picasso

Do wglądu temat o strumieniach ADS i ustęp "Strumienie Zone.Identifier": KLIK. .

Pod kątem komunikatu "Serwer jest zajęty" wypróbuj jeszcze diagnostykę Office 2003. W Panelu sterowania w sekcji deinstalacji programów podświetlenie wejścia Office powinno pokazać opcję "Zmień" z podopcjami "Przeinstaluj lub napraw" prowadzącymi do funkcji diagnostycznych. To nie problem. Skorzystaj z EasyBCD. Wybierz wersję darmową, klik w Register, padnie pytanie o nazwę użytkownika i adres e-mail (wpisz byle jakie fałszywe dane, bo nie ma potwierdzenia na e-mail). Po zainstalowaniu programu uruchom go, przejdź do karty Edit Boot Menu i usuń wadliwy wpis. EDIT: drugi post dokleiłam do poprzedniego, dla zachowania logiki odpowiedzi. .

Akcje wykonane poprawnie. Nie sprecyzowałeś czy po usunięciu iSafe poprawiła się funkcjonalność internetowa. Chyba jednak deinstalacja się wykonała. Poprzednio w logu była widziana usługa programu: S4 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2013-09-12] () Teraz już nie jest wykryta. Czyli przez SHIFT+DEL dokasuj folder C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs. Przy okazji, ten folder to chyba jakiś odpadek (i możliwe, że to adware): C:\Program Files (x86)\FLVPlayer. Osłona Web jest potrzebna, by była zapewniona podstawowa reakcja na próbę instalacji malware przy otwieraniu strony, tzn. zapobiegnięcie instalacji infekcji. I tu nie chodzi tylko o strony jawnie podejrzane, ale także o strony prawidłowe, które nie budzą żadnych podejrzeń, a zostały shackowane / zainfekowane (wklejone ukryte iframe w kodzie). Niestety, w przypadku Avira warunkiem używania tej funkcji jest pasek Ask i musi on pozostać. Są wprawdzie chyba jakieś sztuczki oszukujące program, ale to nie jest legalne (złamanie licencji programu). Ja tu raczej sugeruję wymianę antywirusa, gdyż Avira w darmowej postaci nie jest zbyt posażna. Proponuję darmowy Avast, m.in. osłona Web i kilka innych rzeczy nieobecnych w Avirze, a program nie wymusza adware jako warunku korzystania z określonych funkcji. .

Jeśli problem nadal aktualny, podaj zamiast skanu SystemLook raporty z FRST. FRST właśnie otrzymał zgodnie z moją sugestią detekcję malware przejmującego filtr PNG. .

Zacznij od zasad działu, które wyliczają jakie materiały do analizy się dostarcza: KLIK. Poproszę o podanie obowiązkowych logów z FRST i GMER, a dodatkowo i USBFix z opcji Listing zrobiony przy podpiętych wszystkich urządzeniach. Foldery nie są zmienione na skróty. Skróty to dodane elementy uruchamiające infekcję, ich nazwy są robione na podstawie folderów, by socjotechnicznie rozpracować użytkownika i skłonić do kliknięcia skrótu. Foldery zostały po prostu ukryte i ich nie widzisz, bo nie masz odznaczonej opcji Ukryj chronione pliki systemu operacyjnego. .

Wszystko jasne. To się stało po usunięciu McAfee, prawda? Ten problem występował tu na forum multum razy. McAfee filtruje silnik skryptowy Windows poprzez własne moduły. Jego deinstalacja niestety ma jakąś wadę, tzn. McAfee nie ściąga się poprawnie z tych miejsc, w konsekwencji silnik skryptów działa poprzez nieistniejące już pliki McAfee. Skutki uboczne: pad funkcji korzystających z silnika skryptowego (m.in. puste gadżety na Pulpicie, puste okna różnych aplikacji / funkcji, problem z ładowaniem elementów JavaScript na stronach www). U Ciebie są resztki McAfee w następujących miejscach: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32] @="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32] @="C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32] @="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32] @="C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20120326001119.dll" Należy klucze z powrotem przekierować na pliki skryptowe Windows. Akcja: 1. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} Unlock: HKLM\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} Unlock: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} Unlock: HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\jscript9.dll /f Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\vbscript.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\SysWOW64\jscript9.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\SysWOW64\vbscript.dll /f Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755}\InprocServer32 Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Podaj plik fixlog.txt. .

