picasso

Nie ma troski. Wygląda na to, że omyłkowo pobierałeś coś, co miało doczepione adware. To wyniki z Tymczasowych plików Internetowych (lokalizacja i tak adresowana przez zastosowany TFC), a dokładniej z wnętrza archiwum pack.7z. Tu masz wyciągi z sandboxa co ta paczka próbuje instalować: KLIK / KLIK. I kończymy sprawy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj cały system oraz Java (luki bezpieczeństwa! przyczyna infekcji "policyjnych"!): KLIK. Stan notowany w raporcie: Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 ==================== Installed Programs ======================= Gadu-Gadu 10 (x32) Java 7 Update 17 (x32 Version: 7.0.170) Co do Gadu-Gadu 10: program straszny (żarcie zasobów, nadmiar reklam, więcej śmieci niż funkcji) i wymarły (i tak wiele serwisów zintegrowanych w nim nie działa). Albo zaktualizuj go wersji GG11 (jest lepsza, mniej reklam, kilka pomocnych nowych funkcji stricte związanych z komunikacją), albo zainteresuj się alternatywnym chudym WTW. Wszystkie opisy tu: KLIK. .

Jak mówię, coś innego usunęło składniki adware (lub są tu jakieś przekłamania). Albo jest inny log z MBAR, którego nie przedstawiłeś (ten podany w pierwszym poście nia ma nic związanego z PUT), albo Avast mimo wszystko coś zrobił (lub pozornie się uspokoił). Ale to już nieistotne, zadanie wykonane, a cała sprawa była małego kalibru. .

Akcje wykonane i kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\User\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. Nie wiem o czym mówisz. Podany tu log z MBAR nie ma absolutnie żadnych wyników związanych z adware Putlocker downloader. Jak mówię, wykryte co innego: crack do Office. Putlocker downloader musiał zostać usunięty w inny sposób (ja tylko dokończyłam jego resztki). Chyba, że używałeś jeszcze inny skaner, z którego tu raportu brak. .

Co masz na myśli? Przywracanie systemu to najprostsza droga. Na wszelki wypadek to zrób. .

Co to za punkt "Removed Recovery" utworzony dziś przed 12? Czy on został utworzony przed skryptem FRST? Jeśli tak, ten wybierz. 1. Przywracanie systemu od Vista w górę to potężny proces (cieniowanie woluminu) i dane (przynajmniej w większości) powinny wrócić na miejsce. 2. Niestety, ale tu nie ma czegoś takiego jak gładkie przywrócenie z kwarantanny FRST, z następujących powodów: - Brak opcji wbudowanej umożliwiającej precyzyjne przesunięcie do lokalizacji pierwotnej, a ręczna robota nastręcza trudności: - Kwarantanna nie respektuje struktury pierwotnej i wszystko jest wrzucane "luzem", na dodatek uprawnienia obiektów są zmieniane. - W profilu jest mnóstwo obiektów specjalnych takich jak linki symboliczne i ręczne skopiowanie nie wchodzi w grę, one prawdopodobnie już zostały rozbite i nie są linkami. Ponadto, FRST nadal przetwarza dane i nie oczekuj, że ukończy szybko (zadałeś mu potężną komendę): Siłowy abort (wyłączenie systemu i od razu boot do WinRE zewnętrznego), bo szkody postępują. .

