picasso

Otwórz plik "Diagnostic report" i zobacz jaka sieczka w środku ... Nieaktywną usługę PlugPlay można wykluczyć. Raport OTL pokazuje ją jako czynną: SRV - [2009-04-11 00:28:26 | 000,222,720 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\umpnpmgr.dll -- (PlugPlay) Nasuwa się jedno z tych: brak uprawnień (i to może być konsekwencja infekcji ZA) lub uszkodzone komponenty systemowe. Zrób kopię rejestru za pomocą RegBack. Z kopii wybierz plik SYSTEM, zapakuj do ZIP i shostuj gdzieś podając tu link. .

Tylko drobne poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHDS721010DLE630_MSK5215H228L8G228L8GX&ts=1372886857 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=HitachiXHDS721010DLE630_MSK5215H228L8G228L8GX&ts=1372886857 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Rafał\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx Task: {834DF8FF-314D-4398-BB0C-1B985A6D50D5} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe No File Task: {8956D86F-2D5B-47FB-B54B-C2C839DFD51A} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File Task: {8EF175E4-F378-4A3F-B725-7332AB1FF0B0} - \Omiga Plus RunAsStdUser No Task File Task: {D2C60F3B-880C-4872-8354-A2AE398DEAB5} - System32\Tasks\0 => c:\program files\internet explorer\iexplore.exe [2013-07-26] (Microsoft Corporation) 2013-08-01 22:29 - 2013-08-21 16:37 - 00000064 _____ C:\windows\SysWOW64\rp_stats.dat 2013-08-01 22:29 - 2013-08-21 16:37 - 00000044 _____ C:\windows\SysWOW64\rp_rules.dat HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 HKLM-x32\...\Run: [] - [x] AppInit_DLLs-x32: [0 ] () Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKCU\Software\Mozilla" /f Reg: reg delete "HKCU\Software\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Mozilla" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla.org" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\MozillaPlugins" /f CMD: rd /s /q C:\Users\Rafał\AppData\Roaming\mozilla Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

SP1 został opublikowany ponad 2 lata temu (w 2011). Link do pełnej paczki w Centrum pobierania w przyklejonym: KLIK. Twoje pytanie mi sugeruje, że SP1 nie pokazuje Ci się w Windows Update jako aktualizacja do pobrania? Na wszelki wypadek podsyłam artykuł MS wyjaśniający potencjane przyczyny takiego stanu rzeczy: KB2498452. .

Zadanie pomyślnie wykonane. Przejdź do tej części: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zrób pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Tak, ponowne odpalenie skryptu FRST mija się z celem. Wg najnowszego FRST wszystko wykonane. Tylko drobne poprawki: 1. Zresetuj cache wtyczek Google Chrome. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Wszystko zrobione. Poprawki: 1. Google Chrome ma uszkodzone preferencje, na dodatek w folderze nadal szczątki adware. Proponuję odinstalować Google Chome. Przy deinstalacji potwierdź usuwanie danych osobistych. Upewnij się, że zniknął folder C:\Users\Agata\AppData\Local\Google\Chrome. 2. Odinstaluj starę wersję Avast. W trybie awaryjnym popraw narzędziem Avast Uninstall Utility. Zainstaluj najnowszy Avast. 3. Ponownie wyczyść pliki tymczasowe narzędziem TFC. 4. Zrób nowy log FRST (bez Addition). .

A czy podczas / po deinstalacji usuwałeś folder C:\Users\ŁukiAsia\AppData\Local\Google\Chrome z preferencjami? Poza tym, czy Google Chrome ma włączoną synchronizację z serwerem? .

