picasso

Wszystko zrobione. Drobne poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoDrives /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Ale tu nie koniec działań! Prosiłam o: .

Wyniki: to tylko szczątkowy plik instalatora adware Ask Toolbar. Do usunięcia. Na zakończenie: 1. Usuń poniżej wyliczone stare wersje i zainstaluj najnowsze: KLIK. ==================== Installed Programs ======================= Adobe Reader X (10.1.7) - Polish (Version: 10.1.7) Java™ 6 Update 32 (Version: 6.0.320) Java™ SE Runtime Environment 6 (Version: 1.6.0.0) 2. Dla bezpieczeństwa zmień hasła logowania w serwisach. .

To na pewno log po resecie Firefox? Ja nie widzę zmian wprowadzanych resetem, brak też folderu "Stare dane Firefox" na Pulpicie. .

Co to za "wcześniej pozostawione zakładki"? Jakie adresy są tam otworzone? I podaj mi raporty z FRST (ma powstać też plik Addition). .

Skrypt prawie wykonany, z wyjątkiem: =========== Result of Scheduled Files to move =========== "C:\Windows\System32\Tasks\Funmoods" => File could not move. Poprawka. Otwórz Notatnik i wklej w nim: Unlock: C:\Windows\System32\Tasks\Funmoods C:\Windows\System32\Tasks\Funmoods Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Skrypt pomyślnie wykonany. Co to konkretnie oznacza, na co klikasz? Pokaż obrazek i zaznacz mi na nim co próbujesz otwierać. .

Skrypt pomyślnie wykonany. To usuńmy. Otwórz Notatnik i wklej w nim: R2 PCToolsSSDMonitorSvc; C:\Program Files\Common Files\PC Tools\sMonitor\StartManSvc.exe [794272 2012-08-21] (PC Tools) C:\Program Files\Common Files\PC Tools Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

O to mi właśnie chodzi, usunąć Java 6 i zostawić Java 7. Wprawdzie to dwie różne wersje, ale szóstka nie jest już supportowana i zaleceniem jest aktualizacja do najnowszej z dostępnych siódemek. Ja widzę przycisk. Mogłeś wybrać też link "Do you have a different language or operating system?". W każdym razie tu podaję link bezpośredni (z odznaczonymi sponsorami): KLIK. .

