picasso

htw, a widzisz tu log z GMER? Zdejmowanie emulacji napędów ma znaczenie tylko dla skanerów specjalizowanych w rootkitach, by wyeliminować hooki / locki określonych obiektów zgłaszane w tychże.

Ale mówisz o kwarantannie (magazyn izolowany, nieczynny i do opróżnienia). Ja pytam co jest aktualnie wykrywane nie w kwarantannie.

To nie cud, między liniami są odstępy, tylko pewnie sprawdzasz pod Windows zwykłym notatnikiem, albo innym edytorem, który nie rozpoznaje znaków końca linii zrobionych pod Ubuntu

I fixlist nie jest prawidłowy/normalny. Skrypty FRST muszą być robione w systemowym Notatniku Windows. Jest to wymóg. Wszelkie inne procesory tekstu są wykluczone i nie dają żadnych gwarancji, że fiks zostanie zinterpretowany. Na przyszłość: tylko Notatnik. Autor w ogóle nie przewiduje innych scenariuszy i wyraźnie zaznacza który procesor tekstu jest obowiązkowy.

 

 

W międzyczasie jeszcze drobna sprawa dot. kompa nr 2 - już wykonałem większość aktualizacji i zaskoczyło mnie, że na liście w dodaj/usuń nie widziałem w ogóle Adobe Readera (jest Adobe Air jedynie, w zasadzie Adobe Reader jest niepotrzebny, bo zainstalowałem Sumatrę, ale to dziwne, że go nie ma), oraz tego Fixa do Noda (w ogóle to dziwne, bo w kompie nie ma Noda) - czy to możliwe, że któreś z poprzednich kroków to wyczyściły?

Żaden krok z zadanych nie dotykał tej sfery. Więc albo ktoś coś robił samodzielnie w międzyczasie, albo wpisy nie są widzialne. Sprawdź czy owe wpisy widzi to narzędzie: KLIK.

 

 

 

.

Hmmm, ja tu nic czynnego nie widzę w raportach. Do skasowania przez SHIFT+DEL ten folder: C:\Users\Piotrek\AppData\Roaming\dclogs.

 

 

Przeskanowałem komputer malwarebytes anti-malware i wykrył mi parę innych wirusów. Próbowałem je usunąć, lecz po ponownym uruchomieniu znów je wykrył.

Czy po restarcie komputera na pewno są wykrywane te same obiekty?

 

 

.

Dostałem prosto do wyboru, jak to ma Avira w zwyczaju, "Remove", lub "Details", tak więc, po krótkim poczytaniu o tym pliku na internecie, bez namysłu wybrałem opcję "Remove", lecz po chwili komputer mi strasznie zwolnił. Wcześniej też wolno działał, ale teraz jakoś szczegółniej. Uruchomiłem go ponownie, i jest pewna poprawa, lecz i tak pozostało to spowolnienie (długo ładuje, momentami przestaje reagować by po chwili znów wrócić do funkcjonalności).

+

 

Chyba będę musiał pomyśleć nad większym RAMem w takim razie...

Z RAM owszem niezbyt bogato, ale na wszelki wypadek sprawdź jeszcze:

 

1. Transfer dysku. Instrukcje w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Nie ma znaczenia, że GMER chyba tu nie uruchamiałeś, są i inne przyczyny degradacji transferu.

 

2. Defragmentację dysku za pomocą Puran Defrag. Do wykonania także defgragmentacja typu "Boot Time" (scala pliki zablokowane spod działającego Windows).

 

3. Przy braku rezultatów testową deinstalację Avira. Antywirus może spowalniać.

 

 

 

.

Drobne poprawki zostały:

 

1. W Google Chrome jako domyślna wyszukiwarka stoi Delta:

 

CHR DefaultSearchURL: (delta-homes) - http://www.google.com

CHR DefaultSuggestURL: (delta-homes) - "suggest_url": ""

 

Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzaj wyszukiwarkami > ustaw jako domyślną prawdziwe Google, a po tym skasuj z listy delta-homes.

 

2. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Skrypt w większości wykonany, ale niektóre wpisy oznaczone jako "not found". Robiłeś coś w międzyczasie? I w ramach ukończenia:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacji te programy:

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) ----> wtyczka dla Firefox/Opera

Maxthon Cloud Browser (x32 Version: 4.0.3.6000)

SeaMonkey 2.19 (x86 pl) (x32 Version: 2.19)

Skype™ 6.5 (x32 Version: 6.5.158)

 

 

 

 

.