Tak, system zainfekowany, dlatego zaraza rozprzestrzenia się na podpinane urządzenia przenośne. Prócz tego, w systemie jest i reklamodawcze adware, ale to mniejszy problem. Przechodzimy do czyszczenia Windows i urządzeń: 1. Wszystkie urządzenia widziane podczas skanu USBFix mają być obecne i to pod takimi samymi literam. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [şgčŮwšĄ’çÂ)FxôěâÂWPN©Ź_ě5îE…4gG+ĂďťLĐTš …"«°˘Ä0Č˝P⍰6Çţď~%ŮÖqźÂ`,=bń±L«şŇÄ­ş±đŤíŃYLŹş®küa†—ăŃKÍyjoľe†c_YCčz˛Ą—R‡žm¶+«p HKCU\...\Run: [Lwzazl] - C:\Users\laptop\AppData\Roaming\Lwzazl.exe [170806 2013-03-26] (Microsoft Corporation) HKCU\...\Run: [Optimizer Pro] - C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.holasearch.com/?affID=121962&tt=gc_&babsrc=HP_ss&mntrId=68B5002556EE1FC5 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.holasearch.com/?q={searchTerms}&affID=121962&tt=gc_&babsrc=SP_ss&mntrId=68B5002556EE1FC5 SearchScopes: HKCU - {902619DE-4304-4EDA-80C8-0DC17655D327} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\laptop\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx CHR HKLM-x32\...\Chrome\Extension: [fagpjgjmoaccgkkpjeoinehnoaimnbla] - C:\Users\laptop\AppData\Roaming\BabSolution\CR\hola.crx Task: {A58CB99F-8B04-47F5-9FA2-A2362FBDAE0F} - System32\Tasks\DealPly => C:\Users\laptop\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-27] () D:\Photoscape(12505).exe C:\Users\laptop\AppData\Roaming\*.exe C:\Users\laptop\AppData\Roaming\DealPly C:\Users\laptop\AppData\Roaming\mozilla C:\Program Files (x86)\mozilla firefox C:\eula.*.txt C:\install.* E:\*.lnk F:\*.lnk G:\*.lnk CMD: rd /s /q C:\$Recycle.Bin CMD: rd /s /q D:\$RECYCLE.BIN CMD: rd /s /q E:\RECYCLER CMD: rd /s /q F:\RECYCLER CMD: rd /s /q F:\$RECYCLE.BIN CMD: rd /s /q G:\RECYCLER CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h G:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Bundled software uninstaller, hola Chrome Toolbar. 3. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres delta-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż holasearch.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Hola Search. Ustawienia > karta Rozszerzenia > odinstaluj uTorrentControl_v2 Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition) + USNFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. Spokojnie. Dane są tylko ukryte. Co robię powyżej: usuwam czynną infekcję, następnie koryguję dane na urządzeniach (ściągam atrybuty HS ukrywające dane). .

Putlocker downloader to tylko adware, żaden trojan/wirus. A MBAR wykrył kompletnie inną rzecz, czyli KMService.exe = crack do Office. W logach nic ciekawego, tylko mini-mini-mini odpadki adware Ask i Put i nie przedstawia to troski. Doczyść: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PutLockerDownloader.com C:\Users\User\AppData\Local\Cool_Mirage C:\ProgramData\APN Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v Default_Search_URL /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Potężnie zamieszałeś i użyj Przywracanie systemu do stanu sprzed fiksa, patrząc na spis punkty są i ten można wykorzystać: ==================== Restore Points ========================= 20-08-2013 13:24:57 Windows Update 04-09-2013 06:30:39 Zaplanowany punkt kontrolny 07-09-2013 23:07:26 Installed Nero 9 Essentials 4.4.9.0 12-09-2013 15:01:41 Windows Update 17-09-2013 06:21:55 Installed SW Update Nie wiem czy da radę w aktualnym stanie zrobić Przywracanie z poziomu Windows, ale do WinRE możesz wejść i stamtąd uruchomić Przywracanie. A po Przywracaniu systemu zrób nowe logi FRST (włącznie z Addition). W spoilerze komentarze dlaczego należy cofnąć system wstecz oraz co jest nie tak w skrypcie: .

Log z FRST pochodzi ze starej wersji sprzed kilku dni. Pobierz najnowszą. I tu już w tych logach nie ma czego szukać. Sprawdź czy transfer dysku nie jest równy przypadkiem PIO. Instrukcje w ustępie "Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP)": KLIK. Toteż podaj tu w temacie komplet wymaganych logów. .

