayij.sys D:\WINDOWS\system32\Drivers\llrowzja.sys D:\WINDOWS\system32\Drivers\wfsfisfw.sys D:\WINDOWS\system32\Drivers\daxnejdt.sys D:\WINDOWS\system32\Drivers\vfzotlnm.sys D:\WINDOWS\system32\Drivers\zywktdnu.sys D:\WINDOWS\system32\Drivers\grivzrsq.sys D:\WINDOWS\system32\Drivers\fzljmwnb.sys D:\WINDOWS\system32\Drivers\uybwwleh.sys D:\WINDOWS\system32\Drivers\asfhaxtz.sys D:\WINDOWS\system32\Drivers\pikqdmli.sys D:\WINDOWS\system32\Drivers\hpjusbgz.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będziesz musiał przeinstalować. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder D:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Skrypt raczej pochodzi z innego miejsca, gdyż punktowany serwis w ogóle nie podaje takich instrukcji (żadnych gotowych skryptów). I miałeś dodać ten log, nie ma go? Akcje wykonane, jeszcze usuń sobie ten plik C:\Program Files (x86)\mozilla firefox\browser\searchplugins\avg-secure-search.xml. Ale problem dysfunkcji WMI mocno niejasny. Podaj mi dodatkowy skan na niektóre obszary WMI. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Winmgmt /s CMD: sc query Winmgmt CMD: sc start Winmgmt CMD: winmgmt /salvagerepository Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

To co wykrył MBAM jest mało istotne: martwe szczątki adware SweetIM, nieczynna replika urządzenia USB z którego skopiowano Kosz z infekcją (D:\usb\RECYCLER\f2f60eea.exe) oraz opcja usuwająca pozycję "Wszystkie programy" z Menu Start (detekcja PUM.Hijack.StartMenu nie oznacza infekcji, ta modyfikacja również dobrze może być zrobiona ręcznie przez użytkownika). Wszystko możesz usunąć za pomocą MBAM, dodatkowo przez SHIFT+DEL dokasuj w całości ten folder: D:\usb\RECYCLER. Być może jednak któryś crack jest lewy i trzeba cracki zlikwidować. Ja nie jestem w stanie stwierdzić tego po raportach. Uściślij: detekcja "vbs/coinminer" (właściwie co pokazało ten wpis i w czym) i/lub "usuwa się kursor, ścina kursor na chwile"? Pobierz najnowszą wersję FRST, zrób nowe raporty (zaznacz pole Addition, by powstał ponownie też drugi log). .

Temat przenoszę do działu Windows. Brak oznak infekcji, choć nie został dostarczony obowiązkowy GMER. Do wyczyszczenia tylko drobne szczątki adware (instrukcje w spoilerze), lecz nie ma to związku z objawami. Na razie wykonaj podstawy: 1. Upewnij się, że transfer dysku nie spadł do PIO. Przeczytaj ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Nie sugeruj się, że instrukcja wiedzie do opisu GMER. 2. Zredukuj uruchamiane procesy. Uruchom Autoruns i w karcie Logon odznacz: HKLM\...\Run: [NeroFilterCheck] - C:\WINDOWS\system32\NeroCheck.exe [155648 2006-01-12] (Nero AG) HKLM\...\Run: [PrintDisp] - C:\WINDOWS\system32\PrintDisp.exe [976896 2011-01-03] (ActMask Co.,Ltd - http://www.all2pdf.com) HKLM\...\Run: [Adobe ARM] - C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated) HKLM\...\Run: [GrooveMonitor] - C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation) HKLM\...\Run: [LaunchList] - C:\Program Files\Pinnacle\Studio 8\LaunchList.exe HKLM\...\Run: [sunJavaUpdateSched] - C:\Program Files\Common Files\Java\Java Update\jusched.exe [253816 2013-03-12] (Oracle Corporation) HKLM\...\Run: [HP Software Update] - C:\Program Files\HP\HP Software Update\hpwuSchd2.exe [49152 2007-03-11] (Hewlett-Packard Co.) HKCU\...\Run: [KiesHelper] - C:\Program Files\Samsung\Kies\KiesHelper.exe /s HKCU\...\Run: [NBJ] - C:\Program Files\Ahead\Nero BackItUp\NBJ.exe [2048000 2006-09-15] (Ahead Software AG) HKCU\...\Run: [Google Update] - C:\Documents and Settings\wieŚmac250\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [116648 2012-05-01] (Google Inc.) Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\HP Digital Imaging Monitor.lnk Startup: C:\Documents and Settings\wieŚmac250\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk W karcie Services odznacz JavaQuickStarterService, SkypeUpdate. Zresetuj system. Jeśli nie będzie poprawy: 3. Do sprawdzenia czy Avast przypadkiem nie bruździ. Kompletny test to deinstalacja, gdyż tylko to gwarantuje odcięcie wszystkich aktywności usług / sterowników programu. 4. Uruchom TFC - Temp Cleaner. 5. Zrób defragmentację dysku (zwyczajną i "Boot Time") za pomocą Puran Defrag. 6. Po wszystkim zrób nowe raporty z FRST, ale dla Services odznacz pole Whitelist (wpisy MS mają się pokazać) + zaznacz ponownie pole Addition. Dodaj też logi ze spoilera (fixlog.txt i wyniki AdwCleaner). .