To jest log AdwCleaner z funkcji Szukaj, proszę o log z funkcji Usuń (AdwCleaner[s0].txt). Zaszły różne zmiany. Ponów skan GMER. Podaj mi tyle ile się nagra (nie zważaj na błąd "Brak dysku"). Co to konkretnie znaczy? Co widzisz / gdzie / podczas jakich operacji? .

Windows XP nie ma WinRE i nie dostaniesz się do tego środowiska żadnym sposobem z poziomu instalatora XP. Musisz posiadać jakieś alternatywne środowisko zewnętrzne. W Twoim przypadku: na pendrive umieść FRST, zbootuj z płyty OTLPE, ale nie uruchamiaj w niej starego OTL na Desktopie, tylko wejdź przez eksplorator na pendrive i uruchom FRST. .

1. Wyniki MBAM: to już małe piwo, czyli adware. Odinstaluj FLVPlayer. Następnie w katalogu Pobieranie przez SHIFT+DEL skasuj instalatory adware FLVPlayerSetup.exe + VideoPlayerSetup.exe. 2. Odinstaluj wszystkie stare wersje Adobe i Java, zastąp najnowszymi, a także zainstaluj SP1 dla Office 2010: KLIK. Wg raportu są tu zainstalowane: ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) ----> wtyczka dla Firefox/Opera Adobe Reader XI (11.0.04) (x32 Version: 11.0.04) Java 7 Update 17 (x32 Version: 7.0.170)) Java™ 6 Update 22 (x32 Version: 6.0.220) Java™ 6 Update 23 (64-bit) (Version: 6.0.230) Microsoft Office Starter 2010 - Polski (x32 Version: 14.0.4763.1000) Skype™ 6.1 (x32 Version: 6.1.129) 3. Prewencyjnie zmień hasła logowania w serwisach. .

W związku z niemożnością wykonania raportów z poziomu Trybu awaryjnego, wykonaj log FRST z poziomu środowiska zewnętrznego. .

Nie dodałaś pliku fixlog.txt. Dołącz go.

Zrobione. W AdwCleaner skorzystaj z opcji Odinstaluj. Wyczyść Tempy (KLIK) i foldery Przywracania systemu (KLIK). .

Ano właśnie. Reg to jest konsolowa wersja edytora i wklepanie tego wprost w Uruchom ma takie objawy. Reg należy wklepywać dopiero po uruchomieniu okna cmd. To już wyjaśnione, doczyść więc resztki adware Delta: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Kosmetyka Google Chrome: zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. .