Proszę trzymaj się konfiguracji programu zaleconej w przyklejonym, sekcje Drivers MD5 i BCD domyślnie nie mają być zaznaczone. Przechodzimy do usuwania infekcji: 1. Otwórz Notatnik i wklej w nim: HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Użytkownik\Local Settings\Temp\mscvvow.com C:\Users\Użytkownik\Local Settings\Temp\mscvvow.com HKCU\...\Run: [Apple Product] - C:\Users\Użytkownik\Desktop\apple.exe HKCU\...\Run: [NTRedirect] - C:\windows\SysWOW64\rundll32.exe "C:\Users\Użytkownik\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run HKCU\...\Run: [RMFon] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&babsrc=HP_ss_din2g&mntrId=983752B7C3F1F924 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=983752B7C3F1F924&affID=119294&tsp=4994 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=983752B7C3F1F924&affID=119294&tsp=4994 SearchScopes: HKCU - {3CD242FD-3221-4896-B3F0-1AB473ED083A} URL = BHO-x32: Lyrmix - {804efe7d-a8d7-4351-a6df-014d1ed7c6fc} - C:\Program Files (x86)\Lyrmix\133.dll () FF HKCU\...\Firefox\Extensions: [{dde15e35-c9b3-4c30-b055-730c5f4a45d3}] - C:\Program Files (x86)\Lyrmix\133.xpi CHR HKLM-x32\...\Chrome\Extension: [boipimhfjpakfgckhbljjengakjhkcbp] - C:\Users\Użytkownik\AppData\Roaming\BabSolution\CR\mixiDj.crx CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Użytkownik\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx CHR HKLM-x32\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files (x86)\Lyrmix\133.crx Task: {06B2F5F1-AF8F-4D5E-9516-BC55390A4E37} - System32\Tasks\Dealply => C:\Users\Użytkownik\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe [2013-09-03] () Task: {170DAD26-0EB0-4EFA-B502-629BDE42A129} - System32\Tasks\EPUpdater => C:\Users\Użytkownik\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {288DA976-051C-4578-BB9A-691070BFB0B6} - System32\Tasks\Hoolapp Init => C:\Users\Użytkownik\AppData\Roaming\HoolappForAndroid\Hoolapp.exe Task: {47E4F378-B589-4F65-864D-F3E628829E95} - System32\Tasks\MetaCrawler => C:\Users\Użytkownik\AppData\Roaming\MetaCrawler\UpdateProc\UpdateTask.exe [2013-06-11] () Task: {49BD5A2D-0651-40D3-9EA4-4369CB92E2F0} - System32\Tasks\DSite => C:\Users\Użytkownik\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe Task: {6AFBAEE2-3627-4361-A443-8B4F71CF7776} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-05-13] (Microsoft Corporation) Task: {937AE6BC-5C0C-4652-8FA9-DAC71CF1D7C6} - System32\Tasks\Lyrmix Update => C:\Program Files (x86)\Lyrmix\LymxUD.exe Task: {9C4F4DB5-40E7-49E0-A78B-147BFA1489EA} - System32\Tasks\Hoolapp For Android => C:\Users\Użytkownik\AppData\Roaming\HoolappForAndroid\UpdateProc\UpdateTask.exe Task: {BBEFE0F4-F1BF-4B8C-A833-5AD6DFEC9F78} - System32\Tasks\Funmoods => C:\Users\Użytkownik\AppData\Roaming\Funmoods\UpdateProc\UpdateTask.exe [2013-06-11] () Task: {C306AA07-6592-4566-93C5-BBEECF8C3D16} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: C:\windows\Tasks\Dealply.job => C:\Users\U|ytkownik\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe Task: C:\windows\Tasks\DSite.job => C:\Users\U|ytkownik\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe Task: C:\windows\Tasks\Lyrmix Update.job => C:\Program Files (x86)\Lyrmix\LymxUD.exe Task: C:\windows\Tasks\MetaCrawler.job => C:\Users\U|ytkownik\AppData\Roaming\MetaCrawler\UpdateProc\UpdateTask.exe C:\Users\Użytkownik\AppData\Local\CRE C:\Users\Użytkownik\AppData\Roaming\-375557483 C:\Users\Użytkownik\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\Użytkownik\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Users\Użytkownik\AppData\Roaming\BabSolution C:\Users\Użytkownik\AppData\Roaming\Babylon C:\Users\Użytkownik\AppData\Roaming\Dealply C:\Users\Użytkownik\AppData\Roaming\DSite C:\Users\Użytkownik\AppData\Roaming\File Scout C:\Users\Użytkownik\AppData\Roaming\Funmoods C:\Users\Użytkownik\AppData\Roaming\GoforFiles C:\Users\Użytkownik\AppData\Roaming\HoolappForAndroid C:\Users\Użytkownik\AppData\Roaming\MetaCrawler C:\Users\Użytkownik\AppData\Roaming\PerformerSoft C:\Users\Użytkownik\AppData\Roaming\systweak C:\Users\Użytkownik\AppData\Roaming\WebApp C:\Users\Użytkownik\Desktop\Continue Codec Pack Installation.lnk C:\Users\Użytkownik\Downloads\face2face cd (1).exe C:\Users\Użytkownik\Downloads\face2face cd.exe C:\Users\Użytkownik\Downloads\adobe.flash.player_idg_downloader_26294_pc.exe C:\Program Files (x86)\Conduit C:\Program Files (x86)\DealPlyLive C:\Program Files (x86)\DealPly Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware Codec Pack Packages, Lyrmix. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż Delta stamtąd Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy śmieci (o ile będą). Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Jak napisałam w przyklejonym, na razie jest okres przejściowy i raporty z OTL też się dołącza. Śmieci adware pewnie nabyte przez portalowe downloadery, bo widzę wyniki typu avast-Free-Antivirus(13266).exe ("Asystent pobierania" dobrychprogramów) czy ClassicShell_downloader_by_Downloadnetpl.exe. I w systemie należy załadować poprawki na szczątki adware oraz malware skryptowe w Harmonogramie Windows. Zanim wszystko usuniemy, skopiuj na Pulpit plik zadania C:\Windows\system32\Tasks\5828 i wyślij mi go na PW do wglądu jaka ścieżka skryptu jest wywoływana. FRST powinien pobrać z XML ścieżkę docelową, a nie zrobił tego na widzianym tu Windows 8. Po przesłaniu pliku: 1. Otwórz Notatnik i wklej w nim: Task: {6E9FDC62-9A21-4347-BCCB-67CE8281F2D7} - System32\Tasks\0 => Iexplore.exe Task: {B3900731-BA36-44D8-ACD3-836EDA12A892} - System32\Tasks\5828 => C:\Windows\System32\wscript.exe [2012-07-26] (Microsoft Corporation) HKLM-x32\...\Run: [tuto4pc_pl_17] - [x] URLSearchHook: (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=34ABCAF73394719B&affID=119357&tsp=5004 SearchScopes: HKCU - {0FCBC34A-9748-45CD-827C-A5603F08C103} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10513 SearchScopes: HKCU - {779A2E64-4866-4DC0-893A-609F3F79FCD6} URL = SearchScopes: HKCU - {DB1711F6-2AC9-47B9-8611-4AB7254FB0CC} URL = http://search.yahoo.com/search?p={searchTerms}&fr=tightropetb&type=10511 SearchScopes: HKCU - {E7F800B0-10E9-4FDA-A845-F6943F71F5C5} URL = http://www.search.ask.com/web?p2=^B7N^YYYYYY^YY^PL&gct=&itbv=12.2.2.604&o=APN11293&tpid=CME-V7&apn_uid=98A53056-F5E6-4571-BC82-DCB0E1C16C37&apn_ptnrs=^B7N&apn_dtid=^YYYYYY^YY^PL&apn_dbr=iexplore.exe_6_10.0.9200.16537&doi=2013-08-01&trgb=IE&q={searchTerms}&psv=barid%3D{B579631D-FACE-11E2-BE82-C8F73394719E}%26cargo%3DCME-V7%26spr%3Da SearchScopes: HKCU - {EC2D9970-EBD0-4C24-B4A7-A6453DA04714} URL = http://search.us.com/serp?guid={CC767068-5A1F-4EE4-9982-F94E413D831C}&action=default_search&serpv=5&k={searchTerms} Toolbar: HKCU - No Name - {434D452D-5637-006A-76A7-7A786E7484D7} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction FF Plugin HKCU: intel.com/AppUp - C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp.dll No File FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com S3 SBIOSIO; \??\C:\Users\Krzysiu i Danusia\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [x] S3 TVICPORT; \??\C:\windows\system32\DRIVERS\TVICPORT.SYS [x] C:\windows\SysWOW64\searchplugins C:\windows\SysWOW64\Extensions C:\Program Files (x86)\BonanzaDealsLive C:\Program Files (x86)\BonanzaDeals C:\Program Files (x86)\hdvidcodec.com C:\Program Files (x86)\Movdap C:\Program Files (x86)\predm C:\Program Files (x86)\Smart PC Cleaner C:\Program Files (x86)\WebCakeLayers.crx C:\Users\Krzysiu i Danusia\AppData\Local\avgchrome C:\Users\Krzysiu i Danusia\AppData\Local\eorezo C:\Users\Krzysiu i Danusia\AppData\Local\BonanzaDealsLive C:\Users\Krzysiu i Danusia\AppData\Local\TNT2 C:\Users\Krzysiu i Danusia\AppData\Local\Temp\*.exe C:\Users\Krzysiu i Danusia\AppData\Roaming\Betcat C:\Users\Krzysiu i Danusia\AppData\Roaming\Movdap C:\ProgramData\BonanzaDealsLive C:\ProgramData\Babylon C:\ProgramData\DSearchLink C:\ProgramData\Norton Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres Delta, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż Delta stamtąd Ustawienia > karta Rozszerzenia > odinstaluj Web Cake Ustawienia > karta Historia > wyczyść 3. Wyczyść radykalnie Firefox poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Unlock: C:\WINDOWS\system32\config\Doctor Web.evt C:\WINDOWS\system32\config\Doctor Web.evt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Jeszcze drobne działania na odpadki. 1. Pobierz ponownie FRST (ma nowe poprawki). Zaloguj się na konto Patryk. Otwórz Notatnik i wklej w nim: MountPoints2: {977bc157-76b1-11dc-9604-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe MountPoints2: {ef30e5f4-4322-11df-9a18-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = Toolbar: HKCU - No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} http://megapanel.gem.pl/WebInstaller.dll U2 Harmonogram automatycznej usługi LiveUpdate; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [100032 2006-08-03] (Symantec Corporation) S3 LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [2119360 2006-08-03] (Symantec Corporation) S2 aswUpdSv; "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe" [x] R1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [395312 2007-09-21] (Symantec Corporation) C:\Documents and Settings\Barbara Postek\Dane aplikacji\Lavasoft C:\Documents and Settings\Patryk\Dane aplikacji\Lavasoft C:\Program Files\Common Files\Symantec Shared C:\Program Files\Symantec C:\WINDOWS\system32\lsass.log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom Norton Removal Tool. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Przesuń suwakiem na obrazku, by te "kropki" zostały rozwinięte i pełna ścieżka była widoczna, lub przeklej te wyniki z raportu wprost do posta w postaci tekstowej.