Widzę, że nie odinstalowałeś NVIDIA ForceWare Network Access Manager, jakiś szczególny powód? I jeszcze wymagane poprawki na szczątki adware:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=hp&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378659477
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=hp&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378659477
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=hp&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378659477
SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=ds&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378659477
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=ds&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378659477
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=ds&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378659477
2013-09-08 19:31 - 2013-09-08 19:44 - 00000000 ____D C:\ProgramData\eSafe
2013-09-08 11:53 - 2013-09-08 19:32 - 00000000 ____D C:\Users\Daniel\AppData\Local\DProtect

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Skrypt wykonany. I jeśli nie proszę Cię o dodatkowe raporty, to znaczy że nie są potrzebne, ten skan OTL usuwam, te dane już tu są i nic nowego z tego nie wynika.

 

 

 

.

Tak więc możemy już kończyć wątek tutaj:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

 

w dodatku mam bluskrina (notabene miałem też wczoraj). Nie wiem czy to ma związek ale osobiście wydaje mi się, że może mieć to związek z moja grafiką (8800GT), bo raz na jakiś czas od niedawna wyłączał mi sie monitor na parę sekund (1-2s). Z tego co wiem 8800GT jest grafiką która jest mocno awaryjna ze względu na swoje luty ...

ciekawe rozwiązanie występuje w sieci ( 2min 30 sek) tak przynajmniej obstawiam.

"Wydaje Ci się" = dokładna diagnostyka BSOD w punkcie 5: KLIK. Jeśli wyniki debugowania będą wskazywać grafikę, to temat do działu Hardware. A motyw pieczenia karty tu gdzieś już był w dziale Hardware, tylko tematu nie mogę znaleźć. Poza tym, ja nie jestem specjalistą sprzętowym i nie podejmuję się porad w tej kwestii.

 

 

 

.

W raportach nie ma żadnych oznak infekcji.

 

 

Chcąc uruchomić jeden screensaver przypadkowo go zainstalowałem (domyślnie wybrał miejsce, nic nie wyskoczyło poza informacją, ze został zainstalowany). Instalator usunąłem, niczego jednak nie znalazłem w Dodaj/Usuń programy.

Wygląda na to, że ten screensaver umieścił takie oto pliki:

 

2013-09-06 14:29 - 2013-09-06 14:29 - 00984735 _____ (Macromedia, Inc.) C:\WINDOWS\Speedo Clock.exe

2013-09-06 14:29 - 2013-09-06 14:29 - 00259184 _____ (MacSourcery) C:\WINDOWS\Speedo Clock.scr

2013-09-06 14:29 - 2013-09-06 14:29 - 00029696 _____ (MacSourcery) C:\WINDOWS\mickey32.dll

 

 

Dziś bowiem moja Avira Antivirus wykryła plik będący "wirusem" bądź "niechcianym programem".

 

Nazywał się TR/Keylogger.HotKeysHook.A.41, znajdujący się w:

C:\System Volume Information\_restore{8002081C-8E0C-4BC1-992E-055F5EC9AD27}\RP158\A0058041.exe'

C:\System Volume Information\_restore{8002081C-8E0C-4BC1-992E-055F5EC9AD27}\RP158\A0058041.exe.

 

(Załączam raport z Aviry).

To wyniki izolowane w katalogu System Volume Information, czyli Przywracania systemu. Katalogi te opróżnia się w następujący sposób: KLIK.

A czy to naprawdę infekcja, to trudno stwierdzić. To są tylko kopie pod zmienioną nazwą, pliki źródłowe mają inne nazwy i nie zostało tu wykryte nic dopasowanego.

 

 

 

.

1. Drobna poprawka. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj stare wersje Adobe Reader i Java, zastąp najnowszymi: KLIK. Wg raportu posiadasz wersje:

 

==================== Installed Programs =======================
 

Adobe Reader X (10.1.7) - Polish (Version: 10.1.7)

J2SE Runtime Environment 5.0 Update 17 (Version: 1.5.0.170)

Java 7 Update 17 (Version: 7.0.170)

 

To m.in. luki w Java są przyczyną infekcji "policyjnych".

