picasso

To jest log z szukania AdwCleaner, podaj log z wynikami usuwania (AdwCleanerS0.txt).

Nie podałeś na czym polega "Zablokowana aktualizacja Flash". Nie podałeś w czym (ścieżka dostępu) Avira notuje "WORM/Autorun.cxl". MBAM widział tylko drobne szczątki adware. W podanych raportach nie ma oznak infekcji. Do usunięcia tylko pozostałe szczątki adware: 1. Przez Dodaj/Usuń programy odinstaluj Codec Package Packages, Update for Codec Package. Pozbądź się też starego Prevx. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1614895754-329068152-839522115-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=5C97001F16956B02&affID=119357&tsp=4945 [2013-08-12 18:28:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2013-07-16 17:56:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2013-08-12 18:59:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Piotr\Dane aplikacji\Codec Package Packages [2013-07-16 17:56:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Piotr\Dane aplikacji\DSite DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. .

Zapomniałeś dodać log z AdwCleaner.

Temat przenoszę do działu Windows. Nie widać tu oznak czynnej infekcji. Do czyszczenia tylko mini szczątki / wpisy puste. To nie powinno mieć wpływu na stan systemu. W spoilerze instrukcje. Pokaż raporty z tych trzech programów. Raporty powinny być nagrame w tych katalogach: C:\AdwCleaner C:\Documents and Settings\Administrator\Doctor Web Wg raportu FRST Addition klucze Trybu awaryjnego jako takie nie są naruszone, ale nie jest wykluczone, że coś w nich jest nie tak (FRST nie skanuje aż tak dokładnie). Skrypt FRST podany w spoilerze wydrukuje rekursywnie zawartość klucza SafeBoot, zweryfikuję jego skład. Owszem, może to być problem z dyskiem. Po pierwsze, był BSOD UNMOUNTABLE_BOOT_VOLUME związany z uszkodzeniem struktury plików. Po drugie, w Dzienniku zdarzeń są takie błędy: [ System Events ] Error - 2013-10-18 18:31:13 | Computer Name = XX-C6D6A452A09C | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk0\D. Na wszelki wypadek jednak zrób jeszcze te działania: - Odinstaluj Avast (nie jest to najnowsza wersja). Po deinstalacji popraw Avast Uninstall Utility. - Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .

OTL jest za duży, gdyż źle wykonany. Opcji Pliki utworzone / zmodyfikowane w przeciągu zostały ustawione na Wszystkie, a ma być Młodsze niż. - Jaki proces wykazuje zajęcie 100%? Pierwszy podejrzany dla obciążenia systemu to ESET Smart Security. Odinstaluj program i sprawdź co się stanie. - Infekcji tu nie widzę, są drobne śmieci adware, ale to nie powinno mieć żadnego związku z obciążeniem procesora. Co do czyszczenia adware: 1. Przez Panel sterowania odinstaluj: 1ClickDownloader, Babylon toolbar, Spam Free Search Bar oraz cudaka RegCure Pro. 2. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Rozszerzenia > odinstaluj Babylon Chrome OCR Ustawienia > karta Historia > wyczyść 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (zaznacz, by powstał ponownie Addition). Dołącz log AdwCleaner. .

Zasady działu, obowiązkowe są logi z FRST i GMER. Kolejna sprawa: logi OTL są zrobione z najwyraźniej nowo utworzonego konta rew. Logi muszą pochodzić z konta na którym jest problem i jak rozumiem jest to konto Tomek. Przejdź w Tryb awaryjny, zaloguj się na właściowe konto i zrób komplet logów z poziomu tego konta. .