Zapomniałam powiedzieć, że pobierałeś OTL z jakiegoś pokątnego serwisu, o czym świadczy obecność plików OTL_3.2.70.2 (25180).exe + OTL_3.2.70.2 (25180)(1).exe na dysku (schemat nazwy sugeruje "Asystent pobierania" dobrychprogramów.pl lub podobny bajer). To nie jest plik OTL tylko downloader portalowy, który instaluje śmieci adware. Co jest niepokojące (nie zwróciłam na to wcześniej uwagi), to nazwa pliku wskazująca wersję OTL 3.2.70.2, a ta jest wersją krytyczną. Cytuję z przyklejonego: Uwaga: Wersje OTL 3.2.70.1 / 3.2.70.2 mają poważny błąd i uruchomienie w nich skryptu lub funkcji Sprzątanie prowadzi do poważnych uszkodzeń włącznie z niestartującym Windows: temat na forum. Proszę nie pobierać OTL z innych linków niż w/w, a jeśli wcześniej pobierano OTL, upewnić się, że nie jest to jedna z krytycznych wersji. Wersje te zostały wycofane z użytku. Najnowszy dostępny OTL to 3.2.69.0. Widzę, że po zapisie tego pliku na dysku pojawiły się logi z OTL. Tu podane w temacie pokazywały jednak poprawną, ostatnią z prawidłowych, wersję 3.2.69.0. Zasadnicze pytanie upewniające: czy na pewno nie uruchomiłeś wersji 3.2.70.2 (tzn. czy na pewno w oknie uruchomionego OTL na górze okna nie było takiego napisu)? Muszę to potwierdzić, bo jeśli tak by było, trzeba byłoby cofać cały system wstecz do daty sprzed uruchomienia OTL (i czyszczenia infekcji). Po potwierdzeniu zadam kolejne kroki czyszczące. .

