picasso

Nowe zasady działu, obowiązkowe są teraz także raporty z FRST. Brakuje również GMER. .

Zasady działu, tu obowiązkowo dołącza się raporty z FRST. Dodatkowo, skoro problem ukrytych danych na dysku zewnętrznym, dołącz też log USBFix z opcji Listing. .

Kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Documents and Settings\pawej\Pulpit\Stare dane programu Firefox C:\WINDOWS\ERUNT W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń stare Java 6 i Adobe Flash Player 10, zaktualizuj resztę wymienionych poniżej programów: KLIK. Wg raportu posiadasz: ==================== Installed Programs ====================== Adobe Flash Player 10 ActiveX (Version: 10.0.22.87) ----> wtyczka dla IE Adobe Reader X (10.1.7) - Polish (Version: 10.1.7) Java™ 6 Update 22 (Version: 6.0.220) Java™ 6 Update 23 (Version: 6.0.230) Microsoft Silverlight (Version: 5.1.20125.0) Mozilla Thunderbird 17.0.8 (x86 pl) (Version: 17.0.8) OpenOffice.org 3.3 (Version: 3.3.9567) .

Przepraszam, adnotacja o fixlog.txt (już usunięta) dodana z rozpędu. Nie był tu jeszcze używany FRST do usuwania, dlatego plik nie powstał. Wymagane poprawki: 1. W Google Chrome nadal widać adres searchgol.com. Powtórz to działanie: Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres searchgol.com, przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: AppInit_DLLs: [ ] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=4C7E00241D61AF58&affID=119357&tsp=5020 BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll No File 2013-09-29 12:24 - 2013-09-29 12:24 - 00000000 ____D C:\Documents and Settings\All Users\Dane aplikacji\CA 2013-10-04 17:18 - 2013-08-24 17:18 - 00000422 _____ C:\WINDOWS\Tasks\At1.job Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Odinstaluj stary sfatygowany skaner Skaner on-line mks_vir. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

EDIT: posty sklejam. Nie miałeś powstarzać akcji z fixlist.txt, to jest skrypt jednorazowego użytku (!) i nie przetworzy ponownie tego samego. Usunęłam ten plik. Przechodzimy do kolejnych działań: 1. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Administrator\Moje dokumenty\ComboFix.exe" /uninstall 2. Przez SHIFT+DEL skasuj foldery: C:\Documents and Settings\Administrator\Pulpit\Stare dane programu Firefox C:\FRST C:\WINDOWS\erdnt W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 4. Od początku widać tu uszkodzoną usługę Windows Update: S2 wuauserv; %systemroot%\system32\wuauserv.dll [x] Nie diagnozowałam tego, ponieważ Twój system wygląda na jakąś lewą nieoryginalną produkcję, która jest zmodyfikowana (manipulacje via nLite już na poziomie płyty instalacyjnej). Prawdopodobnie uszkodzenie Windows Update to jeden z owych "tweaków". Zapytam jednak: czy aktualizacje Windows zostały wycięte celowo i od początku ich nie było? I to nie jest niestety dobry pomysł, system musi być aktualizowany (zwłaszcza takie próchno XP), a ta infekcja u Ciebie to m.in. wynik bardzo cienkich zabezpieczeń. .