A jaki błąd się pojawił? Teraz dokończenie usuwania wpisu infekcji oraz adware: 1. Otwórz Notatnik i wklej w nim: Task: D:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job => D:\Program Files\Ask.com\UpdateTask.exe HKLM\...\Run: [ApnUpdater] - "D:\Program Files\Ask.com\Updater\Updater.exe" [x] HKLM\...\Run: [sweetIM] - D:\Program Files\SweetIM\Messenger\SweetIM.exe [114992 2011-06-02] (SweetIM Technologies Ltd.) HKCU\...\Run: [] - [x] HKCU\...\Winlogon: [shell] explorer.exe,D:\Documents and Settings\Bartek\Dane aplikacji\cache.dat HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120811&user_guid=F9FFEDA947D84561A6530DA5AA22FA2D&machine_id=de52166ada72749b004dcfac117584fc&browser=IE&os=win&os_version=5.1-x86-SP3 URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=0FA3DC13-19A9-4A70-B878-462DFAC38599&apn_sauid=AF60EFC3-91F2-4A16-B97C-B13D2A4ABC3F BHO: StartNow Toolbar Helper - {6E13D095-45C3-4271-9475-F3B48227DD9F} - D:\Program Files\StartNow Toolbar\Toolbar32.dll () BHO: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM - Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM - StartNow Toolbar - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - D:\Program Files\StartNow Toolbar\Toolbar32.dll () Toolbar: HKCU -Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - D:\Program Files\Ask.com\GenericAskToolbar.dll No File S3 gdrv; \??\D:\WINDOWS\gdrv.sys [x] S2 usbhc; \??\D:\WINDOWS\system32\drivers\usbhc.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj: Ask Toolbar, StartNow Toolbar, SweetIM for Messenger 3.5 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder D:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Na razie nic nie rób. Przywrócenie rejestru sprzed uruchomienia ComboFix spowodowało powrót usuwanych już z rejestru wpisów śmieci. Trzeba czyścić: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Zwinky Search Scope Monitor] - "C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qsrchmn.exe" /m=2 /w /h [x] HKLM\...\Run: [Zwinky_5q Browser Plugin Loader] - C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qbrmon.exe [x] HKLM\...\Policies\Explorer: [NoDrives] 0 HKCU\...\Policies\Explorer: [ForceClassicControlPanel] 1 HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=hp&installDate=04/04/2013 HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9250315AS_6VCKJGG8____6VCKJGG8&ts=1354548559 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=ST9250315AS_6VCKJGG8____6VCKJGG8&ts=1354548559 URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKLM - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 SearchScopes: HKLM - {5a15c091-f3c2-4c8f-8964-e3434a2a4a95} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^ZJ^xpt249^YY^pl&si=begin-download&ptb=ED147F04-8A39-4FE4-BF0D-CD9C6635E2FE&ind=2013062216&n=77fce448&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120665&babsrc=SP_ss_gin2g&mntrId=B89B0017C4161A04 SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.snap.do/?publisher=QuickObrw&dpid=QuickObrw&co=PL&userid=3a732a9b-54b2-4c4d-b4c6-be738cdd24bf&searchtype=ds&q={searchTerms}&installDate=04/04/2013 SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=120665&babsrc=SP_ss_gin2g&mntrId=B89B0017C4161A04 SearchScopes: HKCU - {5a15c091-f3c2-4c8f-8964-e3434a2a4a95} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^ZJ^xpt249^YY^pl&si=begin-download&ptb=ED147F04-8A39-4FE4-BF0D-CD9C6635E2FE&ind=2013062216&n=77fce448&psa=&st=sb&searchfor={searchTerms} BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll No File Toolbar: HKLM - QuickShare Widget - {ae07101b-46d4-4a98-af68-0333ea26e113} - C:\Windows\System32\mscoree.dll (Microsoft Corporation) Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\13.2.0\ViProtocol.dll No File ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - No File [ ] S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [x] S2 vToolbarUpdater13.2.0; C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe [x] S2 Zwinky_5qService; C:\PROGRA~1\ZWINKY~2\bar\1.bin\5qbarsvc.exe [x] S3 btaudio; system32\drivers\btaudio.sys [x] S3 BTDriver; system32\DRIVERS\btport.sys [x] S3 BTWDNDIS; system32\DRIVERS\btwdndis.sys [x] S3 btwhid; system32\DRIVERS\btwhid.sys [x] S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [x] S3 StarOpen; No ImagePath S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [x] Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Page" /f Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: rd /s /q "C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Google\Chrome" CMD: rd /s /q "C:\Documents and Settings\Karolina\Dane aplikacji\Mozilla" CMD: rd /s /q "C:\Program Files\mozilla firefox" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Dodaj/Usuń programy odinstaluj Internet Explorer Toolbar 4.6 by SweetPacks, QuickShare, Zwinky Toolbar. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log AdwCleaner. .

1. Skrypt poprawnie wykonany. Możesz już usunąć narzędzia. Przez SHIFT+DEL skasuj folder C:\FRST, plus w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. I drobne aktualizacje: ==================== Installed Programs ======================= Adobe Reader X (10.1.7) (Version: 10.1.7) Adobe Shockwave Player 11.6 (Version: 11.6.8.638) Gadu-Gadu 10 Gadu-Gadu 7.7 Java™ 6 Update 43 (Version: 6.0.430) Opera 12.16 (Version: 12.16.1860) .

