picasso

Proszę dostosuj się do zasad działu, tu są także obowiązkowe raporty z FRST. Dodaj.

.

Na analizę problemu potrzebuję więcej czasu.

Lekarstwo podalem ale nie pomoglo.

Jeśli mówisz o skrypcie do FRST, to nie miał w ogóle związku z problemem. Wyraźnie zaznaczyłam, że jest to usuwanie szkód w Winsock po infekcji ZeroAccess oraz wpisów pustych. To wg pliku fixlog.txt wykonane. Ale:

ALE znalazlem lustrzana kopie z przed okolo 12 miesciecy (z dzialajacy awaryjny) wiec moze zrobie skan FRST i wysle dla porowniania.

Jeśli zrzuciłeś kopię, to mogłeś odkręcić powyższe działanie. Nie wiem co zawiera kopia sprzed 12 miesięcy. Logi z widoku tamtej kopii o tyle tylko przydatne, by porównać czy usuwane wpisy były tam obecne.

.

Wszystko wykonane. Przejdź do wykończeń:

1. Ponownie uruchom TFC - Temp Cleaner.

2. Przez SHIFT+DEL skasuj foldery:

C:\FRST

E:\Users\Konrad\Desktop\Stare dane programu Firefox

E:\Users\Konrad\Downloads\FRST-OlderVersion

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. W związku z obecnością loggerów Tibia pozmieniaj prewencyjnie hasła w grach i innych serwisach.

5. Do aktualizacji cały Windows, pakiet Office, Silverlight i Adobe Reader: KLIK. Stan obecny:

Microsoft Windows 7 Ultimate (X86) OS Language: Polish

Internet Explorer Version 8
 

==================== Installed Programs ======================
 

Adobe Reader XI (11.0.03) (Version: 11.0.03)

Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014)

Microsoft Silverlight (Version: 5.1.20513.0)

.

Temat jedzie do działu Vista. Oznak infekcji brak. Tylko kosmetyka (bez związku z problemami) szczątków adware i odinstalowanych aplikacji. W spoilerze:

HKCU\...\Run: [NextLive] - C:\Windows\system32\rundll32.exe "C:\Users\Damian\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
CHR HKLM\...\Chrome\Extension: [dghncoeocefmhkhiphdgikkamjeglbfh] - C:\Program Files\mystarttb\chrome-newtab-search.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
S1 iSafeNetFilter; \??\C:\Program Files\iSafe\iSafeNetFilter.sys [x]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [x]
C:\Users\Damian\AppData\Local\cache
C:\Users\Damian\AppData\Local\genienext
C:\Users\Damian\AppData\Local\Mobogenie
C:\Users\Damian\AppData\Local\SwvUpdater
C:\Users\Damian\AppData\Roaming\Bitcoin
C:\Users\Damian\AppData\Roaming\iSafe
C:\Users\Damian\AppData\Roaming\newnext.me
C:\Users\Damian\Documents\Mobogenie
C:\Users\Damian\daemonprocess.txt
C:\Users\Damian\.VirtualBox
C:\Users\Damian\VirtualBox VMs
C:\Program Files\iSafe
C:\Program Files\Shopping Suggestion
C:\Program Files\Oracle
C:\ProgramData\boost_interprocess
C:\ProgramData\eMule
C:\ProgramData\Kaspersky Lab Setup Files
C:\Windows\system32\Drivers\VBoxDrv.sys
C:\Windows\system32\Drivers\VBoxUSBMon.sys
C:\Windows\system32\Drivers\VBoxNetAdp.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

- długo się uruchamia (ponad 3 minuty)

- Avast nie może się załączyć - przy uruchamianiu systemu wyskakuje okienko AvastUI - Failed to load language dll. Także deinstalacja Avasta jest niemożliwa.

Nasuwa się, że to zdefektowany Avast przedłuża start. W Trybie awaryjnym zastosuj narzędzie Avast Uninstall Utility.