Przyczyna błędu GMER: KLIK. Więc to już zostaw. I podaję instrukcje usuwania infekcji oraz adware: 1. Otwórz Notatnik i wklej w nim: (Wsys Co., Ltd.) C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe R2 WsysSvc; C:\Documents and Settings\All Users\Dane aplikacji\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.) HKLM\...\Run: [tuto4pc_pl_16] - [x] HKLM\...\Run: [upt4pc_pl_16.exe] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_16\upt4pc_pl_16.exe -runhelper HKLM\...\Run: [] - [x] HKCU\...\Run: [dso32] - C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\dsoqq.exe [115712 2010-06-05] () HKCU\...\Run: [General Downloader] - C:\Program Files\General Downloader\GD.exe MountPoints2: {0594a038-0370-11e3-b9f1-806d6172696f} - D:\yqq8eqil.exe MountPoints2: {0594a03a-0370-11e3-b9f1-806d6172696f} - C:\yqq8eqil.exe MountPoints2: {423782f1-0688-11e3-a472-000df039bc2e} - F:\q9.cmd MountPoints2: {532df860-1306-11e3-a493-000df039bc2e} - G:\q9.cmd MountPoints2: {bc164b81-0364-11e3-a463-001b241512fa} - G:\yqq8eqil.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=F4F4000DF039BC2E&affID=119357&tsp=4986 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377163884 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377163884 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377163884 URLSearchHook: UsProvider Class - {539F76FD-084E-4858-86D5-62F02F54AE86} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=ST980811AS_5LY389M5XXXX5LY389M5&ts=1377173801 SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F4F4000DF039BC2E&affID=119357&tsp=4986 BHO: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files\Tepfel\WebCakeIEClient.dll (Let Them Eat Web-Cake LLC) BHO: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files\Minibar\Minibar.dll (KangoExtensions) BHO: Help the General-Search Project - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\DOCUME~1\ADMINI~1\DANEAP~1\GENERA~1\EXTENS~1\GenCrawl.dll () CHR HKLM\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files\Tepfel\WebCakeLayers.crx CHR HKLM\...\Chrome\Extension: [gkcbebbklfkjeocpmoamnopdllfekind] - C:\Documents and Settings\Administrator\Dane aplikacji\General Downloader\Extensions\gdchrome.crx CHR HKLM\...\Chrome\Extension: [pcidejejpblipcjpnkfkddlkmgndblch] - C:\Documents and Settings\Administrator\Dane aplikacji\General Downloader\Extensions\GenCrawler.crx CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\DSite\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\At2.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\Dealply\UPDATE~1\UPDATE~1.EXE C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\BrowserDefender C:\Documents and Settings\All Users\Dane aplikacji\DealPlyLive C:\Documents and Settings\All Users\Dane aplikacji\eSafe C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Administrator\Dane aplikacji\0D0S1L2Z1P1B0T1P1B2Z C:\Documents and Settings\Administrator\Dane aplikacji\0F1F1C2Y1H1P1C0I0T C:\Documents and Settings\Administrator\Dane aplikacji\BabSolution C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\Administrator\Dane aplikacji\Dealply C:\Documents and Settings\Administrator\Dane aplikacji\General Downloader C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Dane aplikacji\SlrPlugins C:\Documents and Settings\Administrator\Dane aplikacji\WinZipper C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\avgchrome C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\eorezo C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\DealPlyLive C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Minibar C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_16 C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\*.exe C:\Program Files\DealPly C:\Program Files\DealPlyLive C:\Program Files\Play C:\Program Files\Minibar C:\Program Files\Mozilla Firefox C:\Program Files\WinZipper C:\autorun.inf C:\yqq8eqil.exe D:\autorun.inf D:\yqq8eqil.exe CMD: netsh firewall reset Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{AAA38851-3CFF-475F-B5E0-720D3645E4A5}" /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL /v CheckedValue /t REG_DWORD /d 0x1 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware AppsHat Mobile Apps, Web-Cake 3.00, Zip Opener Packages. 3. Google Chrome ma uszkodzone preferencje. Zrób następujące akcje w Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż obecny URL stamtąd Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (o ile będą) Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. Odpowiadasz mi oczywiście już kolejnym poście. Nie edytuj już pierwszego posta, bo kolejnośćoperacji musi być zachowana. .

W logach nic ciekawego, adware owszem, ale to nie ma związku. Potem będziesz to czyścił. Opisz mi dokładnie co Ty próbujesz robić, jak / czym / co i gdzie wpisujesz. Na razie powiem tylko tyle, że efekt sugeruje, iż w polu Uruchom wklejasz jakieś polecenie konsolowe, a takie otwiera i natychmiast zamyka okno cmd (utrzymanie okna cmd tylko jeśli uruchomi się cmd i dopiero wtedy wklepie komendę). .

Prześlij mi do analizy cały rejestr (to potrwa). Kopię rejestru utworzył FRST podczas pierwszego startu, ale w związku z licznymi zmianami proszę o świeżą kopię zrobioną teraz. Utwórz na Pulpicie nowy folder, uruchom RegBack, wskaż jako miejsce docelowe kopii rejestru ów folder na Pulpicie, następnie cały folder spakuj do ZIP, shostuj gdzieś i na PW prześlij link. .