dibox, zamieszanie w temacie, sprzątam wątki. Ja wyraźnie proszę w zasadach o raporty z FRST. Są obowiązkowe, OTL jest teraz skanem podrzędnym (choć też dołączany dla porównania), bo już mocno odstaje w detekcjach od FRST, nie jest też natywnie 64-bitowy i są różne przekłamania (na które się nabiera wielu "analizujących"). Poza tym, użyłeś AdwCleaner, więc dostarcz logi, które utworzył podczas czyszczenia. Są w folderze C:\AdwCleaner. Nie uruchamiaj narzędzia ponownie. Chodzi o logi z tamtego uruchomienia. .

Śladów czynnej infekcji tu brak, ale są jej odpadki (puste wpisy w starcie) i drobne szczątki adware. Usuwanie: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] - [x] HKLM\...\Run: [Hq4RmJqLt] - C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\build.exe HKCU\...\Run: [Hq4RmJqLt] - C:\Documents and Settings\PC\Ustawienia lokalne\Dane aplikacji\build.exe URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\NEOSTR~1\SEARCH~1.DLL No File FF Plugin HKCU: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File FF HKLM\...\Firefox\Extensions: [searchpredict@speedbit.com] - C:\Program Files\SearchPredict\PRFireFox FF HKLM\...\Firefox\Extensions: [{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] - C:\Program Files\SPEEDbit Video Downloader\SPFireFox S2 acedrv11; \??\C:\WINDOWS\system32\drivers\acedrv11.sys [x] S2 ADILOADER; System32\Drivers\adildr.sys [x] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [x] S3 BDFsDrv; \??\C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys [x] S3 BDRsDrv; \??\C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x] S3 Profos; \??\C:\Program Files\Softwin\BitDefender10\profos.sys [x] S3 Trufos; \??\C:\Program Files\Softwin\BitDefender10\trufos.sys [x] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] C:\Program Files\FreeGamePick.com C:\Documents and Settings\All Users\Dane aplikacji\C4E08C1433E3B55E0000C4DFC738B9AB C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9 C:\Documents and Settings\All Users\Dane aplikacji\Alawar Stargaze C:\Documents and Settings\All Users\Dane aplikacji\AlawarWrapper C:\Documents and Settings\All Users\Dane aplikacji\FileOpen C:\Documents and Settings\All Users\Dane aplikacji\QuickClick C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Trymedia C:\Documents and Settings\PC\Dane aplikacji\ArcaBit C:\Documents and Settings\PC\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\PC\Dane aplikacji\FileOpen C:\Documents and Settings\PC\Dane aplikacji\Toolbar4 C:\Documents and Settings\PC\Dane aplikacji\Mozilla\Firefox\Profiles(2)\u5d8okiu.default C:\Program Files\Mozilla Firefox\extensions(2) C:\Program Files\Mozilla Firefox\updated\extensions(2) Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log z usuwania AdwCleaner (jest w folderze C:\AdwCleaner, nie uruchamiaj narzędzia ponownie). USBFix także nie widzi oczywiście urządzeń, skoro nie może rozpoznać ich system. Spróbuj tego: Jeśli to odniesie pożądany skutek, zrób nowy log USBFix z opcji Listing przy podpiętych urządzeniach. .