- Podejrzewam że mam mnóstwo niepotrzebnych aplikacji powiązanych z grami, Asusem i Microsoft Visual C++ Redistributable - mam tego ostatniego 7. Chciałbym się tego pozbyć.

Jeśli chodzi o aplikacje ASUS, to ewentualnie te można usunąć:

==================== Installed Programs ======================
 

ASUS CopyProtect (Version: 1.0.0006)

ASUS LifeFrame3 (Version: 3.0.7) > zrzuter ekranu / edytor powiązany z kamerą

ASUS Power4Gear eXtreme (Version: 1.0.17) > tweaker zasilania

ASUS SmartLogon (Version: 1.0.0005) > logowanie do komputera za pomocą rozpoznawania twarzy

ASUS Splendid Video Enhancement Technology (Version: 1.02.0021) > ASUSowe "poprawianie" jakości ekranu

ASUS Virtual Camera (Version: 1.0.09) > jeśli nie korzystasz z kameery

Asus_Camera_ScreenSaver (Version: 2.0.0007)

Wersje MS Visual obecne w systemie:

Microsoft Visual C++ 2005 Redistributable (Version: 8.0.61001)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022 (Version: 9.0.21022)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022.218 (Version: 9.0.21022.218)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 (Version: 9.0.30729)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 (Version: 9.0.30729.4148)

Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 (Version: 9.0.30729.6161)

Microsoft Visual C++ 2010 x86 Redistributable - 10.0.30319 (Version: 10.0.30319)

Jaki jest cel deinstalacji tego? Wersje 2005, 2008 i 2010 nie zastępują się. Konkretna aplikacja oparta o biblioteki danej wersji tejże wymaga.

- stara wersja IE, nowej nie da sie zainstalować.

Wykryty stan:

Microsoft® Windows Vista™ Home Premium Service Pack 2 (X86) OS Language: Polish

Internet Explorer Version 9

To normalne. Dla Vista ostatnia dostępna wersja to IE9. Wersje IE10 i IE11 są tylko dla systemów Windows 7 i nowszych.

- W tle dzialaja niepotrzebne programy, których nie mogę odinstalować.

O co Ci konkretnie chodzi?

.

Skrypt do FRST niepoprawnie wykonany. Porównaj co jest w moim poście, a co w pliku wklejonym do Notatnika = wszystkie linie niepoprawnie sklejone, a mają być przerwy ENTER jak w moim poście. Powtarzaj zadanie. Skrypt musi mieć przejścia do nowej linii dokładnie jak podałam.

Borykam się z powolnym włączaniem komputera (najdłużej trwa zanim pojawi się znaczek Windows - 30 sekund, oraz gdy znaczek się pojawi - również około 30 sekund)

+

Uruchamianie komputera zajmuje ciut mniej niż przed zgłoszeniem problemu ale nadal dość długo.

Skoro to jest jeszcze przed logo Windows, to podejrzane są urządzenia i sterowniki. Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

.

Kończymy:

1. Przez SHIFT+DEL skasuj:

C:\FRST

C:\Users\Przemek\Desktop\Stare dane programu Firefox

C:\Users\Przemek\Downloads\FRST-OlderVersion

C:\Users\Przemek\Downloads\Java-SE(13186).exe

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

2. Ominąłeś deinstalację Akamai NetSession Interface. Poza tym, do usunięcia starsze wersje Adobe (zastąp najnowszymi) i Java:

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (x32 Version: 11.8.800.174) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168) ----> wtyczka dla Firefox

Adobe Reader XI - Polish (x32 Version: 11.0.00)

Java™ 6 Update 20 (x32 Version: 6.0.200)

3. Wyczyść foldery Przywracania systemu: KLIK.

.