Co to był za wirus, gdzie konkretnie wykryty (w jakiej ścieżce dostępu)? To co mówisz + poniższe ścieżki: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 31-08-2013 04 Running from C:\Windows\SysWOW64\config\systemprofile\Desktop 2013-08-31 19:58 - 2013-08-31 20:03 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft Games 2013-08-31 17:08 - 2013-08-31 17:08 - 00119056 _____ C:\Windows\system32\config\systemprofile\Documents\OTL.Txt 2013-08-31 17:08 - 2013-08-31 17:08 - 00094954 _____ C:\Windows\system32\config\systemprofile\Documents\Extras.Txt 2013-08-31 16:29 - 2013-08-31 16:29 - 00000000 ____D C:\Windows\system32\config\systemprofile\AppData\Roaming\Adobe ... oznaczają, że siedzisz na Pulpicie innego konta (wbudowanego w system). Twój Pulpit nie jest ładowany, bo ścieżki są przekierowane. Poproszę o dodatkowy skan. Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Po infekcji zostały jeszcze szczątki, które należy usunąć. 1. Otwórz Notatnik i wklej w nim: 2013-08-14 02:00 - 2013-08-14 02:00 - 00000165 _____ C:\ProgramData\awbbvhfndhrskjyruar.reg 2013-08-14 02:00 - 2013-08-14 02:00 - 00000070 _____ C:\ProgramData\awbbvhfndhrskjyruar.bat 2013-08-11 12:51 - 2013-08-11 12:52 - 16247640 _____ C:\Users\Braszki\Downloads\.zip[1] HKLM-x32\...\Winlogon: [shell] C:\PROGRA~3\awbbvhfndhrskjyruar.bat [x ] () HKCU\...\Run: [EA Core] - "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent [x] Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S4 AdobeFlashPlayerUpdateSvc; C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [x] Task: {5C10DCA7-A78B-40FB-80DC-FB98B0DA2A50} - System32\Tasks\{5A1E4E8D-66FF-457B-8778-8E721066CF46} => C:\Program Files (x86)\Play\Symulator Smiglowcow Ratunkowych\SSR.exe No File Task: {B5CE7BDF-D108-45E1-845E-F87859CD39A6} - System32\Tasks\{EDF5E0E1-FBC0-4A5F-9F5D-A469F031D312} => C:\Program Files (x86)\Play\Symulator Smiglowcow Ratunkowych\SSR.exe No File Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Przechodząc do usuwania: 1. Otwórz Notatnik i wklej w nim: C:\ProgramData\eqocjhraoscgvqxhrsk.bat C:\ProgramData\eqocjhraoscgvqxhrsk.reg C:\Users\ANDRZE~1\AppData\Local\Temp\ksrhxqvgcsoarhjcoqe.bfg C:\Users\Andrzej Piekarski\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\eqocjhraoscgvqxhrsk.lnk C:\Users\Andrzej Piekarski\AppData\Roaming\OpenCandy C:\Users\Andrzej Piekarski\AppData\Roaming\ProgSense HKLM-x32\...\Winlogon: [shell] C:\PROGRA~3\eqocjhraoscgvqxhrsk.bat [x ] () HKCU\...\Run: [] - [x] HKLM-x32\...\Run: [] - [x] HKLM-x32\...\Run: [sweetpacks Communicator] - C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe [231768 2012-08-15] (SweetIM Technologies Ltd.) HKU\Default\...\RunOnce: [] - [x] HKU\Default User\...\RunOnce: [] - [x] HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=81bb102e-5c7c-468d-9fa0-81e85efee520&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=81bb102e-5c7c-468d-9fa0-81e85efee520&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=12&barid={DF79FE23-93C2-44FD-B452-DABE752AA2D0} SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=81bb102e-5c7c-468d-9fa0-81e85efee520&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} SearchScopes: HKLM-x32 - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=81bb102e-5c7c-468d-9fa0-81e85efee520&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DF79FE23-93C2-44FD-B452-DABE752AA2D0} SearchScopes: HKCU - DefaultScope {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=81bb102e-5c7c-468d-9fa0-81e85efee520&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=TJ&userid=81bb102e-5c7c-468d-9fa0-81e85efee520&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms} SearchScopes: HKCU - {89B55515-8372-49A5-AD72-90839A874530} URL = SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={DF79FE23-93C2-44FD-B452-DABE752AA2D0} BHO-x32: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKLM-x32 - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM-x32 - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Andrzej Piekarski\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Andrzej Piekarski\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx S2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1447728 2013-05-21] () Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system, blokada powinna zniknąć. 2. Usuń adware: - Przez Panel sterowania odinstaluj: IB Updater Service, Internet Explorer Toolbar 4.6 by SweetPacks, Update Manager for SweetPacks 1.1 . - W Google Chrome: W Rozszerzeniach odinstaluj SweetIM for Facebook, SweetPacks Chrome Extension. Poza tym, zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER. na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log z AdwCleaner. .