 

 

 

.

Nic tu więcej do usuwania nie widzę. Kończ temat:

 

1. Przez SHIFT+DEL wykończ folder C:\FRST.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do wyrzucenia stary HijackThis i Java, reszta do aktualizacji:

 

==================== Installed Programs =======================
 

Adobe Reader XI (11.0.02) (Version: 11.0.02)

HiJackThis (Version: 1.0.0)

Java 7 Update 15 (Version: 7.0.150)

Microsoft Office Professional Edition 2003 (Version: 11.0.8173.0)

 

 

.

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HTS541080G9AT00_MP28MBXBGY1GYHGY1GYHX&ts=1377174050
Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\delta-homes.xml
S3 HPFXBULK; system32\drivers\hpfxbulk.sys [x]
S3 HPFXFAX; system32\drivers\hpfxfax.sys [x]
C:\Documents and Settings\All Users\Dane aplikacji\eSafe
C:\Documents and Settings\Właściciel\Dane aplikacji\eIntaller
C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\Temp

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Akcja w Google Chrome:

• Ustawienia > karta Ustawienia > Po uruchomieniu > przestaw z "Kontynuuj, gdzie skończyłem(am)" na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż Delta stamtąd
• Ustawienia > karta Historia > wyczyść

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

 

.

Nanosząc poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

C:\Documents and Settings\ja\Dane aplikacji\Bandoo
C:\Documents and Settings\ja\Dane aplikacji\Mozilla
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}
SearchScopes: HKCU - {3677C371-B7FE-4F03-9B79-32FF3EEEAE43} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms}
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = https://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&q=
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms}

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

To nie jest fixlog, albo podałeś mi plik fixlist, albo obciąłeś w fixlog wszystkie dane dotyczące przetwarzania fiksa. Tak więc podaj fixlog.

 

 

 

.

Nie wyjaśnia ona jednak problemów opisanych przeze mnie Napisano 01-09-2013 - 10:39, tzn. o wysyłaniu danych z mojego komputera i o zajętym serwerze. Komunikat ten pojawia mi się na starcie od 1 do 8 razy (tyle razy muszę naciskać "Przełącz na"). Nie wiem, co zrobić, by ten "serwer" nie był zajęty. Jeśli nic się nie da zrobić "zdalnie" to pozostanie mi wierzyć, że wysyłane dane nic mi nie ukradną a "serwer" trzeba "wyklikać" by komputer przestał czekać na moja decyzję ...

1. Wysyłane dane są nieprecyzyjne i nic tu konkretnie nie mogę stwierdzić. Jak mówię, ogólnie nie widzę nic dziwnego w Twoim systemie po czyszczeniu śmieci. Skomentuję tylko partię z moim forum: podczas pisania posta i przed jego wysłaniem następuje okresowy zapis treści posta na wypadek utraty treści. Funkcja wyjaśniona w Pomocy (Postowanie > Automatyczny zapis treści).

 

2. Komunikat "Serwer jest zajęty" może mieć różne przyczyny np.: dodatki do Office (jeden z przykładów: KLIK), ingerencja innego programu. Ja widzę, że w tym dokumencie Worda są liczne linki, więc może to ma związek z Internet Explorer (był czyszczony). Może spróbuj zresetować Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj.

 

 

 

.

Pod kątem "uszkodzonego Kosza" i resztek skanerów. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\$Recycle.Bin
CMD: rd /s /q C:\$Recycle.Bin
C:\Users\htw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Kosz (2).lnk
C:\Users\htw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_41794616.lnk
C:\Users\htw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Logitech . Rejestracja produktu.lnk
C:\Users\htw\AppData\Local\Temp\_uninst_41794616.bat
R0 41794616; C:\Windows\system32\DRIVERS\41794616.sys [460888 2013-09-08] (Kaspersky Lab ZAO)
C:\Windows\system32\Drivers\41794616.sys
C:\ProgramData\Kaspersky Lab

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Wypowiedz się czy Kosz nadal szwankuje.

 

 

 

.

Wyniki MBAM: skaner wykrył adware, wątpliwy "program" RegClean Pro. Ja tego nie widziałam wcześniej na liście zainstalowanych, więc wyniki sugerują, że nabyłeś to między czyszczeniem systemu a skanem MBAM pobierając coś w Operze:

 

C:\Users\AS-BUD\AppData\Local\Opera\Opera\cache\g_0006\opr0KQKE.tmp (PUP.Optional.RegCleanerPro) -> Nie wykonano akcji.