Czy po wykonaniu działań jest jakaś zmiana w pracy systemu? I jeszcze poprawki na szczątki:

1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

2. Otwórz Notatnik i wklej w nim:

Task: {2D0C9B8D-3B6E-4B66-8951-8C4F6887D7D9} - System32\Tasks\Norton Identity Safe\Norton Error Processor => E:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe
Task: {FECAA87A-5E95-42B9-B6A3-E91D4D3F5E29} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => E:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe
SearchScopes: HKLM - DefaultScope value is missing.
Toolbar: HKCU - No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File
E:\ProgramData\Norton
E:\ProgramData\Uniblue
E:\Users\Konrad\AppData\Local\OtLand
E:\Users\Konrad\Documents\Norton AntiVirus.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

.

Skrypt pomyślnie wykonany. Kończymy:

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

.

Jeszcze drobne poprawki:

1. Otwórz Notatnik i wklej w nim:

Task: {8A36D528-E38F-4268-BDAC-559789481759} - System32\Tasks\{BD9A3024-06DF-4005-94C9-9EBC0F0173E3} => D:\opera.exe [2013-11-04] (Opera Software)
Task: {A7469511-BC42-4672-8701-4335EA301EEA} - System32\Tasks\{626E839E-DDCF-4593-BDBE-B9C10F94F0BC} => D:\opera.exe [2013-11-04] (Opera Software)
Task: {C455AD20-73A3-4C48-93C0-194093593EF8} - System32\Tasks\{43E1D553-2A44-4D92-B2F3-BC1871AF82EF} => C:\Users\Daniel\Downloads\dotNetFx35setup.exe
Task: {C5E67A95-8E6C-4B53-A242-C5A4A806A766} - System32\Tasks\{29ED08F5-5BF8-4CC5-A85E-A34999384CD1} => D:\opera.exe [2013-11-04] (Opera Software)
Task: {F46D8905-BAA0-4AB5-848C-43B3A0A590A3} - System32\Tasks\{EAF9BE5D-77B1-4F72-884C-1A7EECF5628F} => D:\opera.exe [2013-11-04] (Opera Software)
S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x]
S2 vToolbarUpdater13.0.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\13.0.0\ToolbarUpdater.exe [x]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2012-06-22] ()
S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
2013-12-05 01:33 - 2012-06-22 11:01 - 00022704 _____ C:\Windows\system32\Drivers\EsgScanner.sys
2013-12-05 01:09 - 2013-12-05 01:09 - 00000000 ____D C:\Program Files\Enigma Software Group
2013-12-05 01:04 - 2013-12-05 01:04 - 00728960 _____ (Enigma Software Group USA, LLC.) C:\Users\Gość\Desktop\SpyHunter-Installer.exe
2013-12-05 00:25 - 2013-12-10 21:40 - 00000000 ____D C:\Windows\72AAF4551E54475BB0AB5413C78D0E63.TMP

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Uruchom TFC - Temp Cleaner.

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

.

Widać tu jeszcze do usunięcia szczątki adware.

1. Otwórz Notatnik i wklej w nim:

HKLM\...\Run: [fst_pl_6] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://aartemis.com/?type=sc&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.aartemis.com/web/?type=ds&ts=1386336275&from=cor&uid=WDCXWD1600AVJS-63SWA0_WD-WMAP9C94827348273&q={searchTerms}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=17&barid={15C9A1D0-0703-455B-AAF2-CDE137FB471E}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab
DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\Extensions.rdf
FF Extension: No Name - C:\Program Files\Mozilla Firefox\extensions\installed-extensions-processed.txt
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction 
S2 ADILOADER; System32\Drivers\adildr.sys [x]
S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [x]
S1 soqwx32; \??\C:\WINDOWS\system32\drivers\soqwx32.sys [x]
C:\WINDOWS\Tasks\Norton Security Scan for gd.job
C:\WINDOWS\system32\roboot.exe
C:\Program Files\MyPC Backup
C:\Program Files\predm
C:\Program Files\Mobogenie
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\SweetIM
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\GD\daemonprocess.txt
C:\Documents and Settings\GD\Dane aplikacji\0F1F1C2Y1H1P1C0I0T
C:\Documents and Settings\GD\Dane aplikacji\aartemis
C:\Documents and Settings\GD\Dane aplikacji\ESET
C:\Documents and Settings\GD\Dane aplikacji\MetaCrawler
C:\Documents and Settings\GD\Dane aplikacji\OpenCandy
C:\Documents and Settings\GD\Dane aplikacji\systweak
CMD: netsh firewall reset