Tak, widzę wpisy startowe i folder z którego startują te podejrzane procesy, one mogą być powodem obciążenia systemu. Jest też drobniejsze adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Users\tds\AppData\Roaming\minert C:\Users\tds\AppData\Roaming\minerd C:\Users\tds\AppData\Local\Google AlternateDataStreams: C:\Windows:27A9E4560CEE80AC HKCU\...\Run: [minerd] - "C:\Users\tds\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\tds\AppData\Roaming\minerd\start.bat" HKCU\...\Run: [minert] - "C:\Users\tds\AppData\Roaming\minert\nircmd.exe" exec hide "C:\Users\tds\AppData\Roaming\minert\start.bat" HKCU\...\Run: [Hoolapp Android] - "C:\Users\tds\AppData\Roaming\HOOLAP~1\Hoolapp.exe" /Minimized HKCU\...\Run: [Pokki] - "%LOCALAPPDATA%\Pokki\Engine\pokki.exe" HKLM-x32\...\Run: [iTunesHelper] - "C:\Program Files (x86)\iTunes\iTunesHelper.exe" HKLM-x32\...\Run: [iSkysoft Helper Compact.exe] - C:\Program Files (x86)\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?searchsource=10&cui=un39948887164765202&um=2&ctid=ct3289847&sspv=tb_t5 URLSearchHook: (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File SearchScopes: HKLM-x32 - DefaultScope {1F6E33D8-5929-47E3-90E6-D269865FDE37} URL = SearchScopes: HKLM-x32 - {01bd49d7-c76b-4310-8beb-14d7e5f322c6} URL = http://search.easylifeapp.com/?q={searchTerms}&pid=658&src=ie2&r=2013/05/27&hid=504504536&lg=EN&cc=GB SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={BBDA8324-51B8-11E2-9285-00242139113A} SearchScopes: HKCU - DefaultScope {1F6E33D8-5929-47E3-90E6-D269865FDE37} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289847&CUI=UN39948887164765202&UM=2&SSPV=TB_T5 SearchScopes: HKCU - {01bd49d7-c76b-4310-8beb-14d7e5f322c6} URL = http://search.easylifeapp.com/?q={searchTerms}&pid=658&src=ie2&r=2013/05/27&hid=504504536&lg=EN&cc=GB SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A61D00242139113A&affID=119357&tt=110713_9126&tsp=4942 SearchScopes: HKCU - {1F6E33D8-5929-47E3-90E6-D269865FDE37} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289847&CUI=UN39948887164765202&UM=2&SSPV=TB_T5 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10005&barid={BBDA8324-51B8-11E2-9285-00242139113A} BHO-x32: QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKLM-x32 - QuickStores-Toolbar - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - C:\Windows\\SysWOW64\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File Task: {F4F030BC-D730-471E-95AF-53F8B1609729} - \schedule!3036567561 No Task File Task: C:\Windows\Tasks\schedule!3036567561.job => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe FF Plugin-x32: @Apple.com/iTunes,version=1.0 - C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll No File S3 dgderdrv; System32\drivers\dgderdrv.sys [x] S3 Gmer; System32\DRIVERS\gmer.sys [x] S3 GPU-Z; \??\x:\temp\temp\GPU-Z.sys [x] S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [x] S3 NVR0Dev; \??\C:\Windows\nvoclk64.sys [x] S1 StarOpen; No ImagePath Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: BrowseToSave, OptimizerPro, QuickStores-Toolbar 1.1.0. Jeśli WinZip Registry Optimizer nie był instalowany celowo, to również go usuń. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia będą do reinstalacji. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. Ponadto, wypowiedz się wyraźnie czy blokada ikony Centrum akcji poprzez politykę HideSCAHealth to celowe działanie. .

Berol5, zasady działu: KLIK. Tu nie wolno się podpinać pod cudze tematy. Poza tym, nie podane w ogóle dane, ani ścieżka dostępu gdzie jest widziana infekcja, ani obowiązkowe tu raporty. To w jaki sposób można ocenić czy to fałszywy alarm? .