To jeszcze: skasuj obecny FRST z dysku, pobierz najnowszą wersję i zrób nowe raporty (zaznacz, by powstał plik Addition).

1. Porządki po narzędziach. To wszystko do usunięcia przez SHIFT+DEL: 2013-08-31 18:30 - 2013-08-31 18:30 - 00000000 ____D C:\Users\Darek\Desktop\Stare dane programu Firefox 2013-08-31 17:31 - 2013-08-31 18:15 - 00003850 _____ C:\Users\Darek\Desktop\FSS.txt 2013-08-31 17:26 - 2013-08-31 17:24 - 00358571 _____ (Farbar) C:\Users\Darek\Desktop\FSS.exe 2013-08-31 17:14 - 2013-08-31 15:13 - 01085067 _____ (Farbar) C:\Users\Darek\Desktop\FRST.exe 2013-08-31 16:05 - 2013-08-31 17:28 - 00000000 ____D C:\FRST 2013-08-31 14:37 - 2013-08-31 14:38 - 00000000 ____D C:\Users\Public\Desktop\CC Support 2013-08-31 14:19 - 2013-08-31 14:19 - 00001115 _____ C:\AdwCleaner[R3].txt 2013-08-31 14:03 - 2013-08-31 14:03 - 00004898 _____ C:\Users\Darek\Desktop\fix.bat 2013-08-21 20:26 - 2013-08-21 20:27 - 00000988 _____ C:\AdwCleaner[R2].txt 2013-08-18 21:07 - 2013-08-18 21:07 - 00005648 _____ C:\AdwCleaner[s3].txt 2013-08-18 19:38 - 2013-08-18 19:38 - 00000325 _____ C:\AdwCleaner[s2].txt 2013-08-18 19:36 - 2013-08-18 19:37 - 00005512 _____ C:\AdwCleaner[R1].txt Dodatkowo, odinstaluj w poprawny sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej: C:\ComboFix.exe /uninstall 2. Uruchom TFC - Temp Cleaner. 3. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Dzięki za plik. Mini poprawka na odpadki po odinstalowanych Kasperskym w Firefox oraz usunięcie zablokowanej obiektami ZeroAccess kwarantanny. 1. Przez SHIFT+DEL skasuj: C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak C:\Windows\MegaManager.INI 2. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw. .

OK. Ale to nie koniec jeszcze, nie uciekaj, przed nami kilka akcji. 1. Po pierwsze, prześlij mi do analizy skasowane zadanie malware. Plik C:\FRST\Quarantine\mxsletbzupd spakuj do ZIP i wyślij mi na PW link do paczki. 2. Po drugie, nie wygląda na to byś wykonał to: Po tym zrób nowy log FRST (bez Addition). .

Tak, licznik jest zdesynchronizowany. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zresetuj system. Podaj wyniki czy usterka naprawiła się. .

To oznacza uszkodzony Winsock. FRST przetwarzając wpis Bonjour zrobił to: HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005 => Key deleted successfully. Chyba nie zaktualizował licznika Num_Catalog_Entries. Poproszę o eksport klucza. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go .