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Odinstaluj adware:

- Przez Dodaj/Usuń programy: IB Updater Service, Norton Security Scan, Update Manager for SweetPacks 1.1.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

- Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

4. Uruchom TFC - Temp Cleaner.

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log utworzony przez AdwCleaner.

.

Przepraszam, drobna pomyłka (już zedytowałam). Log utworzony przez AdwCleaner też ma być dołączony.

1. Otwórz Notatnik i wklej w nim:

HKCU\...\Policies\Explorer\Run: [Google] - C:\Documents and Settings\shad\Dane aplikacji\396B58\396B58.exe No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://start.qone8.com/?type=sc&ts=1382896227&from=cor&uid=ST3500418AS_9VM76VH5XXXX9VM76VH5
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382896227&from=cor&uid=ST3500418AS_9VM76VH5XXXX9VM76VH5&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://start.qone8.com/web/?type=ds&ts=1382896227&from=cor&uid=ST3500418AS_9VM76VH5XXXX9VM76VH5&q={searchTerms}
SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
C:\Windows\Tasks\At1.job
C:\Program Files\Google\Desktop
C:\Program Files\BonanzaDeals
C:\Program Files\Mobogenie
C:\Documents and Settings\shad\daemonprocess.txt
C:\Documents and Settings\shad\Moje dokumenty\Mobogenie
C:\Documents and Settings\shad\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\shad\Ustawienia lokalne\Dane aplikacji\Mobogenie
CMD: netsh winsock reset

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Wyczyść przeglądarki z adware:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

- Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Extended Protection.

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

4. Uruchom TFC - Temp Cleaner.

5. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt i log AdwCleaner.

.

Tu jest niedoczyszczona infekcja rootkit ZeroAccess, w tym uszkodzony przez nią łańcuch sieciowy Winsock. Ale zanim za to się zabiorę:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 03-10-2013 (ATTENTION: ====> FRST version is 69 days old and could be outdated)

Posłużyłeś się strasznie starym FRST, ten program musi być za każdym razem pobierany na nowo (liczne fiksy i aktualizacje). Pobierz najnowszą wersję z przyklejonego: KLIK. Zrób nowe logi (zaznacz pole Addition, by powstał ponownie też drugi raport).

.

1. Odinstaluj te widoczne pozycje, o ile się da.

2. Następnie przejdź w Tryb awaryjny Windows i popraw narzędziem Norton Removal Tool.

3. Zrób nowe raporty FRST (ma powstać po raz kolejny plik Addition).

.

Ostatnie zadanie wykonane. Czynności końcowe:

1. Ponownie uruchom TFC - Temp Cleaner.

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj systemowy Internet Explorer oraz Silverlight: KLIK. Wersje widziane jako aktualnie zainstalowane:

Internet Explorer Version 9
 

==================== Installed Programs ======================
 

Microsoft Silverlight (x32 Version: 5.1.10411.0)

W systemie było dużo instalacji adware, więc do czytania ten materiał jak ograniczyć takie niepożądane elementy: KLIK.

.

Zadania wykonane, będą jeszcze poprawki. Niemniej nadal widzę na liście zainstalowanych pozycje:

==================== Installed Programs ======================
 

Norton Identity Safe (Version: 2014.6.0.27)

Norton Internet Security (Version: 18.1.0.37)

Tibia MULTI-ip changer

Czy Ty je widzisz na liście deinstalacji programów?

.