Owszem, adware jest i niektóre z kolekcji mogą skutkować spowolnieniem systemu / sieci. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [ApnTBMon] - C:\Program Files\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe [1673680 2013-10-16] (APN) HKCU\...\Run: [updateMyDrivers] - C:\Program Files\SmartTweak Software\UpdateMyDrivers\UpdateMyDrivers.exe /ot /as /ss HKCU\...\Run: [ALLUpdate] - "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKCU\...\Run: [CancelAutoPlay] - C:\Program Files\Telenor\Miniruter_MF91D\CancelAutoPlay.exe HKCU\...\Run: [iLivid] - C:\Documents and Settings\endorro\Ustawienia lokalne\Dane aplikacji\iLivid\iLivid.exe [6827008 2013-09-09] (Bandoo Media Inc.) AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Wincert\WIN32C~1.DLL C:\PROGRA~1\MOVIES~1\Datamngr\mgrldr.dll [ 2013-09-24] () IMEO\bitguard.exe: [Debugger] tasklist.exe IMEO\bprotect.exe: [Debugger] tasklist.exe IMEO\browserdefender.exe: [Debugger] tasklist.exe IMEO\browserprotect.exe: [Debugger] tasklist.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN10645A&gct=hp&d=406-420&v=a9396-116&t=4 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=prs&from=prs&uid=67194_16910336_67167133_3219913727_B0DB4E7A&ts=1356562866 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?babsrc=HP_ss&mntrId=B0DB0025568C05E6&affID=120606&tsp=4931 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=prs&from=prs&uid=67194_16910336_67167133_3219913727_B0DB4E7A&ts=1356562866 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=prs&from=prs&uid=67194_16910336_67167133_3219913727_B0DB4E7A&ts=1356562866 URLSearchHook: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.) SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=420&systemid=406&v=a9396-116&apn_uid=3155637608954780&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OyZn96Aci&loc=skw&search={searchTerms} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0C2BC48E-A5D0-41B4-A0DF-3ACFF6004369} URL = http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=crm&q={searchTerms}&locale=&apn_ptnrs=^5N&apn_dtid=^YYYYYY^YY^NL&apn_uid=381FFDA9-75E8-4A7E-A08D-13291BBB39B4&apn_sauid=5AAF6651-57BC-419A-927E-ABECD0E240FB SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B0DB0025568C05E6&affID=120606&tsp=4931 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=420&systemid=406&v=a9396-116&apn_uid=3155637608954780&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OyZn96Aci&loc=skw&search={searchTerms} BHO: Incredibar.com Helper Object - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO: uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.) BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com) Toolbar: HKLM - uTorrentControl_v2 Toolbar - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.) Toolbar: HKLM - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com) Toolbar: HKCU -uTorrentControl_v2 Toolbar - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - C:\Program Files\uTorrentControl_v2\prxtbuTo0.dll (Conduit Ltd.) FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\Ask.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\v9.xml FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\Ask.xml R2 APNMCP; C:\Program Files\AskPartnerNetwork\Toolbar\apnmcp.exe [166352 2013-10-16] (APN LLC.) S2 BitGuard; C:\Documents and Settings\All Users\Dane aplikacji\BitGuard\2.6.1673.238\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [3029472 2013-09-13] () R2 DatamngrCoordinator; C:\Program Files\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [3419136 2013-09-24] (Bandoo Media Inc.) R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1434416 2013-09-15] () S3 massfilter_lte; \??\C:\WINDOWS\system32\drivers\massfilter_lte.sys [x] S3 zgdcat; system32\DRIVERS\zgdcat.sys [x] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [x] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [x] C:\WINDOWS\Tasks\EPUpdater.job C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\AskPartnerNetwork C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BitGuard C:\Documents and Settings\All Users\Dane aplikacji\Datamngr C:\Documents and Settings\All Users\Dane aplikacji\Wincert C:\Documents and Settings\endorro\Dane aplikacji\BabSolution C:\Documents and Settings\endorro\Dane aplikacji\Babylon C:\Documents and Settings\endorro\Dane aplikacji\Delta C:\Documents and Settings\endorro\Dane aplikacji\File Scout C:\Documents and Settings\endorro\Dane aplikacji\ilividmoviestoolbarha C:\Documents and Settings\endorro\Dane aplikacji\Incredibar.com C:\Documents and Settings\endorro\Dane aplikacji\PriceGong C:\Documents and Settings\endorro\Ustawienia lokalne\Dane aplikacji\uTorrentControl_v2 C:\Documents and Settings\LocalService\Dane aplikacji\Delta C:\Documents and Settings\LocalService\Dane aplikacji\Incredibar.com C:\Documents and Settings\LocalService\Dane aplikacji\PriceGong Reg: reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj adware: Ask Toolbar, BitGuard, Delta Chrome Toolbar, Delta toolbar, IB Updater Service, iLivid, Incredibar Toolbar on IE, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), uTorrentControl_v2 Toolbar, V9 Homepage Uninstaller. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Po pierwsze: dokładnie przeklej w czym Avast znalazł Win32:Evo-gen [susp]. Po drugie: brakuje obowiązkowych raportów FRST + GMER. Dodaj. .