Zasady działu, tu jest zakaz dopisywania się do cudzych wątków (wydzielone w osobny temat): KLIK. Przechodząc do usuwania infekcji: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [] - [x] HKU\don_Alberto\...\Winlogon: [shell] explorer.exe,C:\Users\don_Alberto\AppData\Roaming\data.dat [ 2010-11-20] () C:\Users\don_Alberto\AppData\Roaming\data.dat C:\Users\don_Alberto\AppData\Roaming\settings.ini C:\Users\don_Alberto\AppData\Local\Temp\*.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. System zostanie odblokowany. Zaloguj się normalnie do Windows. Zrób nowy skan FRST spod Windows (ma powstać też plik Addition). Dołącz plik fixlog.txt. .

No tak, ale ja tu nie widzę śladów wykonania pewnych czynności: - Zalecałam wyłączenie Windows Defender (dwa wpisy startowe) via msconfig, a on konsekwentnie jest w stanie uruchomionym. - Zalecałam test czystego rozruchu. W raporcie FRST brak śladów wykonania tej operacji w sposób pełny. O ile sekcja Usług owszem pokazuje wyłączenie obiektów wtórnych, to w starcie nadal są czynne wpisy niedomyślne wskazujące na nie przetworzenie sekcji Uruchamianie w msconfig. Opisz co właściwie robiłeś w msconfig. To potwierdza, że system instalowany z Recovery nie jest fabrycznie czysty, od razu ma zintegrowane zbędniki. To nie temat na ten etap rozważań. Przecież nie wiadomo w jakim stanie jest system i co mu jest, a instalacja antywirusa skutecznie zaciemnia obraz (to bardzo silny soft). W trakcie diagnostyki nie instaluj przypadkiem kolejnego innego AV. .

Akcje wykonane, zanim zadam czynności końcowe: To nic mi nie mówi, nawet nie można potwierdzić co to faktycznie było. Najważniejsza jest ścieżka dostępu (pełna aż do pliku docelowego), a nie nazwa zagrożenia. Wejdź do Dzienników Avast i sprawdź czy nagrał się ten rekord. Na razie mogę tylko tyle powiedzieć: Nazwa Win32:BProtect-A sugeruje, że to żaden wirus tylko reklamodawcze adware i pasuje to wspominane przeze mnie, czyli: załadowane prawdopodobnie przez "Asystent pobierania" dobrychprogramów lub inny portal stosujący "download wrapper". Jak mówiłam, asystent instaluje Delta Toolbar (u Ciebie ewidentne znaki obecności) z "protectorem" ustawień, tenże "protector" może mieć różne nazwy: Browser Protect, Browser Defender, ostatnio zaś BitGuard. AdwCleaner czyścił szczątki "protectora": ***** [ Browsers ] ***** -\\ Internet Explorer v8.0.7600.17267 Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls [bProtectTabs] I coś mało owych szczątków, co sugeruje, że to jakaś stara niedokończona kiedyś tam sprawa. .

Wiem jak to wygląda, pytam jednak o to, czy tak zrzucony obraz Windows pokazuje od razu Norton Internet Security (nie instalowany przez Ciebie ręcznie). Wykonaj jeszcze standardową diagnostykę na bazie "czystego rozruchu": KB929135. Po tym zrób nowy raport z FRST, ale opcje Services i Drivers odznacz (to wyłącza filtrowanie wpisów). .

Posty skorygowałam. Proszę nie używaj opcji "Odpowiedz" widocznej przy każdym poście, to cytuje cały poprzedni post. W zamian używaj pola szybkiej odpowiedzi na spodzie tematu i opcję Napisz. I nie dodałeś nowego skanu z FRST. Proszę dodaj. .

Wstrzymaj, dopóki nie wykonasz tego: Ach, kurcze, coś mnie zaćmiło. Kwarantanna FRST jest oczywiście zablokowana przez skasowane elementy ZeroAccess (mają sztuczki w nazwach uniemożliwiające tradycyjne usunięcie). To trzeba potraktować specjalistyczną procedurą. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy to się wykona, przez SHIFT+DEL dokończ pozostały folder C:\FRST. Dziennik zdarzeń skanera Dr. Web. Przejdź w Tryb awaryjny Windows i ponów próbę usuwania. .