Wszystko zrobione. Małe poprawki. Otwórz Notatnik i wklej w nim:

C:\Users\ZaMlodyZebyUmierac\AppData\Roaming\Mozilla\Firefox\Profiles\v10cz46z.default\user.js
C:\Users\ZaMlodyZebyUmierac\AppData\Local\Google
CMD: sc config wscsvc start= delayed-auto

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy plik fixlog.txt. Tyle wystarczy, nowych logów nie rób już.

.

W kwestii "Panie": jestem płci żeńskiej.

Temat rozwiązany. Zamykam.

.

Tu może mulić z dwóch powodów:

- Przeinwestowane oprogramowanie zabezpieczające, czysta zgroza: zainstalowane i czynne równolegle AVG 2014 + Norton Internet Security.

- Infekcja. Mamy co czyścić, w systemie są keyloggery Tibia (nabyte z lewych instalacji botów / changerów etc. do Tibia), jeden z keyloggerów czynny:

==================== Processes (Whitelisted) ===================
 

(Oracle Corporation) E:\Windows\System32\javaw.exe
 

==================== Registry (Whitelisted) ==================
 

HKCU\...\Run: [spoolsv32] - "E:\Windows\system32\javaw.exe" -jar "E:\Users\Konrad\AppData\Roaming\Win32\spoolsv32.jar"

Jest też adware, załatwiłeś się portalowymi "Asystentami pobierania", widać pobrane pliki tych śmieci a nie poprawne instalatory:

2013-12-11 15:15 - 2013-12-11 15:15 - 00401720 _____ (Softonic ) E:\Users\Konrad\Downloads\SoftonicDownloader_dla_jetclean.exe

2013-11-30 17:51 - 2013-11-30 17:52 - 00685248 _____ E:\Users\Konrad\Downloads\3nity-CD-DVD-BURNER(39358).exe

2013-11-12 15:25 - 2013-11-12 15:25 - 00685248 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(2).exe

2013-11-12 15:18 - 2013-11-12 15:18 - 00684184 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe.part

2013-11-12 15:18 - 2013-11-12 15:18 - 00683920 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe.part

2013-11-12 15:18 - 2013-11-12 15:18 - 00000000 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe

2013-11-12 15:18 - 2013-11-12 15:18 - 00000000 _____ E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe

Do czytania na potem o portalach i jak uniknąć tych syfów: KLIK.

Akcja:

1. Otwórz Notatnik i wklej w nim:

(Oracle Corporation) E:\Windows\System32\javaw.exe
HKCU\...\Run: [spoolsv32] - "E:\Windows\system32\javaw.exe" -jar "E:\Users\Konrad\AppData\Roaming\Win32\spoolsv32.jar"
Winlogon\Notify\LogonInit: logonInit.dll [X]
Task: {39D73616-7CCF-4219-BD4F-87C919A30E88} - System32\Tasks\Go for FilesUpdate => E:\Program Files\GoforFiles\GFFUpdater.exe
Task: {4A3F21DF-448B-441F-B902-2414FDF7A4EA} - System32\Tasks\{BE50B698-2E44-4BA5-8D69-56C1143058B4} => C:\Program Files\Magebot\magebotv55.exe
Task: {82D56E82-CD75-489E-9816-DD37393CEFFD} - System32\Tasks\FoxTab => E:\Users\Konrad\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: {CE14E623-520A-427B-B0D2-263388392142} - System32\Tasks\{E3AFC343-5EB2-479D-ACA2-D62F3B07AF6D} => E:\Users\Konrad\Desktop\ElfBot NG 8.6\loader.exe
Task: {FCBAFE06-C22E-4918-AAD3-F29729521E4E} - System32\Tasks\{7336CF3B-19BA-4477-9D82-C272181EB54A} => E:\Users\Konrad\Desktop\ElfBot NG 8.6\loader.exe
Task: E:\Windows\Tasks\FoxTab.job => E:\Users\Konrad\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE 
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=hp_ss&mntrid=f0c0bc5ff40b78e3&affid=119357&tt=150913_ctrl&tsp=5008
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/custom?domains=entretieneteds.to.md&q=&sitesearch=&client=pub-3439752189615153
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=F0C0BC5FF40B78E3&affID=119357&tt=150913_ctrl&tsp=5008
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&babsrc=SP_ss_Btisdt6&mntrId=F0C0BC5FF40B78E3&affID=119357&tt=150913_ctrl&tsp=5008
S3 GGSAFERDriver; \??\C:\Garena Plus\Room\safedrv.sys [x]
S2 LMIInfo; \??\E:\Program Files\LogMeIn\x86\RaInfo.sys [x]
S4 LMIRfsClientNP; No ImagePath
E:\Users\Konrad\AppData\Roaming\AVG2013
E:\Users\Konrad\AppData\Roaming\Babylon
E:\Users\Konrad\AppData\Roaming\GoforFiles
E:\Users\Konrad\AppData\Roaming\H57srg30yihaJNCdfUfQTIddSQoDqO
E:\Users\Konrad\AppData\Roaming\MSDrvCfg
E:\Users\Konrad\AppData\Roaming\OpenCandy
E:\Users\Konrad\AppData\Roaming\Ospux
E:\Users\Konrad\AppData\Roaming\Ozin
E:\Users\Konrad\AppData\Roaming\Splashtop
E:\Users\Konrad\AppData\Roaming\Thinstall
E:\Users\Konrad\AppData\Roaming\Win32
E:\Users\Konrad\Downloads\ipchanger(3).exe
E:\Users\Konrad\Downloads\3nity-CD-DVD-BURNER(39358).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(2).exe
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646).exe.part
E:\Users\Konrad\Downloads\Norton-AntiVirus(12646)(1).exe.part
E:\Users\Konrad\Downloads\SoftonicDownloader_dla_jetclean.exe
E:\Users\Konrad\Documents\Mobogenie
E:\Users\Konrad\AppData\Local\Mobogenie
E:\Users\Konrad\AppData\Local\cache
E:\Users\Konrad\daemonprocess.txt
E:\Program Files\Mobogenie
E:\Program Files\mozilla firefox\searchplugins\babylon.xml
E:\Program Files\mozilla firefox\plugins\npwachk.dll
E:\ProgramData\McAfee

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj: adware Foxtab, Qtrax Player oraz wszystkie boty / dodatki do Tibia i nadwyżkę antywirusów.

3. Wyczyść przeglądarki z adware:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia trzeba będzie potem przeinstalować.

- Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Uruchom TFC - Temp Cleaner.

6. Zrób nowy skan FRST (zaznacz, by powstał ponownie plik Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

.

Tak, skrypt potwierdza usunięcie szczątków Mobogenie. Zakończ temat:

1. Przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj cały Windows, gdyż obecnie brak SP1 + IE11 i reszty:

Windows 7 Ultimate (X64) OS Language: Polish

Internet Explorer Version 9

.

Możesz też wyszukiwać tematy poprzez normalną wyszukiwarkę forum, wypełniając pole "Znajdź autora" swoim nickiem.

1. Przez Panel sterowania odinstaluj: AVG Security Toolbar, HDvid Codec V1, HDVidCodec, Qtrax Player, Ultimate Codec Packages, Update for Ultimate Codec.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

4. Uruchom TFC - Temp Cleaner.

5. Zrób nowy skan FRST (bez Addition). Dołącz plik AdwCleaner.

.

Wyniki szukania są ograniczone czasowo, by nie obciążać serwera. Ta funkcja IPB była tu obecna od zawsze, więc raczej uprzednio sprawdzałeś swoje wyniki łapiąc się na określony pułap.

Dzięki za folder Upload, te skopiowane doń zadania Opery to są śmieci po (de)instalacjach Skype i można to też usunąć. Reszta zadań wykonana.