Log z OTL nie wstawiony, kierunek na ogólną stronę. Adware (nabyte przez downloadery portalowe) i ślady robaka Gamarue. Akcja: 1. Otwórz Notatnik i wklej w nim: HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Martyna\LOCALS~1\Temp\ccaaqyfi.com HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://websearch.a-searchpage.info/?pid=945&r=2013/06/03&hid=992944749&lg=EN&cc=PL&unqvl=18 SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.a-searchpage.info/?l=1&q={searchTerms}&pid=945&r=2013/06/03&hid=992944749&lg=EN&cc=PL&unqvl=18 SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=c5afb2c3-6a79-44ee-8dde-c546af4b9de2&searchtype=ds&q={searchTerms}&installDate=17/09/2013 SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=c5afb2c3-6a79-44ee-8dde-c546af4b9de2&searchtype=ds&q={searchTerms}&installDate=17/09/2013 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.golsearch.com/?q={searchTerms}&affID=119294&babsrc=SP_ss_Btisdt6&mntrId=34550C6076BCFF1D SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: CescrtHlpr Object - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.15.10\bh\BabylonToolbar.dll No File BHO: No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File BHO: No Name - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No File BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Martyna\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll No File Toolbar: HKLM - QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\System32\mscoree.dll (Microsoft Corporation) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU - No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\14.2.0\ViProtocol.dll No File CHR HKLM\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files\BonanzaDeals\BonanzaDeals.crx CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Martyna\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx Task: {1110C132-1C56-4906-B5B5-782BECAE2E18} - \AdobeFlashPlayerUpdate No Task File Task: {3EFDA6CD-576F-457F-A6D6-4630FCB7FB6F} - \AdobeFlashPlayerUpdate 2 No Task File Task: {9B4A3780-14EC-4E29-B5A0-56950DA6CD2F} - System32\Tasks\GoforFilesUpdate => C:\Program Files\GoforFiles\GFFUpdater.exe Task: {AE10381D-5523-4787-B412-ECDDD656867D} - System32\Tasks\{B2814A59-BC3A-4757-BCEC-69AA39FB5E4E} => Chrome.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar S2 vToolbarUpdater14.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe [x] R1 avgtp; C:\windows\system32\drivers\avgtpx86.sys [33112 2013-02-14] (AVG Technologies) S3 nmwcd; system32\drivers\ccdcmb.sys [x] S3 nmwcdc; system32\drivers\ccdcmbo.sys [x] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x] S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x] S3 usbbus; system32\DRIVERS\lgusbbus.sys [x] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x] S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x] C:\windows\system32\drivers\avgtpx86.sys C:\MSI C:\Users\Martyna\AppData\Local\{D24FF096-8AB7-41E3-BB29-299D9D88E89D} C:\Users\Martyna\AppData\Local\BIT57E7.tmp C:\Users\Martyna\AppData\Local\avgchrome C:\Users\Martyna\AppData\Local\BonanzaDealsLive C:\Users\Martyna\AppData\Local\Mozilla C:\Users\Martyna\AppData\Roaming\Mozilla C:\Users\Martyna\Downloads\VuuPC_Setup.exe C:\Users\Martyna\Downloads\Niepotwierdzony*.crdownload C:\ProgramData\~0 C:\ProgramData\BonanzaDealsLive C:\ProgramData\contiNuetoSaVE C:\ProgramData\coNtoinuieTosave C:\ProgramData\McAfee C:\ProgramData\Norton C:\Program Files\Common Files\McAfee C:\Program Files\Common Files\Symantec Shared C:\Program Files\BonanzaDealsLive C:\Program Files\BonanzaDeals C:\Program Files\mozilla firefox C:\Program Files\Przyspiesz Komputer Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: AVG Security Toolbar, Conduit Engine, FoxTab PDF Creator, QuickShare oraz Windows Media Player Firefox Plugin (Firefox nie istnieje jako zainstalowany). 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń feed.snap.do Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (o ile będą). Ustawienia > karta Rozszerzenia > odinstaluj SweetIM for Facebook Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition) + zaległy OTL (bez Extras). Dołącz plik fixlog.txt i log z AdwCleaner. .

Masz typowy błąd - bardzo często na forum występował - niemożności aktualizacji sterowników (Failed uninstalling driver updates): By wytypować wadliwy sterownik, potrzebny jest inny log. Skopiuj na Pulpit plik C:\Windows\inf\setupapi.dev.log i przejślij tu do analizy. Wyniki MBAM zupełnie nieistotne. Pierwszy pochodzi z martwej kwarantanny AdwCleaner, a reszta wygląda na fałszywe alarmy na plikach animacji (?). Nie szukaj tu infekcji, to nie jest przyczyną niemożności instalacji aktualizacji. .