Wszystko zrobione. Kolejna porcja zadań: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj. 2. Uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełne skanowanie w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową bez rezydenta). Jeżeli coś zostanie wykryte, przedstaw raport. .

Google jest zablokowane politykami, co wyjaśnia niedostępność określonych opcji: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction W systemie zanotowana też wadliwa kopia pliku HOSTS, plik o rozszerzeniu TXT (prawdopodobnie skutek nieumiejętnego resetupliku zaprawionego przez Spybota): 2013-09-12 01:14 - 2013-09-12 01:15 - 00000742 _____ C:\WINDOWS\system32\Drivers\etc\hosts.txt 1. Odtwórz brakujący plik HOSTS. Włącz pokazywanie rozszerzeń: Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 2. Pobierz ponownie FRST (właśnie naprawiony bug przetwarzania polityk Google). Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} SearchScopes: HKCU - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} URL = Toolbar: HKLM - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File Toolbar: HKCU - No Name - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKLM\...\Policies\Explorer: [NoSaveSettings] 0 HKCU\...\Policies\Explorer: [NoSaveSettings] 0 HKCU\...\Policies\Explorer: [CDRAutoRun] 0 HKCU\...\Policies\Explorer: [MemCheckBoxInRunDlg] 0 HKCU\...\Policies\Explorer: [NoAutoTrayNotify] 0 HKCU\...\Policies\Explorer: [NoThemesTab] 0 HKCU\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 0 HKCU\...\Policies\system: [NoDispAppearancePage] 0 HKCU\...\Policies\system: [NoColorChoice] 0 HKCU\...\Policies\system: [NoDispBackgroundPage] 0 HKCU\...\Policies\system: [NoDispSettingsPage] 0 HKCU\...\Policies\system: [NoDispScrSavPage] 0 HKCU\...\Policies\system: [NoVisualStyleChoice] 0 HKCU\...\Policies\system: [NoSizeChoice] 0 C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\All Users\Dane aplikacji\Fighters C:\Documents and Settings\All Users\Dane aplikacji\FreeApp C:\Documents and Settings\All Users\Dane aplikacji\Logs C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\JustSylwia\Dane aplikacji\f-secure C:\Documents and Settings\JustSylwia\Moje dokumenty\dffsetup-iecont.exe C:\Documents and Settings\JustSylwia\Pulpit\SpyHunter-Installer.exe C:\Program Files\Spybot - Search & Destroy C:\WINDOWS\system32\Drivers\etc\hosts.* C:\WINDOWS\system32\REN*.tmp C:\WINDOWS\865537E164904193A4B6669C62711852.TMP S3 cmuda; system32\drivers\cmuda.sys [x] S3 FETNDIS; system32\DRIVERS\fetnd5.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] U4 MDM; U4 TlntSvr; U4 uploadmgr; S0 viaagp1; system32\DRIVERS\viaagp1.sys [x] U4 WmdmPmSp; U3 Wmi; Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Wypowiedz się co się dzieje z Google Chrome. .

TFC nie ma związku z folderem AdwCleaner i jego logami. Kompletnie inna przestrzeń zagadnienia. Logi są dwa, bo: AdwCleanerR1.txt = log z szukania, AdwCleanerS1.txt = log z usuwania. A duplikat AdwCleanerS1.txt usuwam, podałeś dwa razy ten sam log. Zadania zrobione. Kończymy: 1. Drobne poprawki. Otwórz Notatnik i wklej w nim: Task: {E3B8EB31-031F-46D1-B010-02B5C7DDE8E0} - \EPUpdater No Task File Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\KOMENDANT\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Usuń stare wersje Adobe i Java na rzecz najnowszych oraz zaktualizuj resztę poniżej wyliczonych: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 10 ActiveX (x32 Version: 10.1.102.64) ----> wtyczka dla IE Adobe Reader 9.5.1 - Polish (x32 Version: 9.5.1) Java™ 6 Update 17 (x32 Version: 6.0.170) Java™ 7 Update 4 (x32 Version: 7.0.40) Skype™ 5.10 (x32 Version: 5.10.116) 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Prewencyjnie zmień hasła logowania w serwisach. .