"Antivirus Security Pro" nie został usunięty. TDSSKiller notuje najnowszą wersję rootkita ZeroAccess imitującą Google. Przeważnie te dwie infekcje chodzą w parze. Poza tym, jest tu też adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: U2 *etadpug; "C:\Program Files\Google\Desktop\Install\{7966a5fb-d22f-80fd-46e9-8d6d4533e422}\ \ \???\{7966a5fb-d22f-80fd-46e9-8d6d4533e422}\GoogleUpdate.exe" HKLM\...\Run: [NPSStartup] - [x] HKCU\...\Run: [NETIANET] - D:\netianet.exe HKCU\...\Run: [NTRedirect] - C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Tadek\Dane aplikacji\BabSolution\Shared\enhancedNT.dll",Run HKCU\...\Run: [Google Update*] - [x] HKCU\...\Run: [AS2014] - C:\Documents and Settings\All Users\Dane aplikacji\gXlpUnr3\gXlpUnr3.exe [578712 2013-10-17] () MountPoints2: {1198a5ce-8743-11de-a5f2-000e50f26a08} - G:\n0euybx.exe AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\bitguard\261694~1.246\{c16c1~1\bitguard.dll [ 2013-10-01] () HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=842D0015F2CC72F1&affID=119357&tt=070813_wt4&tsp=4972 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/ URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.22.0\bh\delta.dll (Delta-search.com) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.22.0\deltaTlbr.dll (Delta-search.com) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File S3 PCAMPR5; \??\C:\WINDOWS\system32\PCAMPR5.SYS [x] C:\Program Files\Google C:\Documents and Settings\Tadek\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\All Users\Dane aplikacji\gXlpUnr3 C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Tadek\Dane aplikacji\BabSolution C:\Documents and Settings\Tadek\Dane aplikacji\Babylon C:\Documents and Settings\Tadek\Dane aplikacji\File Scout C:\Documents and Settings\Tadek\Pulpit\Antivirus Security Pro.lnk C:\Documents and Settings\Tadek\Pulpit\Antivirus Security Pro support.url C:\Documents and Settings\Tadek\Menu Start\Programy\Antivirus Security Pro C:\WINDOWS\Tasks\EPUpdater.job C:\WINDOWS\Tasks\1-Click Maintenance.job Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj adware: - Przez Panel sterowania: BitGuard, Delta Chrome Toolbar, Delta toolbar, McAfee Security Scan Plus. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. W systemie jest obiekt "Avira SearchFree Toolbar plus Web Protection", który jest po prostu adware Ask Toolbar skombinowanym z osłoną web AV. To trzeba ominąć przy usuwaniu, nie jestem pewna jaki wybór daje najnowszy AdwCleaner. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowe logi: skan FRST (bez Addition) + Farbar Service Scanner. Dołącz plik fixlog.txt i log z AdwCleaner. .

Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w Dziennikach zdarzeń wyczyść gałąź Office. Po tym powtórz skan FRST (zaznacz pole Addition, by powstał drugi log). .

aMesis, zasady działu wyraźnie mówią iż należy podać jako obowiązkowe także logi z FRST. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\win7\AppData\Roaming\data.dat C:\Users\win7\AppData\Roaming\settings.ini C:\Users\win7\rfwqrnfumkgrtekxhel.bfg C:\found.* :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O3 - HKU\S-1-5-21-1814754061-1736459137-2080323769-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. System zostanie odblokowany, zaloguj się normalnie do Windows. Odinstaluj zbędny McAfee Security Scan Plus (sponsor paczek Adobe). 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległe raporty z FRST. Dołącz log z usuwania OTL z punktu 1. .

Temat przenoszę do działu Windows, nie jest związany z infekcją. Pomijam zainstalowane monitory "No mercy" + jakiś dodatkowy udający Avast, bo jak sądzę jest to celowy montaż kontroli rodzicielskiej. Odinstaluj w poprawny sposób ComboFix. Pobierz go ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę: "C:\Documents and Settings\KERAMTI\Pulpit\ComboFix.exe" /uninstall Co masz na myśli mówiąc "pozbawiły mnie możliwości zmiany czegokolwiek w koncie użytkownika"? Natomiast: Przy obecności Netware zawsze jest podstawiany klasyczny ekran logowania a nie ekran powitalny. By się pozbyć Netware (od razu też innych szczątkowych wpisów): 1. Otwórz Notatnik i wklej w nim: S4 NWCWorkstation; C:\Windows\System32\nwwks.dll [65536 2008-04-14] (Microsoft Corporation) S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [x] S3 FairplayKD; \??\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\Common\temp\FairplayKD.sys [x] S0 iqsb; System32\drivers\alrccl.sys [x] S3 massfilter; system32\drivers\massfilter.sys [x] S3 PciCon; \??\F:\PciCon.sys [x] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] SearchScopes: HKLM - DefaultScope value is missing. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Panel sterowania > Połączenia sieciowe > z prawokliku na wszystkie czynne pobierz Właściwości > w karcie Ogólne patrz na komponenty których używa połączenie > podświetl NetWare, odinstaluj i restart systemu. .

Nie odpowiedziałeś mi na pytanie w czym był wykryty tytułowy koń trojański. Skrypt poprawnie wykonany i przez SHIFT+DEL możesz skasować folder C:\FRST + w OTL uruchomić Sprzątanie. DAEMON Tools możesz przywrócić na miejsce. .

Te wyniki MBAM to już drobnostki. Wszystko w katalogu "Download" to są portalowe downloadery instalujące adware oraz instalatory zawierające adware, czyli źródło usuwanych już tu śmieci. Natomiast "Trojan.AutoKMS" to ... crack do Office. Pozbądź się tego wszystkiego. Na koniec usuń z systemu stare Java i zaktualizuj resztę wyliczonych poniżej programów: KLIK. Wg raportu są tu zainstalowane wersje: ==================== Installed Programs ====================== Adobe Reader X (10.1.8) MUI (x32 Version: 10.1.8) Java 7 Update 21 (x32 Version: 7.0.210) Java™ 6 Update 20 (x32 Version: 6.0.200) Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.5131.5000) Microsoft Silverlight (Version: 5.1.20513.0) Mozilla Firefox 21.0 (x86 pl) (x32 Version: 21.0) OpenOffice.org 3.4.1 (x32 Version: 3.41.9593) .

Niestety bez zmian. FRST nie potrafi usunąć pliku infekcji. Zmiana metody: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Xyqmqj /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: "C:\Documents and Settings\Zosia\Dane aplikacji\Xyqmqj.exe" Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows zgłosi się ekran z działaniami BlitzBlank. BlitzBlank wygeneruje na dysku C log. 3. Zrób nowe logi: FRST (bez Addition) + GMER. Wklej też wprost do posta zawartość raportu BlitzBlank. .