Ten log z AdwCleaner bardzo ubogi (tzn. nic nie wykryte). Mimo że program listuje tylko dwa logi: czy na pewno nie ma pliku o nazwie AdwCleaner[s0].txt? I wymagane poprawki, bo widzę tak jakby odtworzenie adware BonanzaDeals: 1. Otwórz Notatnik i wklej w nim: BootExecute: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=D8FD6CF049B86FFF&affID=125032&tsp=5025 FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File 2013-10-04 11:32 - 2013-10-04 11:32 - 00000000 ____D C:\Program Files\MiPony 2013-10-04 11:32 - 2013-10-04 11:32 - 00000000 ____D C:\Documents and Settings\Administrator\Menu Start\Programy\MiPony 2013-10-04 11:32 - 2013-10-04 11:32 - 00000000 ____D C:\Documents and Settings\Administrator\Menu Start\Programy\BonanzaDeals 2013-10-03 22:20 - 2013-10-04 11:32 - 00000000 ____D C:\Program Files\BonanzaDeals 2013-10-04 12:39 - 2013-10-04 11:34 - 00000924 _____ C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job 2013-10-03 12:12 - 2013-10-03 12:12 - 00000000 ____D C:\Documents and Settings\All Users\AVG SafeGuard toolbar Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Reset Firefox zrobiony, a w preferencjach nadal adware. Wykonaj reset po raz drugi. 3. Zrób nowy skan FRST (bez Addition) + ponów próbę z GMER. Dołącz plik fixlog.txt. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Na liście zainstalowanych masz tylko szczątkowe adware Linkury Smartbar, do usunięcia, ale to nie ma nic wspólnego z objawami i jest kosmetycznym działaniem. Widzę, że użyłeś ComboFix, a nic tu nie wspominasz, ani wyniki pracy nawet nie przedstawione. To naprawdę jest bez sensu uruchamiać to narzędzie nawet nie wiedząc co się dzieje (!). W systemie są czynne obiekty Kaspersky Internet Security 14.0.0 (w procesach aktywny + komplet sterowników na chodzie), która to instalacja zdaje się być niepoprawnie usunięta i będzie blokować inne instalacje AV. Na początek pozbądź się KIS, punkty 1+2 wykonane z poziomu Trybu awaryjnego: 1. Zastosuj Kaspersky Remover. 2. Powyższy program prawdopodobnie nie usunie tych dwóch sterowników filtrujących klawiaturę i mysz: R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [25696 2013-05-05] (Kaspersky Lab ZAO) R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [25696 2013-05-05] (Kaspersky Lab ZAO) Sterowniki nie mogą zostać usunięte, dopóki nie zdejmiesz filtrów z urządzeń. Akcja ściągania filtrów połączona z usuwaniem sterowników. Otwórz Notatnik i wklej w nim: reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d kbdclass /f reg add HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96F-E325-11CE-BFC1-08002BE10318} /v UpperFilters /t REG_MULTI_SZ /d mouclass /f sc stop klkbdflt sc delete klkbdflt sc stop klmouflt sc delete klmouflt del /q C:\Windows\System32\DRIVERS\klkbdflt.sys del /q C:\Windows\System32\DRIVERS\klmouflt.sys pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik i patrz uważnie czy w oknie nie było żadnego błędu. 3. Po potwierdzeniu poprawności zadań zrób raporty z OTL (ma słabsze filtrowanie wpisów niż FRST) oraz dostarcz zawartość zrzutów pamięci, czyli do wdrożenia punkt 5: KLIK. .

Duża ilość adware w systemie, jedno z nich nabyte "dzięki" instalacji PDFCreator. Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj: BitGuard, IB Updater Service, Internet Explorer Toolbar 4.6 by SweetPacks, pdfforge Toolbar v7.6. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres searchgol.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres searchgol.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > przestaw kilka razy domyślną wyszukiwarkę, tak by ostatecznie Google było ustawione jako domyślna, po tym skasuj z listy śmieci (o ile będą). Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (już bez Addition). Dołącz log z AdwCleaner. .

lukas555, zastrzeżenia do tematu: - Temat założony w kompletnie złym dziale, czyli pisania Tutoriali. Przenoszę do działu diagnostyki infekcji. - Zestaw logów kiepski, czyli zdekompletowany OTL (brak raportu Extras) i przestarzały RSIT. Usuwam. Proszę przeczytać zasady działu jakie raporty się tu dostarcza: KLIK. Czyli: FRST (główny + Addition), OTL (główny + Extras) i GMER. .

kerpal, przede wszystkim pokaż co za ewentualne filtry są na urządzeniach. Zrób log z narzędzia Filter Driver Load Order. .

Ale przecież raport jest zrobiony nie na ustawieniu o które prosiłam: przy pozycji Services odznacz opcję Whitelist.

Proponuję cofnąć system za pomocą Przywracania systemu do daty, gdy problem nie występował. .

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Documents and Settings\JA\Pulpit\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Zaktualizuj poniżej wyliczone programy: KLIK. Wg raportu posiadasz: Internet Explorer Version 6 ==================== Installed Programs ====================== Adobe Reader 9.5.0 (Version: 9.5.0) Google Chrome (Version: 29.0.1547.76) Java™ 6 Update 31 (Version: 6.0.310) Opera 12.02 (Version: 12.02.1578) Opera 12.12 (Version: 12.12.1707) .