Ale zaraz, ten fixlist był przeznaczony do FRST uruchomionego spod WinRE a nie spod Windows! Dlatego w wynikach przetwarzania skryptu wszystkie wpisy użytkownika w rejestrze są "not found" (to nie jest zgodne z prawdą, skrypt miał wpisy w konwencji innego środowiska, dlatego się nie udało), a nowy log spod Windows nadal je pokazuje. Czyli trzeba poprawiać. Poza tym, możemy zabrać się za usuwanie adware. Teraz oczywiście już działasz spod Windows: 1. Otwórz Notatnik i wklej w nim: Task: {614359AB-FC94-4DA1-BE12-2467C60EB42C} - System32\Tasks\DealPly => C:\Users\gucio\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-02-11] () Task: {678025E9-E0F7-43DC-95FC-31A4BC00DDDE} - System32\Tasks\EPUpdater => C:\Users\gucio\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-06-06] () Task: {91B47B8E-2DEC-429A-B0B0-4DF409D514D1} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect Task: {BFB4EF4D-5BC3-45FA-AC71-8C511F3A277D} - System32\Tasks\DealPlyUpdate => C:\Program Files (x86)\DealPly\DealPlyUpdate.exe [2011-12-19] (DealPly) Task: {F3AD12CE-156C-4E02-98AA-84693BCADF7A} - System32\Tasks\DSite => C:\Users\gucio\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-10] () Task: C:\Windows\Tasks\DSite.job => C:\Users\gucio\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE HKCU\...\Run: [AdobeBridge] - [x] HKCU\...\Run: [syshost32] - C:\Users\gucio\AppData\Local\{3C1123B9-AD42-62DA-EA76-9AEDC8569CC7}\syshost.exe HKCU\...\Winlogon: [shell] explorer.exe,C:\Users\gucio\AppData\Roaming\data.dat AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [2691536 2013-07-26] () R2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [2847696 2013-07-26] () HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=119999&babsrc=SP_ss&mntrId=b8457168000000000000bc77372e2251 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&AF=119999&babsrc=SP_ss&mntrId=b8457168000000000000bc77372e2251 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {5D3DAD3E-BC1F-4602-8FFA-04C5CE16292F} URL = SearchScopes: HKCU - {D1041405-120E-4416-BBA4-0251069D811C} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_EU&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=C7EF90B1-B4B5-4B37-8B8A-4FDF483949FA&apn_sauid=CD0396FC-F2BE-48E3-B580-A7D236DF6F8E BHO: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\gucio\AppData\Roaming\Complitly\64\Complitly64.dll (SimplyGen) BHO-x32: Complitly - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\gucio\AppData\Roaming\Complitly\Complitly.dll (SimplyGen) BHO-x32: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO) BHO-x32: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files (x86)\DealPly\DealPlyIE.dll (DealPly Technologies Ltd) BHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.21.5\bh\delta.dll (Delta-search.com) Toolbar: HKLM-x32 - Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.21.5\deltaTlbr.dll (Delta-search.com) Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM-x32\...\Chrome\Extension: [dlfienamagdnkekbbbocojppncdambda] - C:\Program Files (x86)\Complitly\chrome\ComplitlyChrome.crx CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\gucio\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM-x32\...\Chrome\Extension: [gaiilaahiahdejapggenmdmafpmbipje] - C:\Program Files (x86)\DealPly\DealPly.crx CHR HKLM\SOFTWARE\Policies\Google: Policy restriction AlternateDataStreams: C:\Users\gucio\Cookies:ffxfgs0RQYxOgo4lvR0Yks8Wrc AlternateDataStreams: C:\Users\gucio\AppData\Local\Temp:Q680YB8u58lSHiqbkhF7PYPnP3Nh2 C:\Users\gucio\AppData\Local\Ol5DwQLEglmvs0 C:\Users\gucio\AppData\Roaming\Mozilla Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Babylon toolbar on IE, BrowserProtect, Codec Pack Packages, Complitly, DealPly, Delta Chrome Toolbar, Delta toolbar, Qtrax Player, unnm=Version Checker for Dealply 3. Google Chrome też zanieczyszczone adware i ma uszkodzone preferencje. W Google Chrome przeprowadź następujące akcje: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż aktualny URL (prawdopodobnie Delta) stamtąd Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy śmieci (prawdopodobnie m.in. Delta Search). Ustawienia > karta Rozszerzenia > odinstaluj Complitly plugin for chrome, Delta Toolbar, DealPly (części może nie być po deinstalacjach w Panelu sterowania) Ustawienia > karta Historia > wyczyść 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. .