HijackThis kompletnie zbędny (usuwam). OTL i FRST są znacznie bardziej zaawansowane, pokazują wszystko co HijackThis i jeszcze więcej i już wszystko wiadome. 1. CCleaner także w ogóle nie wyczyścił widzianych lokalizacji tymczasowych. Zastartuj komputer w Trybie awaryjnym. Wejdź do folderu C:\Temp i przez SHIFT+DEL skasuj tyle ile zdołasz. 2. I jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: C:\WINDOWS\Tasks\YourFile DownloaderUpdate.job SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = Toolbar: HKCU -No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File Toolbar: HKCU -No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File HKU\Default User\...\RunOnce: [second run install] - C:\INSTALL\2ndrun.bat [x] Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Hmmm, TFC powinien ruszyć to co było w logu. Z tym że masz przekierowany folder Temp w atypową lokalizację. Mimo czyszczenia CCleaner poproszę jednak o jeszcze jeden log z FRST (bez Addition). .

1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [Denzi] - C:\Program Files\Denzi\Denzi.exe [x] HKCU\...\Winlogon: [shell] explorer.exe,C:\Documents and Settings\Ja\Dane aplikacji\data.dat [77824 2010-12-09] () C:\Documents and Settings\Ja\Dane aplikacji\data.dat C:\Documents and Settings\Ja\Dane aplikacji\settings.ini C:\Documents and Settings\All Users\hash.dat C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Barowse2sAvvee C:\Documents and Settings\All Users\Dane aplikacji\Browse2seavei C:\Documents and Settings\All Users\Dane aplikacji\Searcch-NeewaTabb C:\Documents and Settings\All Users\Dane aplikacji\SearrcaH-iNewTyabb C:\Documents and Settings\All Users\Dane aplikacji\SoftSafe C:\Documents and Settings\Ja\Dane aplikacji\Babylon C:\Documents and Settings\Ja\Dane aplikacji\DealPly C:\Documents and Settings\Ja\Dane aplikacji\GoforFiles C:\Documents and Settings\Ja\Dane aplikacji\searchresultstb C:\Documents and Settings\Ja\Dane aplikacji\Yontoo C:\Program Files\GoforFiles Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Ja\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\Go for FilesUpdate.job => C:\Program Files\GoforFiles\GFFUpdater.exe Task: C:\WINDOWS\Tasks\GoforFilesUpdate.job => C:\Program Files\GoforFiles\GFFUpdater.exe SearchScopes: HKLM - DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=394&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5019005253744334&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=394&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5019005253744334&q={searchTerms} SearchScopes: HKLM - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.helpmefindyour.info/?l=1&q={searchTerms}&pid=625&r=2013/04/16&hid=541650814&lg=EN&cc=PL SearchScopes: HKCU - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.helpmefindyour.info/?l=1&q={searchTerms}&pid=625&r=2013/04/16&hid=541650814&lg=EN&cc=PL SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119293&tt=gc_190513_215&babsrc=SP_ss&mntrId=7847001D7D9F02A1 SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=394&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=5019005253744334&q={searchTerms} SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.helpmefindyour.info/?l=1&q={searchTerms}&pid=625&r=2013/04/16&hid=541650814&lg=EN&cc=PL FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml CHR HKLM\...\Chrome\Extension: [kiplfnciaokpcennlkldkdaeaaomamof] - C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Torch\Plugins\TorchPlugin.crx S3 vtany; \??\C:\WINDOWS\vtany.sys [x] S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zaloguj się w Trybie normalnym. Odinstaluj adware: - Przez Panel sterowania: Barowse2sAvvee, BrowseToSave 1.74, iLivid - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz log z AdwCleaner. .

AdwCleaner to przypadek. Pewnie pierwszy reset po użyciu GMER nastąpił. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Został zadany TFC Temp Cleaner. ilus czy Ty go w ogóle użyłaś? .

W Koszach C i D jest zablokowane malware. Kolejne podejście. Otwórz Notatnik i wklej w nim: Unlock: C:\RECYCLER Unlock: D:\RECYCLER CMD: rd /s /q C:\RECYCLER CMD: rd /s /q D:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw ten plik. .

W GMER widać załadowane adware browserprotect.dll, ale w logach ogólnych nie ma punktu ładowania tego modułu. Wyczyść ogólnie adware: 1. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy log FRST (bez Addition). Dołącz log utworzony przez AdwCleaner. .

Wszystko wykonane. Jeszcze prewencyjnie skasowanie Koszy na wszystkich dyskach. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f CMD: rd /s /q C:\RECYCLER CMD: rd /s /q D:\RECYCLER CMD: rd /s /q F:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw ten plik. .