1. MBAM wykrył dwa obiekty tego RegCleanPro (wynik w Koszu systemowym + roboot.exe) oraz podejrzany plik rzekomo AVI (prawdziwe rozszerzenie to EXE). Wszystko usuń za pomocą programu. 2. Po usunięciu wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj cały system (instalacja SP2 + IE9 + wszyskich innych łat). Usuń starsze produkty Adobe i Java na korzyść najnowszych, zaktualizuj Thunderbird i OpenOffice.org. Szczegóły aktualizacyjne: KLIK. Wg raportu posiadasz następujące wersje: KLIK. Microsoft® Windows Vista™ Business Service Pack 1 (X86) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Acrobat 9 Pro - English, Français, Deutsch (Version: 9.0.0) Adobe Flash Player 11 ActiveX (Version: 11.1.102.55) ----> wtyczka dla IE Adobe Reader X (10.1.1) (Version: 10.1.1) Java™ 6 Update 22 (Version: 6.0.220) Mozilla Thunderbird 17.0.8 (x86 pl) (Version: 17.0.8) OpenOffice.org 3.3 (Version: 3.3.9567) .

Ten C: (Brak) to błąd serwisowania obrazu i nieprawidłowy wolumin, ochrona do usunięcia: KLIK. .

Zadania wykonane. Czy problem z golsearch jest gdzieś jeszcze notowany? I poprawki: 1. Uruchom TFC - Temp Cleaner. 2. Otwórz Notatnik i wklej w nim: Startup: C:\Documents and Settings\pawej\Menu Start\Programy\Autostart\RollerCoaster Tycoon 3 Registration.lnk Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [x] S3 GMSIPCI; \??\I:\INSTALL\GMSIPCI.SYS [x] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Zasady działu, teraz są obowiązkowe także raporty z FRST. Poza tym, brak obowiązkowego GMER.