Skoro okno Skype też zdefektowane (pusta chmura), to się nasuwa problem z bibliotekami silnika skryptowego. Rozpocznij od przerejestrowania podstawowych plików silnika Windows Script: 1. Otwórz Notatnik i wklej w nim: CMD: regsvr32 /s jscript.dll CMD: regsvr32 /s jscript9.dll CMD: regsvr32 /s vbscript.dll CMD: C:\Windows\SysWOW64\regsvr32.exe /s C:\Windows\SysWOW64\jscript.dll CMD: C:\Windows\SysWOW64\regsvr32.exe /s C:\Windows\SysWOW64\jscript9.dll CMD: C:\Windows\SysWOW64\regsvr32.exe /s C:\Windows\SysWOW64\vbscript.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Podaj fixlog oraz wypowiedz się czy jest jakaś zmiana. .

Od niedawna obowiązkowy jest FRST. Ma detekcje obszarów, których nie skanuje OTL (np. rozszerzenia Google Chrome na poziomie rejestru czy polityki Google) 1. Na początek usuń adware i dziwne aplikacje: Bundled software uninstaller, Dll-Files Fixer, Lollipop, Premium Booster. Przy okazji archaiczny martwy Skaner on-line mks_vir oraz także starawy Spybot - Search & Destroy. 2. Następnie uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób logi z FRST (ma powstać plik Addition). Dołącz log z AdwCleaner. To kroki wstępne, by trochę tło wyczyścić. Ja tu nie wykluczam, że problemy tworzy Avast Internet Security. Nie zostały podane ścieżki dostępu (z wyjątkiem System Volume Information = Przywracanie systemu), więc trudno stwierdzić co to było. Czy masz raporty skanerów? EDIT: Pisałam równocześnie z Belfegorem. .

Czyli da się uruchomić FRST spod Windows. Na przyszłość: umieszczasz FRST na pendrive, start do Trybu awaryjnego z Wierszem polecenia, w linii komend X:\FRST64.exe (gdzie X to litera pendrive) i ENTER, narzędzie się uruchomi i skan robisz. Zaznaczyłam w temacie, że wyborem pierwszym powinien być FRST (zwłaszcza, że tu jest nowa generacja systemów Windows 7), jako narzędzie nowoczesne. OTLPE to stara płyta (wbudowany OTL też archaiczny i mniej wiarygodny), a BSOD stąd, że płyta nie ma stosownych sterowników kontrolerów dysków. Tu nie tylko blokada "policyjna", ale i wpis innego trojana (kojarzony z rootkitem Necurs, ale oznak Necurs brak). Przechodząc do usuwania infekcji: 1. Przygotuj w Notatniku skrypt usuwający. Otwórz Notatnik i wklej w nim: HKU\gucio\...\Run: [AdobeBridge] - [x] HKU\gucio\...\Run: [syshost32] - C:\Users\gucio\AppData\Local\{3C1123B9-AD42-62DA-EA76-9AEDC8569CC7}\syshost.exe [71680 2013-09-01] (Peter Pawlowski) HKU\gucio\...\Winlogon: [shell] explorer.exe,C:\Users\gucio\AppData\Roaming\data.dat [120320 2013-07-08] () AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [2691536 2013-07-26] () S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [2847696 2013-07-26] () C:\Users\gucio\AppData\Local\{3C1123B9-AD42-62DA-EA76-9AEDC8569CC7} C:\Users\gucio\AppData\Local\Temp\*.exe C:\Users\gucio\AppData\Local\Temp\*.dll C:\Users\gucio\AppData\Roaming\data.dat C:\Users\gucio\AppData\Roaming\skype.dat C:\Users\gucio\AppData\Roaming\settings.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. System zostanie odblokowany, loguj się normalnie do Windows i: 2. Zrób nowy skan FRST spod Windows, ma powstać też plik Addition. Dołącz plik fixlog.txt. .