Kolejne akcje: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze skan w Malwarebytes Anti-Malware. Przedstaw raport, jeśli coś zostanie wykryte. Jeśli nic, raport zbędny. .

Nie szkodzi. Leć dalej. AdwCleaner i tak usunie resztki, których nie da się skosić Panelem sterowania.

W ostatnim logu widziałam uruchomione komponenty MSSE: ========================== Services (Whitelisted) ================= R2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [20472 2012-09-12] (Microsoft Corporation) R3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [287824 2012-09-12] (Microsoft Corporation) 1. Sprawdź czy uruchamia się kreator deinstalacji. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files\Microsoft Security Client\Setup.exe" /x 2. Narzędziem Microsoftu usuń "Microsoft Security Client" (to MSSE) + language pack programu. 3. Przejdź w Tryb awaryjny Windows i zmień nazwę katalogu C:\Windows\SoftwareDistribution na C:\Windows\SoftwareDistribution.old. 4. Przejdź w Tryb normalny, uruchom Windows Update i powiedz mi czy łata nadal chce się instalować. .

Uruchom plik ...\bin\inf-wizard.exe. A dokładne szczehgóły instalacyjne są na podanej przeze mnie stronie (opisy Filter Driver Installation + Device Driver Installation). .

Podałam Ci link: KLIK. Pobieranie paczki libusb-win32-releases > 1.2.6.0 > libusb-win32-bin-1.2.6.0.zip. I wygląda na to, że już pobrałeś: ==================== One Month Created Files and Folders ======== 2013-08-27 15:20 - 2013-08-27 15:20 - 00023552 _____ C:\Users\Michał 2\Documents\installer_x86.exe 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\x86 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\license 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\ia64 2013-08-27 15:20 - 2013-08-27 15:20 - 00000000 ____D C:\Users\Michał 2\Documents\amd64 2013-08-27 15:19 - 2013-08-27 15:26 - 00913186 _____ C:\Users\Michał 2\Desktop\libusb-win32-bin-1.2.6.0.zip 2013-08-27 15:19 - 2013-08-27 15:19 - 00000000 ____D C:\Users\Michał 2\Desktop\libusb-win32-bin-1.2.6.0 Który plik próbowałeś uruchamiać? Możesz. Przy deinstalacji odpowiedz twierdząco przypytaniu o usuwanie danych personalnych. .

W tym systemie działa usługa infekcji. Akcja: 1. Otwórz Notatnik i wklej w nim: S2 zveylomly; C:\WINDOWS\system32\zprhd.dll [167324 2009-03-21] () NETSVC: zveylomly -> C:\WINDOWS\system32\zprhd.dll () R2 winzipersvc; C:\Program Files\WinZipper\winzipersvc.exe [424104 2013-08-23] (Taiwan Shui Mu Chih Ching Technology Limited.) R2 WsysSvc; C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.) HKLM\...\Command Processor: HKCU\...\Run: [lollipop_08271140] - c:\documents and settings\slawk\ustawienia lokalne\dane aplikacji\lollipop\lollipop_08271140.exe [2582528 2013-08-27] () MountPoints2: {1fe642a9-535f-11e2-9320-000d9d9b940e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn MountPoints2: {2d4c7520-d89f-11e0-9062-000d9d9b940e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn MountPoints2: {e9c8ca9c-3ae9-11e0-af99-806d6172696f} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn MountPoints2: {febf090e-0a4e-11e3-944d-000d9d9b940e} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RUNdLl32.ExE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1376912840 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1376912840 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1376912840 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD400JB-00FMA0_WD-WCAJ92715947&ts=1377249650 C:\WINDOWS\system32\zprhd.dll C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\eSafe C:\Documents and Settings\Slawk\Dane aplikacji\eIntaller C:\autorun.inf D:\autorun.inf F:\autorun.inf CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj Bundled software uninstaller, Lollipop, WinZipper 3. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt oraz log z AdwCleaner. .