Temat przenoszę do działu Windows Vista. Nic tu nie wskazuje na infekcję. Tylko malutka drobnostka, przez SHIFT+DEL skasuj z dysku te foldery resztówkowe po adware: 2013-09-07 13:47 - 2013-09-08 15:48 - 00000000 ____D C:\Program Files\WebConnect 2013-09-07 13:47 - 2013-09-07 13:53 - 00000000 ____D C:\Program Files\RegCleaner 2013-09-07 13:47 - 2013-09-07 13:47 - 00000000 ____D C:\Users\Damian\AppData\Local\BonanzaDealsLive 2013-09-07 13:47 - 2013-09-07 13:47 - 00000000 ____D C:\ProgramData\BonanzaDealsLive Co to konkretnie za "Recovery", tzn. czy ma jakieś "bonusy" w postaci dodatkowego oprogramowania? Zwykle Recovery określonego producenta ma to do siebie, że w obrazie Windows są dointegrowane zbędniki podług upodobań tegoż producenta, np. jakiś antywirus. "Formatując" w istocie zrzucasz gotowy obraz z Windowsem, który jest daleki w wyglądzie od czystego gołego Windows. Patrząc na Twoje raporty: 1. Przede wszystkim zwraca uwagę sfatygowany Norton Internet Security (sterowniki zasadnicze z roku 2010). Odinstaluj. Po prawidłowej deinstalacji popraw narzędziem Norton Removal Tool. 2. Wyłącz także zintegrowany z systemem archaiczny Windows Defender. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako Administrator i w kartach Uruchamianie + Usługi odznacz wpisy WinDefend. Zresetuj system. 3. Uruchom TFC - Temp Cleaner. Podaj czy widzisz poprawę w funkcjonowaniu systemu. .