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Files D:\Documents and Settings\Bartek\Dane aplikacji\cache.dat D:\Documents and Settings\Bartek\Dane aplikacji\cache.ini :Reg [HKEY_USERS\Bartek_ON_D\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. System powinien zostać odblokowany, więc loguj się normalnie do Windows i: 2. Zrób raporty z FRST (ma powstać też plik Addition). .

Drobne poprawki: 1. Nie wygląda na to, że to zostało wykonane: 2. W Google Chrome jest ustawiona wyszukiwarka adware (wygląda na robotę paska Pandy). Wejdź do Ustawień, w sekcji Wyszukiwanie klik w Zarządzaj wyszukiwarkami, na liście ustaw Google jako domyślną, po tym skasuj z listy blekko. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2013-08-15 18:10:33 | 000,000,000 | ---D | C] -- C:\WINNT\System32\Extensions [2013-08-15 18:10:31 | 000,000,000 | ---D | C] -- C:\WINNT\System32\searchplugins [2013-07-27 23:24:02 | 000,000,175 | ---- | C] () -- C:\WINNT\System32\drivers\aswVmm.sys.sum [2013-07-27 23:24:02 | 000,000,175 | ---- | C] () -- C:\WINNT\System32\drivers\aswSP.sys.sum [2013-07-27 23:24:02 | 000,000,175 | ---- | C] () -- C:\WINNT\System32\drivers\aswSnx.sys.sum [2013-08-27 11:24:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2012-10-07 17:23:57 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Common Files [2013-08-25 08:52:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\F-Secure [2013-08-30 20:17:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\log [2009-09-20 18:21:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\page [2010-06-13 00:15:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\tenchika\Dane aplikacji\ArcaVirMicroScan [2012-11-30 14:22:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\tenchika\Dane aplikacji\GoforFiles FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gwhsnmea.sys -- (zgwhsnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gwhsmdm.sys -- (zgwhsmdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\gwhsdiag.sys -- (zgwhsdiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter_hs.sys -- (massfilter_hs) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras). .

No nie sądzę, że odznaczyłeś ukrywanie wszystkich plików. Są dwie opcje: Pokaż ukryte pliki i foldery + Ukryj chronione pliki systemu operacyjnego. Pierwsza nic nie pokaże, to wyłączenie tej drugiej ujawnia obiekty ukryte przez HS. Nie wiem dlaczego wcześniej był problem z usuwaniem. Teraz gładko się wykonało. Kolejne działania: 1. Ręcznie pokasuj przez SHIFT+DEL z urządzenia śmieci, bo widzę tam jakieś bełkotliwe foldery. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, odinstaluj USBFix. 3. Odinstaluj stare Java i Adobe: ==================== Installed Programs ======================= Adobe Reader 9.5.5 - Polish (x32 Version: 9.5.5) Adobe Shockwave Player 12.0 (x32 Version: 12.0.2.122) Java™ 6 Update 30 (64-bit) (Version: 6.0.300) Java™ 6 Update 31 (x32 Version: 6.0.310) Java™ SE Development Kit 6 Update 29 (64-bit) (Version: 1.6.0.290) 4. Uruchom TFC - Temp Cleaner. 5. Wyczyść foldery Przywracania systemu: KLIK. .

Oczywiście, że wszystko jest jak było, przecież mówiłam, że FRST nic nie wykonał na urządzeniu (wszędzie błędy). A foldery się nie pojawiły, cały czas były (mają atrybuty HS = ukryty systemowy), tylko przestawiła Ci się opcja Ukryj chronione pliki systemu operacyjnego umożliwiająca ich zobaczenie. Kolejne podejście: 1. Zakładam, że urządzenie jest nadal widzialne pod literą M:. Otwórz Notatnik i wklej w nim: M:\*.lnk M:\$RECYCLE.BIN M:\RECYCLER CMD: attrib /d /s -s -h M:\* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan USBFix z opcji Listing. Dołącz plik fixlog.txt. .