Być może to skutek usunięcia tego sterownika (był oznaczony jako "not found"): S3 libusb0; system32\drivers\libusb0.sys [x] I widzę że masz zainstalowaną starą wersję LibUSB-Win32-0.1.10.1 (sterownik z 2005). Na dodatek być może z tego powodu jest wymuszony Tryb testu w BCD: testsigning: ==> Check for possible unsigned rootkit driver Posiadasz wersję niekompatybilną z Windows x64. Na stronie domowej (KLIK) jest napisane: "Vista/7/2008/2008R2 64 bit are supported from version 1.2.0.0 since a Microsoft KMCS accepted digital signature is embedded in the kernel driver libusb0.sys. " 1. Otwórz Notatnik i wklej w nim: Unlock: C:\$Recycle.Bin\S-1-5-21-1751451117-4207112011-2180288902-1003\$efcb0b5f72f3c652314cc0e694d184fc CMD: rd /s /q C:\$Recycle.Bin DPF: HKLM-x32 {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab DPF: HKLM-x32 {644E432F-49D3-41A1-8DD5-E099162EEEC5} http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Preferencje Google Chrome uległy uszkodzeniu. Zresetuj kilka obszarów: - Reset cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. - Reset wyszukiwarek. Wejdź do ustawień do sekcji zarządzanie wyszukiwarkami. Poprzestawiaj kilka razy domyślną, przełączając między Google a dowolną inną. Ostatecznie ustaw Google jako domyślną. 3. Odinstaluj LibUSB-Win32-0.1.10.1, zainstaluj wersję kompatybilną z Twoim systemem. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy log z FRST (bez Addition). .