Nie wiedziałem nic już nie instaluje ,po prostu po odinstalowaniu iobit nie miałem antywira więc zainstalowałem avasta

Jeszcze jedno było tu instalowane: Google Chrome. Mówiłam przecież, że będę usuwać szczątki przeglądarki, więc to czego nie należało właśnie robić to instalować Google Chrome.... Niestety (podobnie jak z Avast) doinstalowałeś Google Chrome w międzyczasie, a mój skrypt (mający usunąć szczątki Google) uszkodził świeżo zainstalowaną przeglądarkę. W obecnej sytuacji przeglądarka Google Chrome będzie do nowej instalacji, o ile w ogóle ma być. Ale to dopiero na samym końcu, bo teraz idzie kolejny skrypt czyszczący szkody (nowe szczątki Google).

uTorrentControl_v2 Toolbar nie potrafie tego odnaleźć

Ja nadal to widzę na liście zainstalowanych programów. Skoro tego nie widzisz, wpis może być ukryty. Usunę go ręcznie. Kolejne poprawki:

1. Otwórz Notatnik i wklej w nim:

Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentControl_v2 Toolbar" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" /f
Reg: reg delete "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\360Amigo System Speedup Free Packages" /f
Task: {55B6E567-2638-477C-A962-9B963B79627C} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe
Task: {5BDC5FCA-9288-4D14-9863-0C3B1D159495} - System32\Tasks\{34841E1D-07C4-4321-B3AF-2452D20AC864} => c:\program files (x86)\opera\opera.exe
Task: {6A6728C6-9D4F-4648-8DC7-0C5499F7AB0D} - System32\Tasks\{64A06BFD-D2BC-4AA2-8EFD-78D7999168A4} => c:\program files (x86)\opera\opera.exe
Task: {748E912E-013D-46C8-9AB9-1F736261170D} - System32\Tasks\{6EC2F1BD-8DB1-4E42-A1C7-C233E2F6BDD0} => c:\program files (x86)\opera\opera.exe
Task: {C002B741-E955-4318-B1A9-B0D2584487CA} - System32\Tasks\{3E93A5F5-DBCA-4625-A574-BDCBD223825E} => c:\program files (x86)\opera\opera.exe
Task: {EDEA9053-3105-4C82-BD72-F644BCCDBD4F} - System32\Tasks\PC Optimizer Pro startups => C:\Users\ZaMlodyZebyUmierac\Desktop\Crack\StartApps.exe 
Task: {61EBDE80-7813-499D-A9A7-EE231B2963AC} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {6939945E-1557-4547-BA2B-60D09CF2FE4E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.22.3\npGoogleUpdate3.dll No File
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [x]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [x]
S2 bdfsfltr; \??\C:\Windows\system32\Drivers\bdfsfltr.sys [x]
C:\Windows\Tasks\ImCleanDisabled
C:\IObit
C:\ProgramData\IObit
C:\Program Files (x86)\IObit
C:\Users\ZaMlodyZebyUmierac\AppData\Roaming\IObit
CMD: rd /s /q C:\Users\ZaMlodyZebyUmierac\Upload

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

.

Temat przenoszę do działu Windows. Poprawiam literówkę w tytule scvhost.exe > svchost.exe. Brak oznak infekcji, ale nie podany obowiązkowy GMER.

Z raportów nic kompletnie nie wynika, choć Windows Update w procesach może sugerować (na zasadzie celowania wróżbity), iż to usługa Automatycznych aktualizacji. W pierwszej kolejności zabierz się za wytypowanie o którą instancję svchost.exe chodzi:

- Uruchom Menedżer zadań, a w nim: Widok > Wybierz kolumny > zaznacz PID procesu

- Uruchom linię komend: Start > Uruchom > cmd

W momencie gdy pojawi się ten obciążający svchost.exe zanotuj jego PID w Menedżerze zadań, a następnie w linii komend wpisz polecenie tasklist /svc, wyszukaj na liście proces o zgodnym PID i przeklej z okna do posta jakie obiekty są uruchomione pod tym procesem.

.