C:\Users\AS-BUD\AppData\Local\Opera\Opera\temporary_downloads\rcpsetup_dcomnew_sec_728_dcomnew_sec_728.exe (PUP.Optional.RegCleanerPro) -> Nie wykonano akcji.

 

Natomiast to wygląda na fałszywe alarmy:

 

D:\CHOMIK\Diablo (matim96)\Diablo\DDtrainer109a+.exe (Malware.Packer) -> Nie wykonano akcji.

D:\Dane Andrzej\fakturyasbud.exe (Trojan.Agent) -> Nie wykonano akcji.

D:\Dane Andrzej\moje dokumenty\Innn\FAKTURY ASBUD.exe (Trojan.Agent) -> Nie wykonano akcji.

 

Tak więc:

- Odinstaluj przez Panel sterowania RegClean Pro.

- W Operze wyczyść listę pobierania i cache.

- Po w/w akcjach uruchom ponownie MBAM i sprawdź co pozostało po tym śmieciu. To usuń.

- Pobierz ponownie FRST, zrób nowy log, chodzi mi o plik Addition ze spisem zaplanowanych zadań.

 

 

.

Avast wykrywa i blokuje wszystkie strony z Exsite.pl

Skan strony za pomocą UnmaskParasites: KLIK. Skaner ocenia stronę jako "podejrzaną", ponieważ jest w kodzie strony ukryta wklejka iframe kierująca na jakiś ruski adres:

 

    <IFrame> hidden link - http://fifa12-android.org/

Ten adres URL jest kojarzony z dystrybucją malware: KLIK. Tak więc Avast ma rację, że czepia się strony. Nic z tym nie zrobisz, czyszczenie strony z kodu w gestii administratorów strony. I nie wchodź tam, dopóki Avast zgłasza na stronie infekcję, bo jeszcze załadujesz coś nieciekawego w system.

 

 

---

W raportach brak oznak infekcji. Są tylko drobniutkie szczątki adware, ale to nie jest w ogóle powiązane ze zgłaszanym problemem. Doczyść je. Otwórz Notatnik i wklej w nim:

 

FF DefaultSearchEngine: MyStart Szukaj
FF SelectedSearchEngine: MyStart Szukaj
FF Keyword.URL: hxxp://mystart.incredimail.com/?loc=IM3DJUN09FFAB&search=
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://v9.com/pl
Task: {0A61D0B6-7742-47AE-9EF7-BFA09633D532} - System32\Tasks\{0357A161-CED1-4960-BB5F-41F910A0BE42} => Iexplore.exe http://ui.skype.com/ui/0/6.2.73.106.456/pl/abandoninstall?page=tsWLM
Task: {42704D4B-D943-44CB-82F9-EFB1FB556F10} - System32\Tasks\{20AD5FE3-8CDF-4B82-B068-C2C1C13B7D55} => Firefox.exe http://ui.skype.com/ui/0/6.3.73.105.456/pl/abandoninstall?page=tsWLM
Task: {5305043C-6B87-4403-9048-C6D051D37D65} - System32\Tasks\DSite => C:\Users\JEDREK~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
S3 80621652; No ImagePath
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [x]
S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [x]
S3 PortTalk; System32\Drivers\PortTalk.sys [x]
U3 UsbScan;
S2 vstor2; \??\C:\Program Files (x86)\Common Files\VMware\VMware Virtual Image Editing\vstor2.sys [x]
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5ADFDA4E-3056-4861-8558-A5F026AE74A0} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {5ADFDA4E-3056-4861-8558-A5F026AE74A0} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

.

Komp 3 - Windows XP

 

Zadanie pomyślnie wykonane. Czynności końcowe:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do aktualizacji poniższe programy: KLIK.