Sterowniki wróciły do normy. Możemy przejść do usuwania pozostałych wpisów i adware. Akcja: 1. Przez Panel sterowania odinstaluj: Babylon Chrome Toolbar, BrowserProtect, BrowseToSave 1.74, DealPly, Delta Chrome Toolbar, Delta toolbar, EasyLife Gadget, EasyLife Search 1.74, EasylifeGadget, IB Updater 2.0.0.578, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.6 by SweetPacks, NCDownloader, OptimizerPro, Qtrax Player, Search Assistant WebSearch 1.74, Search-NewTab, SweetPacks bundle uninstaller, uTorrentControl_v2 Toolbar 2. Wyczyść przeglądarki: - Google Chrome: wejdź do Rozszerzeń i odinstaluj wszystko co się powtarza na w/w liście. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, z listy skasuj śmieciowe wyszukiwarki. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Otwórz Notatnik i wklej w nim: testsigning: ==> Check for possible unsigned rootkit driver HKCU\...\Run: [wurbeafynqug] - C:\Users\Agata\wurbeafynqug.exe [x] HKCU\...\Run: [gearupicjudu] - c:\users\agata\gearupicjudu.exe [x] HKCU\...\Run: [taetar] - C:\Users\Agata\taetar.exe /z [x] HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 AppInit_DLLs-x32: c:\progra~3\browse~1\261519~1.190\{c16c1~1\browse~1.dll [97280 2009-07-14] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119828&tt=gc_&babsrc=HP_ss_gin2g&mntrId=64D3FE85DE175309 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=Hitachi_HTS547575A9E384_J2140059FZ1L8AFZ1L8AX&ts=1354039196 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://search.easylifeapp.com/?pid=388&src=ie1&r=2013/04/04&hid=2974714118&lg=EN&cc=PL URLSearchHook: (No Name) - {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No File URLSearchHook: (No Name) - {EEE6C35D-6118-11DC-9C72-001320C79847} - No File SearchScopes: HKLM-x32 - DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=499&r=2013/02/21&hid=2974714118&lg=EN&cc=PL SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119828&tt=gc_&babsrc=SP_ss_gin2g&mntrId=64D3FE85DE175309 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119828&tt=gc_&babsrc=SP_ss_gin2g&mntrId=64D3FE85DE175309 SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=499&r=2013/02/21&hid=2974714118&lg=EN&cc=PL SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6Oz15arp62&i=26 BHO-x32: DealPly Shopping - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - C:\Program Files (x86)\DealPly\DealPlyIE.dll No File BHO-x32: Search-NewTab - {F3CFFBA4-B266-B9C1-73AA-24DE97189BDC} - C:\ProgramData\Search-NewTab\5126509ddb387.dll No File Toolbar: HKLM-x32 - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU - No Name - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No File Toolbar: HKCU - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF Plugin-x32: @tools.dpliveupdate.com/DealPlyLive Update;version=3 - C:\Program Files (x86)\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.dpliveupdate.com/DealPlyLive Update;version=9 - C:\Program Files (x86)\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll No File FF HKLM\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] C:\Program Files\IB Updater\Firefox FF HKLM\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [{336D0C35-8A85-403a-B9D2-65C292C39087}] C:\Program Files\IB Updater\Firefox FF HKLM-x32\...\Firefox\Extensions: [{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}] C:\Program Files\IB Updater\Firefox CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\Agata\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx CHR HKLM-x32\...\Chrome\Extension: [ejnmnhkgiphcaeefbaooconkceehicfi] - C:\Program Files (x86)\DealPly\DealPly.crx CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Agata\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx Task: {31B58637-C8F1-4E04-97A6-2B22985B1806} - System32\Tasks\DealPlyUpdate => C:\Program No File Task: {3AD852A0-0B1E-4125-B53D-F071CB734F92} - System32\Tasks\EPUpdater => C:\Users\Agata\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File Task: {40209651-94D2-43E8-9B84-3DFBA49C501D} - System32\Tasks\schedule!3036567561 => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe No File Task: {6D99A489-213D-4A87-9807-AD05F7F2FDBC} - System32\Tasks\schedule!2844174011 => C:\ProgramData\BetterSoft\EasylifeGadget Updater\EasylifeGadget Updater.exe No File Task: {746BE0D4-1FC7-4C32-B9CB-BD6222AFFADF} - System32\Tasks\DealPlyLiveUpdateTaskMachineUA => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe No File Task: {A9A637A7-4B87-44D9-B96F-4D80CE1E633F} - System32\Tasks\DealPlyLiveUpdateTaskMachineCore => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe No File Task: C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x] S2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [x] S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [x] S1 htxcencb; \??\C:\Windows\system32\drivers\htxcencb.sys [x] C:\ProgramData\SummerSoft C:\ProgramData\X6XgXn37 C:\Users\Agata\keuxii.exe C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antivirus Security Pro C:\Users\Agata\AppData\Roaming\sp_data.sys C:\Users\Agata\AppData\Local\MFAData C:\Users\Agata\AppData\Local\Avg2013 C:\ProgramData\MFAData Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy log FRST (bez Addition). Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. .

1. Uruchom TDSSKiller i tym razem dla wyniku Rootkit.Win32.Necurs.gen wybierz akcję Delete. Natomiast nie ruszaj wyników o stanie LockedFile.Multi.Generic, wszędzie ma być Skip! To prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system, by zatwierdzić usuwanie. 2. Podaj log utworzony przez TDSSKiller. Zrób nowy skan z FRST (bez Addition). .

Dzięki za prefs.js. Akcje pomyślnie wykonane. Kończąc ten wątek: 1. Porządki po narzędziach. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Documents and Settings\jacek_\Pulpit\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji jeszcze te aplikacje: ==================== Installed Programs ======================= Adobe Flash Player 10 ActiveX (Version: 10.1.102.64) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.7.700.202) ----> wtyczka dla Firefox Adobe Reader 9.5.0 - Polish (Version: 9.5.0) Microsoft Office Professional Plus 2010 (Version: 14.0.4763.1000) ----> instalacja SP1 Czyli problem samoczynnie ustał? .

Visual na razie zostawiam na potem, nie przemyślałam sprawy. Są gagatki adware w Firefox, skany FRST/OTL tego nie widzą. 1. Zamknij Firefox. 2. Przez SHIFT+DEL skasuj pliki: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\delta-homes.xml C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\qvo6.xml 3. Otwórz Firefox i sprawdź czy lista wyszukiwarek jest w stanie domyślnym. .