Nie widzę oznak infekcji. Dla świętego spokoju sprawdź co widzi Kaspersky TDSSKiller. Ten "rootkit" to nie jest pewne czy to rootkit. Takie odczyty były już na forum i łącznikiem tych wyników był fatalny stan aktualizacji systemu Vista, co tu ma miejsce: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Odczyt "rootkit" zanikał po aktualizacji systemu do stanu SP2 + reszta łat. Zacznij więc od kompleksowej aktualizacji systemu. Po tym: sprawdź co widzi GMER oraz podaj czy są jakieś zmiany w działaniu ogólnym systemu. .

W czym konkretnie / jakiej ścieżce dostępu został wykryty "Koń trojański generic_r"? W raportach nie ma żadnych oznak infekcji. Tylko drobna kosmetyka, w większości na wpisy puste oraz szczątki programów: 1. Przez Dodaj/Usuń programy odinstaluj adware LiveVDO. To wygląda zresztą na szczątek. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Uruchom TFC - Temp Cleaner. 4. Otwórz Notatnik i wklej w nim: Task: C:\WINDOWS\Tasks\Express FilesUpdate.job => C:\Program Files\ExpressFiles\EFUpdater.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - URL ${SEARCH_URL}{searchTerms} SearchScopes: HKCU - URL http://startsear.ch/?src=sp&aff=51&cf=9b0f3952-17c4-11e2-9a7a-0016e665e7d5&q={searchTerms} BHO: Rich Media Downloader - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - C:\Documents and Settings\pawel\Ustawienia lokalne\Dane aplikacji\Rich Media Player\BrowserExtensions\IE\RichMediaDownloader.dll No File BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\pawel\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File HKLM\...\Run: [Onet.pl AutoUpdate] - C:\Program Files\Common Files\Onet.pl\AutoUpdate.exe [260096 2005-07-27] (Onet.pl) HKCU\...\Run: [DAEMON Tools] - "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 HKCU\...\Run: [AVG-Secure-Search-Update_0913b] - C:\Documents and Settings\pawel\Dane aplikacji\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 04678a1ccd9d47d3b864d15fa0810e26-06ce4fc639803a2e3563922518183d8e94088cb9 --CMPID 0913b HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\13954475.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\13954475.sys => ""="Driver" Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [x] S3 RkPavproc1; \??\C:\WINDOWS\system32\drivers\RkPavproc1.sys [x] S3 SliceDisk5; \??\C:\DOCUME~1\pawel\USTAWI~1\Temp\HBCD\PartitionFindAndMount\slicedisk.sys [x] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x] U3 TlntSvr; S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [x] S3 ZDPSp50; System32\Drivers\ZDPSp50.sys [x] C:\Documents and Settings\All Users\SPL326.tmp C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 C:\Documents and Settings\pawel\Dane aplikacji\AutoUpdate C:\Program Files\mozilla firefox\plugins\npfflivevdoplg.dll C:\Program Files\Common Files\Onet.pl Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{A7DF592F-6E2A-45C4-9A87-4BD217D714ED}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. Szczątkiem SPTD zajmie się mój powyższy skrypt do FRST. Nie jest wykluczone, iż ma to związek z AVG 2014 i jego osłonami Web. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Pierwsze co zwraca tu uwagę, to skomasowanie programów antywirusowych. Są widoczne tak jakby szczątki McAfee Internet Security (jest wejście w Panelu sterowania, ale reszta mocno poszatkowana) oraz AVG (sterowniki w systemie, ale brak wejścia w Panelu sterowania). Na początek: 1. Usuń wszystkie programy antywirusowe. Skorzystaj z tych firmowych usuwaczy: AVG Remover + McAfee Consumer Product Removal Tool. 2. Następnie wejdź w Tryb normalny i opisz czy są jakieś widoczne zmiany. .

Problem stanowi naruszony plik pakietów językowych: ==================== Known DLLs (Whitelisted) ================ [2009-07-13 15:38] - [2009-07-13 17:41] - 0041984 ____A () C:\Windows\System32\LPK.dll Podaj skan na wszystkie kopie tego pliku. Uruchom FRST, w linii Search wpisz nazwę pliku: LPK.dll Klik w Search File(s). Przedstaw wynikowy log Search.txt utworzony w tym samym katalogu z którego uruchamiano FRST. .