 

==================== Installed Programs =======================
 

Adobe Flash Player 10 ActiveX (Version: 10.1.53.64) ----> wtyczka dla IE

Foxit Reader

Microsoft Office XP Professional z programem FrontPage (Version: 10.0.2627.14) ----> instalacja SP

Mozilla Firefox (3.0.11) (Version: 3.0.11 (pl))

 

 

Komp 4 - Windows XP

 

Plik fixlist.txt miał niepoprawne formatowanie (wszystkie linie sklejone), cud że FRST to jednak przetworzył. Czynności końcowe:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Aktualizacje: KLIK. Wg raportów dramat, to wszystko wymaga aktualizacji:

 

Microsoft Windows XP Professional Service Pack 2 (X86) OS Language: English(US)

Internet Explorer Version 6
 

==================== Installed Programs =======================
 

Adobe Flash Player 10 Plugin (Version: 10.0.45.2) ----> wtyczka dla Firefox/Opera

Adobe Reader 9.4.0 - Polish (Version: 9.4.0)

ESET NOD32 Antivirus (Version: 4.0.417.0)

Foxit Reader (Version: 3.2.0.303)

Java™ 6 Update 21 (Version: 6.0.210)

Microsoft Office Enterprise 2007 (Version: 12.0.4518.1014) ----> instalacja SP1

Mozilla Firefox (3.6.13) (Version: 3.6.13 (pl))

Opera 11.01 (Version: 11.01)

Skype™ 4.2 (Version: 4.2.158)

 

 

Komp 5 - Windows XP

 

Tu nie ma tej infekcji Gamarue, ale trzeba doczyścić szczątki innych infekcji przenoszonych via USB oraz adware. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Policies\Explorer: [RestrictRun] 0
HKCU\...\Run: [cdoosoft] - C:\WINDOWS\system32\olhrwef.exe [x]
HKCU\...\Policies\Explorer: [RestrictRun] 0
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
Toolbar: HKCU -DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
FF SelectedSearchEngine: DAEMON Search
FF SearchPlugin: C:\Documents and Settings\slaw\Dane aplikacji\Mozilla\Firefox\Profiles\v11a7gvt.default\searchplugins\daemon-search.xml
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj DAEMON Tools Toolbar.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

Wszystkie kompy z XP:

 

W związku z uruchomieniem na nich GMER zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

 

Czy możesz polecić jakiegoś darmowego antywirusa, którego można zastosować na komputerach firmowych? Część to chyba domowe, będę jeszcze dopytywał. Na domowych pewnie zainstaluje Avasta, choć jestem otwarty na sugestie. Niestety do firmowych kompów raczej odpada...

Niestety, wybór bardzo limitowany. Prawie wszystkie antywirusy mają ściśle określoną licencję "do użytku niekomercyjnego domowego". Jedyne znane mi wyjątki, które się do czegoś nadają:

- COMODO Internet Security: "Is it free for business users too? Yes. However, enterprises looking to implement Internet Security on large networks of workstations would benefit from the centralized management capabilities of Comodo Endpoint Security Manager (CESM)."

- MSSE: "Program Microsoft Security Essentials jest dostępny dla małych firm z maksymalnie 10 komputerami."

 

 

.

Użyty FRST to wersja:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 08-09-2013

 

Jak już mówiłam w innym temacie, ta wersja ma bug blokujący katalog Temp. Pobierz najnowszy FRST. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Users\Dano\AppData\Local\Temp

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go.

 

 

po wykonaniu skryptu niestety to samo (przeglądarki się nie odpalają) a proces ZCEFBrowser.exe szaleje (można ubić żeby pracować normalnie)

1. To proces Ipla:

 

==================== Processes (Whitelisted) =================
 

(Redefine Sp z o.o.) C:\Program Files (x86)\ipla\ZCEFBrowser.exe

(Redefine Sp z o.o.) C:\Program Files (x86)\ipla\ZCEFBrowser.exe
 

==================== Registry (Whitelisted) ==================
 

HKCU\...\Run: [Gadu-Gadu 10] - C:\Program Files (x86)\Gadu-Gadu 10\gg.exe [13374048 2011-07-04] (GG Network S.A.)

HKCU\...\Run: [iPLA!] - C:\Program Files (x86)\ipla\ipla.exe [21172832 2013-05-28] (Redefine Sp z o.o.)

 

W tle działa też sadysta Gadu-Gadu 10, prawdopodobnie to w tym pakiecie weszła Ipla. Nasuwa się więc, by Iplę i GG10 wywalić, zainstalować za to najnowszą (lepszą i mniej straszącą reklamami) wersję GG11: KLIK.