Posty sklejam, tak by temat wyglądał jak należy. Nie podałeś gdzie jest widziany "Win32 BProtekt-A" (w jakiej ścieżce dostępu). Uzupełnij tę informację. W raportach nie widzę nic dopasowanego, są tylko drobne resztki adware. Dodam, że adware Delta Toolbar + BrowserDefender jest charakterystyczne dla dobrychprogramów.pl i "Asystenta pobierania", który pakuje gnojowisko w system. Na teraz przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [ROC_roc_ssl_v12] - "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 [x] HKLM-x32\...\Run: [ROC_ROC_NT] - "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT [x] HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKCU - DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={54A1D414-A489-4615-ABFC-D64ADEAAD323}&mid=c126844db6a74417a613f2b0635575cf-6dbab0a18b68cb1e36055466b1a16c52be46746d&lang=pl&ds=ik011&pr=&d=2012-10-26 06:12:08&v=13.2.0.4&sap=dsp&q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&tt=120613_ndt&babsrc=SP_ss&mntrId=F24FB4749F834D2A SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={54A1D414-A489-4615-ABFC-D64ADEAAD323}&mid=c126844db6a74417a613f2b0635575cf-6dbab0a18b68cb1e36055466b1a16c52be46746d&lang=pl&ds=ik011&pr=&d=2012-10-26 06:12:08&v=13.2.0.4&sap=dsp&q={searchTerms} SearchScopes: HKCU - {E0887DC3-104E-47B5-AF46-1B02182C1F4E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^YYYYYY^YY^PL&apn_uid=E172ADE7-83A9-4002-9D49-D9669F269B76&apn_sauid=303CD1C9-4F36-4CC2-BBD8-F6B5C621E9F2 Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml Task: {72EF921F-2EF8-447E-BD9B-BE9E16394304} - System32\Tasks\{9672B9BD-D240-40A7-9A09-5F920A3824D4} => Chrome.exe Task: {AAF5B0F5-4DBF-40CB-8107-19FA5F53CB3D} - System32\Tasks\{B1C4895A-2633-4BC2-BFB5-BEDC4D77FBD2} => Firefox.exe Task: {CC831C08-02BF-4940-9E01-C6AB26843068} - System32\Tasks\{30E090C8-7223-4CE2-A6F8-02BB651CEC91} => Chrome.exe Task: {F5BCF784-FFCF-4836-8927-EFBFCDFBCDF3} - System32\Tasks\{80E94084-74F3-4169-BBFA-51E71F63E2AC} => Chrome.exe Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Rxa1gKilRsOh] - C:\Users\Messi10fcb\AppData\Local\MoLBCRy.exe [130048 2013-09-12] () HKCU\...\Run: [NTRedirect] - C:\Windows\SysWOW64\rundll32.exe "C:\Users\Messi10fcb\AppData\Roaming\BabSolution\Shared\enhancedNT.dll",Run HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 HKCU\...\Policies\Explorer: [HideSCAHealth] 1 HKLM-x32\...\Run: [] - [x] Task: {7E1F966D-0685-4EA7-9ED7-FD4C0CAB9912} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2010-05-26] () Task: {B6994525-7FDA-4E39-B925-4CAAF206AB7F} - System32\Tasks\Funmoods => C:\Users\MESSI1~1\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove No Task File HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=8296F07BCB279899&affID=119357&tt=150913_enh&tsp=5008 URLSearchHook: (No Name) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - No File URLSearchHook: (No Name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - No File SearchScopes: HKLM - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKLM-x32 - DefaultScope {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8296F07BCB279899&affID=119357&tt=150913_enh&tsp=5008 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=PSI&o=15116&src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=L6&apn_dtid=YYYYYYYYGB&apn_uid=D25BF169-9A8D-4F7D-8C56-2DA45763D26F&apn_sauid=BF380C38-E2F3-4E0B-A8F0-91C1E3AB7741 SearchScopes: HKCU - {79A68B4C-78CD-4B26-8862-B78C8FB28C57} URL = SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={7D85759C-AB7B-4652-8A9F-2E226A60C73E}&mid=41112fbda0bd47d1a04bd16e554000c4-f0e791b6ac310a435de6cbadb8e867b0aa23ed39&lang=pl&ds=AVG&pr=fr&d=2011-12-13 20:01:10&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms} SearchScopes: HKCU - {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&ir=ironpub12&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0BtByBzyzzzyzyzytB0EtBtN0D0Tzu0CtAyCyDtN1L2XzutBtFtBtFtCtFyEtDyB&cr=2075026274 BHO-x32: PlaySushi - {21608B66-026F-4DCB-9244-0DACA328DCED} - No File Toolbar: HKLM-x32 - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - No File FF HKLM-x32\...\Firefox\Extensions: [virtualKeyboard@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\virtualKeyboard@kaspersky.ru FF HKLM-x32\...\Firefox\Extensions: [linkfilter@kaspersky.ru] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2011\FFExt\linkfilter@kaspersky.ru S3 AVG Security Toolbar Service; C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe [x] S2 ezSharedSvc; C:\Windows\System32\ezsvc7.dll [x] C:\Users\Messi10fcb\AppData\Local\MoLBCRy.exe C:\Users\Messi10fcb\AppData\Local\e5d9ade3-6325-4fdb-922f-38d35a21b99f C:\Users\Messi10fcb\AppData\Local\vil230ta1hyo6 C:\Users\Messi10fcb\AppData\Local\funmoods-speeddial_sf.crx C:\Users\Messi10fcb\AppData\Local\funmoods.crx C:\Users\Messi10fcb\AppData\Local\Temp*.html C:\Users\Messi10fcb\AppData\Local\tmpBACK.* C:\Users\Messi10fcb\AppData\Roaming\_MDLogs C:\Users\Messi10fcb\AppData\Roaming\AVG10 C:\Users\Messi10fcb\AppData\Roaming\BabSolution C:\Users\Messi10fcb\AppData\Roaming\Babylon C:\Users\Messi10fcb\AppData\Roaming\Funmoods C:\Users\Messi10fcb\Desktop\Search.lnk C:\Users\Messi10fcb\Downloads\OTL_3.2.70.2 (25180).exe C:\ProgramData\DSearchLink C:\ProgramData\vil230ta1hyo6 C:\ProgramData\fodofojm.dat C:\ProgramData\mjofodof.pad Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{EBD24BD3-E272-4FA3-A8BA-C5D709757CAB}" /f Reg: reg delete HKCU\Software\Classes\.exe /f Reg: reg delete HKCU\Software\Classes\exefile /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. System powinien zostać odblokowany. Loguj się do Trybu normalnego i przeprowadź dalsze czyszczenie: 2. Odinstaluj adware: - Przez Panel sterowania: Ask Toolbar, Delta Chrome Toolbar, Delta toolbar, FoxTab AVI Converter, FoxTab FLV Player, Giant Savings Extension, McAfee Security Scan Plus, Qtrax Player, vShare Plugin. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

1. Drobnostka. Jeden wpis starej kontrolki MKS nie przetworzony (bug w FRST). Pobierz ponowie FRST (już ma poprawkę). Otwórz Notatnik i wklej w nim: DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj folder C:\FRST. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń starsze wersje Adobe i Java, zastąp najnowszymi: KLIK. To m.in. luki w starych Java są przyczyną infekcji tego rodzaju. Wg Twojego raportu mamy następujące wersje: ==================== Installed Programs ======================= Adobe Reader X (10.1.7) - Polish (Version: 10.1.7) Adobe Shockwave Player 11.5 (Version: 11.5.8.612) Java™ 6 Update 21 (Version: 6.0.210) .