Brak oznak czynnej infekcji. Bez poprzednich wyników skanu Avast nie da się powiedzieć co było wykryte i czy aby były to detekcje poprawne (Avast mógł uszkodzić poprawne komponenty). Wyniki MBAM: nic szczególnego, szczątki starej infekcji "policyjnej" i adware. Adware nie może mieć wpływu na dysfunkcję urządzeń. Usuwaniem adware zajmę się potem, dopiero po doprowadzeniu systemu do startu w Trybie normalnym. W Dzienniku zdarzeń notuję takie błędy relatywne do błędów sterowników Avast oraz klawiatury i myszy PS/2: ==================== Faulty Device Manager Devices ============= Name: Standardowa klawiatura PS/2 Description: Standardowa klawiatura PS/2 Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: i8042prt Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: aswRvrt Description: aswRvrt Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: aswRvrt Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: avast! Network Shield Support Description: avast! Network Shield Support Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: aswTdi Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Name: Mysz zgodna z PS/2 Description: Mysz zgodna z PS/2 Class Guid: {4d36e96f-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: i8042prt Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: aswVmm Description: aswVmm Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: aswVmm Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Jako że system działa w Trybie awaryjnym, trudno orzec który z podanych błędów jest na 100% rzeczywisty, gdyż w awaryjnym niektóre urządzenia mogą nie był ładowane. Na początek proponuję: 1. Usunięcie Avast: odinstaluj go przez Panel sterowania, następnie popraw narzędziem Avast Uninstall Utility. 2. Reinstalacja urządzeń w menedżerze urządzeń. Chodzi mi o klawiaturę i mysz. Do ominięcia obiekty Avast (nie powinno ich już być po punkcie 1) oraz "Security Processor Loader Driver" (to urządzenie jest zgłaszane w awaryjnym jako afunkcyjne i jest to normalne). 3. Skan poprawności plików systemowych. Start > w polu szukania wpisz cmd > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj. 4. Po tym spróbuj zastartować do Trybu normalnego Windows. Opisz co się dzieje w tym trybie i co nie działa. .

Tu jeszcze dodatkowy artykuł: KLIK.

Oznak infekcji brak. Tylko kosmetyczny skrypt na wpisy szczątkowe: Wpływ na system żadny. Izolowany magazyn Przywracania systemu, nieczynny dopóki nie zostanie uruchomione Przywracanie systemu do punktu posiadającego te obiekty w nagraniu. Obiekty w Przywracaniu systemu mają zmienione nazwy, więc nie można powiedzieć z czego zostały utworzone, ale nazwa ADWARE/InstallCore.Gen7 sugeruje zwykłe adware. Czy to występuje podczas skanowania określonego i tego samego obszaru? Otwarty Firefox nie ma wpływu na ten komunikat. OTL skanuje określone ścieżki. Komunikat mówi wyraźnie, że są uszkodzenia w strukturze plików, więc od tego rozpocznij: Start > Uruchom > cmd, wpisz komendę chkdsk /f /r i zresetuj system. - Po pierwsze: sprawdzanie dysku do wykonania. - Po drugie: widzę tu aktywne szczątki niepoprawnie usuniętego AVG. Z poziomu Trubu awaryjnego zastosuj AVG Remover. - Po trzecie: jeśli żadna z powyższych czynności nie będzie mieć skutków, to podejrzenia budzą Avira + Online Armor. Kontekst Online Armor występował w poprzednim Twoim temacie (KLIK). Podaj więcej konkretów o jakie błędy chodzi. Powyciągaj z Dziennika zdarzeń dane. .

Opis conajmniej mętny. Rozpisz to dokładniej, skąd wiadomo, że to wirusy i to jeszcze "z tej samej sieci Wifi-Fi". I gdzie ten skan? Póki co, w dostarczonych FRST i OTL brak oznak infekcji, tylko szczątki adware, ale nimi zajmę się potem, oraz sfatygowanyt firewall PC Tools Firewall Plus. .