rafaul Temat jest w dziale diagnostyki infekcji, więc aplikują się zasady na temat autoryzowanych osób do pomocy. Wątek sprzętowy może się oczywiście pojawić, ale nie przed fazą diagnostyki infekcji, która tu definitywnie jest. Michal89 Na temat doczepiania raportu GMER: objaśnia to pomoc forum (na spodzie strony), załączniki akceptują tylko format *.TXT, a Ty próbujesz wstawiać *.LOG. I w instrukcji tworzenia raportu GMER wyraźnie było napisane jak zapisać raport (przez Kopiuj do nowego pliku a nie przyciskiem zapisu raportu). Albo albo: zmieniasz ręcznie nazwę pliku na *.TXT, zapisujesz raport do nowego pliku *.TXT. W systemie działa ukryta infekcja, charakterystyczna dla starego i słabo zabezpieczonego systemu XP. Oto co mówi GMER: ---- Registry - GMER 2.1 ---- Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Run@Pztitx C:\Documents and Settings\Administrator\Dane aplikacji\Pztitx.exe Reg HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache@C:\Documents and Settings\Administrator\Dane aplikacji\Pztitx.exe Pztitx ---- Files - GMER 2.1 ---- File C:\Documents and Settings\Administrator\Dane aplikacji\Pztitx.exe 233472 bytes executable ---- EOF - GMER 2.1 ---- Poza tym, w systemie także śmietnik adware. Droga nabycia = portale z oprogramowaniem, bo widać na dysku pliki downloadera portalowego a nie programu zasadniczego: 2013-10-03 13:03 - 2013-10-03 13:03 - 00685248 _____ C:\Documents and Settings\Administrator\Moje dokumenty\Adobe-Reader-XI(21590).exe 2013-10-03 12:08 - 2013-10-03 12:08 - 00685248 _____ C:\Documents and Settings\Administrator\Moje dokumenty\HWiNFO32(15982).exe 2013-10-03 12:37 - 2013-10-03 12:37 - 00685248 _____ C:\Documents and Settings\Administrator\Moje dokumenty\OCCT(28567).exe Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Administrator\Dane aplikacji\Pztitx.exe C:\Documents and Settings\Administrator\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\Administrator\Dane aplikacji\BabSolution C:\Documents and Settings\Administrator\Dane aplikacji\DigitalSite C:\Documents and Settings\Administrator\Moje dokumenty\Adobe-Reader-XI(21590).exe C:\Documents and Settings\Administrator\Moje dokumenty\OCCT(28567).exe C:\Documents and Settings\Administrator\Moje dokumenty\HWiNFO32(15982).exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\blekko toolbars C:\Documents and Settings\All Users\Dane aplikacji\f-secure C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job C:\WINDOWS\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job C:\WINDOWS\Tasks\At1.job C:\WINDOWS\8A809006C25A4A3A9DAB94659BCDB107.TMP C:\WINDOWS\system32\Drivers\dtkuu.sys C:\Windows\System32\drivers\gfibto.sys C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\mozilla firefox\browser\searchplugins\safeguard-secure-search.xml C:\Program Files\Mozilla Firefoxsafeguard-secure-search.xml S2 bonanzadealslive; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-03] (BonanzaDeals) S3 bonanzadealslivem; C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe [148976 2013-10-03] (BonanzaDeals) R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [13560 2013-01-22] (GFI Software) S3 LPWZSB; C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\LPWZSB.exe [x] S3 AODDriver; \??\C:\Program Files\GIGABYTE\ET6\i386\AODDriver.sys [x] R3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [x] S3 MEMSWEEP2; \??\C:\WINDOWS\system32\8.tmp [x] S0 sptd; System32\Drivers\sptd.sys [x] U3 mbr; \??\C:\ComboFix\mbr.sys [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=D8FD6CF049B86FFF&affID=125032&tsp=5024 BHO: BonanzaDeals - {fe063412-bea4-4d76-8ed3-183be6220d17} - C:\Program Files\BonanzaDeals\BonanzaDealsIE.dll (BonanzaDeals) Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} FF Plugin: @ganymede/CARDS,version=1.0 - C:\Program Files\Ganymede\Plugins\CARDS\NPCARDS.dll No File FF Plugin: @ganymede/GanymedeNetPlugin,version=1.0 - C:\Program Files\Ganymede\Plugins\npganymedenet.dll No File FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] - C:\Program Files\Web Assistant\Firefox Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Pztitx /f Reg: reg delete HKCU\SOFTWARE\Microsoft\Windows\ShellNoRoam\MUICache /v "@C:\Documents and Settings\Administrator\Dane aplikacji\Pztitx.exe" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj ręcznie system, jeśli FRST tego nie wymusi. 2. Przez Panel sterowania odinstaluj adware: AVG SafeGuard toolbar, Bonanza Deals, Search-Gol Chrome Toolbar, searchgol toolbar, SweetIM for Messenger 3.7. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowe logi: skan FRST (bez Addition) + GMER. Dołącz plik fixlog.txt i log z AdwCleaner. .

Skrypt wykonany poprawnie, ale: Pobrałeś zły i wątpliwy program! RegCleanPro to pewnie była zwodnicza reklama na stronie. Usuń go czym prędzej z systemu. Miałeś pobrać program Malwarebytes Anti-Malware i nim wykonać skan. .

Temat przenoszę, na razie do działu Windows XP. Brak oznak infekcji. Jaki był powód stawiania systemu od nowa? I system w fatalnym stanie aktualizacji, brak SP3 + IE8 + reszty łat (). Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polish Internet Explorer Version 6 To wszystko musi być nadrobione (KLIK). Objaśnij to bliżej. Co to znaczy "wyłącza się" = czy to oznacza efekt jakby zasilanie było odcięte? Jeśli tak, to kierunek na sprzęt a nie oprogramowanie. .

Na zakończenie: 1. Zaktualizuj poniżej wyliczone programy (o ile już to się nie stało, gdyż logi nie są świeże): KLIK. Wg listy zainstalowanych posiadasz wersje: ==================== Installed Programs ====================== Google Chrome (x32 Version: 29.0.1547.76) Java 7 Update 11 (x32 Version: 7.0.110) Microsoft Office 2010 (x32 Version: 14.0.4763.1000) Mozilla Firefox 15.0.1 (x86 pl) (x32 Version: 15.0.1) Mozilla Thunderbird 17.0.8 (x86 pl) (x32 Version: 17.0.8) 2. Prewencyjnie zmień hasła logowania w serwisach. .

Na temat użwania ComboFix: KLIK. Zasady działu jakie raporyty się tu przedstawia: KLIK. Dostarcz wymagane FRST, OTL i GMER. .

Usuń wyniki z wyjątkiem "Spyware.ZeuS", bo to komponenty Dysku GG i wygląda to na fałszywy alarm.