Tematy sklejam razem, bo to tylko ciąg dalszy. Tu już nie ma czego czyścić, brak oznak infekcji/adware. W związku z tym odinstaluj AVG2012 na próbę i sprawdź jak się zachowa system po restarcie. Na dalszą metę, jeśli stan systemu to umożliwi, będzie konieczna pełna aktualizacja Windows, bo stan nieciekawy (brak SP1 + IE10 + reszty łat): Windows 7 Home Premium (X64) OS Language: Polish Internet Explorer Version 8 O jakich skrótach mówisz? A Pulpit widziany oczami to jest wirtualna przestrzeń sklejająca dwa katalogi Pulpitu (konta użytkownika i Public): C:\Users\Twoje konto\Desktop C:\Users\Public\Desktop W raporcie FRST widać te komunikaty. .

Na koncie KOMENDANT jeszcze robota: szczątek rootkita ZeroAccess oraz nowe adware. Adware niestety zostało co dopiero zainstalowane. Prawdopodobnie poprzez "Asystent pobierania" dobrychprogramów.pl (pakuje Delta Toolbar, BrowserDefender = tu widać nową wersję BitGuard, BabSolution) oraz sam instalator DAEMON Tools (ma dodatkowych sponsorów w instalatorze): Akcja z poziomu konta KOMENDANT: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: () C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe ((PC Utilities Pro) C:\Program Files (x86)\Optimizer Pro\OptProStart.exe R2 BitGuard; C:\ProgramData\BitGuard\2.6.1673.238\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BitGuard.exe [2845152 2013-09-10] () AppInit_DLLs-x32: c:\progra~3\bitguard\261673~1.238\{c16c1~1\bitguard.dll [2700768 2013-09-10] () HKLM-x32\...\Runonce: [daemontoolslite] - [x] HKCU\...\Run: [Google Update*] - [x] HKCU\...\Run: [Optimizer Pro] - C:\Program Files (x86)\Optimizer Pro\OptProLauncher.exe [135672 2013-09-03] (PC Utilities Pro) HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=EE16B482FE617F4C&affID=119357&tsp=5004 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=EE16B482FE617F4C&affID=119357&tsp=5004 SearchScopes: HKCU - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=EE16B482FE617F4C&affID=119357&tsp=5004 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://supertoolbar.ask.com/redirect?client=ie&tb=CPUID&o=14654&src=crm&q={searchTerms}&locale=en_US SearchScopes: HKCU - {209EF2FB-8593-499B-8F4C-CF1013805120} URL = SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948 SBHO-x32: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files (x86)\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com) Toolbar: HKLM-x32 - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files (x86)\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com) Toolbar: HKCU - No Name - {37483B40-C254-4A72-BDA4-22EE90182C1E} - No File C:\Users\KOMENDANT\Desktop\S-1-5-21-1492223747-2970513581-3962931120-1000 C:\Users\KOMENDANT\Desktop\Search.lnk C:\Users\KOMENDANT\AppData\Roaming\BabSolution C:\Users\KOMENDANT\AppData\Roaming\Babylon C:\ProgramData\Babylon C:\ProgramData\DSearchLink Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Deinstalacje adware: - Przez Panel sterowania odinstaluj: BitGuard, Delta Toolbar, OptimizerPro. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (zaznacz powstanie Addition). Dołącz plik fixlog.txt i log AdwCleaner. .