 

2. Co do przeglądarek, jeśli po wyrzuceniu GG10+Ipla nadal będzie problem, upewnij się że Panda nie blokuje uruchomienia. Jeśli Google Chrome się w końcu uruchomi, do wykonania będą te zaległe akcje:

 

1. Operacje w Google Chrome:

- Przestawienie domyślnej wyszukiwarki: wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Funmoods

- Reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz.

 

 

.

Widzę rozbieżność między raportami FRST i OTL. Pobierz najnowszą wersję FRST z dzisiaj i zrób z niej nowe logi (włącznie z Addition), bo sam OTL po manipulacjach z deinstalacjami to za mało (OTL nie skanuje określonych obszarów np. Harmonogramu zadań).

 

 

 

.

domyślam sie, że to będzie zbędne ale podam wynik tdsskiller'a

Brak infekcji, wyniki do ominięcia.

 

 

Chciałem zainstalować IrfanView i wszedłem na stronę polską z aplikacją i później samo poszło ... nie ściągnąłem instalacji tylko dziada co miał ją ściągnąć połapałem się za późno i wgrało mi się jakieś g .... o. Odinstalowałem od razu i profilaktycznie przeskanowałem Malware-bytes i znalazło oraz wywaliło

Tu w raportach prawie nic nie widać po adware (dwa / trzy mini wpisy i tyle). A to nie jest konsekwencja adware:

 

 

Odinstalowałem od razu i profilaktycznie przeskanowałem Malware-bytes i znalazło oraz wywaliło ale efekt uboczny został w postaci tego co jest na screenie .. Załączam niezbędne logi. Ciekawe że mam ten błąd Skype ( I/O) co w poście poprzednim.

(...)

doszły dodatkowe atrakcje w postaci braku możliwości odpalenia jakiegokolwiek pliku z pakietu Office

Użyłeś następującą wersję FRST:

 

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 08-09-2013

 

Ta wersja ma bug, który powoduje utratę uprawnień do katalogu Temp, a w konsekwencji zaczynają się liczne prolemy z pobieraniem i pracą aplikacji. Już naprawione w najnowszej. Skasuj posiadaną wersję FRST i pobierz najnowszą z dzisiaj. Następnie:

 

1. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Users\htw\AppData\Local\Temp
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - DefaultScope {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3306681&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP01DBEA91-0AE1-4D83-82C7-DCE2B9D2C99C&q={SearchTerms}
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?ctid=CT3306681&octid=EB_ORIGINAL_CTID&SearchSource=58&CUI=&UM=2&UP=SP01DBEA91-0AE1-4D83-82C7-DCE2B9D2C99C&q={SearchTerms}
HKU\UpdatusUser\...\Run: [AdobeBridge] -
S3 cpuz135; \??\C:\Users\htw\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [x]
S3 HWiNFO32; \??\C:\Users\htw\AppData\Local\Temp\HWiNFO64A.SYS [x]
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [x]
S3 vmci; \SystemRoot\System32\drivers\vmci.sys [x]
S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [x]
2013-09-07 21:34 - 2013-09-07 22:11 - 00000000 ____D C:\ProgramData\eSafe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. Potwierdź, że błędy ustąpiły.

 

 

 

.

A co z pendrive'em?? Czy jeśli przed operacją go wyczyszczę (format) to infekcja znajdująca się na pendrive (bo tam tez jest) zostanie usunięta? czy mam podpiąć zainfekowany nośnik i wtedy stosować się do w/w zaleceń?? Zależy mi na prywatnych zdjęciach i kilku ważnych dokumentach.

Przecież po to był log USBFix z opcji Listing. W logu były odnotowane następujące urządzenia:

 

C:\ (%systemdrive%) -> Fixed drive # 98 Gb (73 Mb free - 75%) [] # NTFS

D:\ -> Fixed drive # 205 Gb (187 Mb free - 91%) [Rodzinka] # NTFS

E:\ -> Fixed drive # 205 Gb (163 Mb free - 80%) [Tadzik] # NTFS

F:\ -> Fixed drive # 424 Gb (423 Mb free - 100%) [Filmy] # NTFS

 

Log miał być zrobiony oczywiście przy podpiętych wszystkich zainfekowanych urządzeniach. Skoro ominęłeś to najwyraźniej, to teraz musisz mi podać kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

 

 

 

.