picasso

Czyli kończymy: 1. Zaktualizuj wszystkie przeglądarki: KLIK. Internet Explorer Version 9 ==================== Installed Programs ======================= Google Chrome (Version: 28.0.1500.95) Mozilla Firefox 23.0 (x86 pl) (Version: 23.0) 2. Prewencyjnie zmień hasła logowania w serwisach (była infekcja o predyspozycjach ich łowienia). .

Sekcja sterowników jest w drastycznym stanie, lock rootkitem Necurs. Podaj też odczyt z Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw wszędzie Skip i przedstaw log utworzony na C:\. .

Może spróbuj jednak zacząć od wywalenia ESET Smart Security, by go całkowicie wykluczyć jako przyczynę problemów. Jeśli normalna deinstalacja nie będzie możliwa, wejdź w Tryb awaryjny i zastosuj ESET Uninstaller. Efekt jest charakterystyczny dla utraty dostępu do konta. System tworzy więc repliki o antykolizyjnych nazwach (doklejając nazwę komputera i liczby). .

Potwierdzam wykonanie zadania. Nie wiem. Czy nie było aby jakiegoś brutalnego resetu przyciskiem bądź w trakcie wykonywania aktualizacji Windows? .

W kwestii listy wyszukiwarek: żadnych niedomyślnych plików XML w skanie nie widać. Niemniej przed kasacją pliku search.json mimo wszystko pokaż mi listing zawartości folderów. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins Folder: C:\Users\Dziabong\AppData\Roaming\Mozilla\Firefox\Profiles\rtsmphqw.default\searchplugins Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw. Rozumiem, że na liście nie ma nigdzie łaty o oznaczeniu KB2538242? To może z innej strony: odinstaluj wszystko co związane z Microsoft Visual C++ 2005 Redistributable, po tym z Windows Update uzupełnij komplet od początku. .

Ja tu infekcji nie widzę, ale: Na wszelki wypadek sprawdź co powie Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i podaj log utworzony na C:\. Jeśli nic nie wykryje, log zbędny. Application errors: ================== Error: (08/27/2013 10:30:36 AM) (Source: .NET Runtime) (User: ) Description: .NET Runtime version : 2.0.50727.3649 - Application ErrorApplication has generated an exception that could not be handled. Process ID=0x294 (660), Thread ID=0x298 (664). Click OK to terminate the application. Click CANCEL to debug the application. Error: (08/27/2013 10:09:54 AM) (Source: Windows Update Agent) (User: ) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80070005: Aktualizacja programu .NET Framework 3.5 z dodatkiem Service Pack 1 dla rozszerzenia .NET Framework Assistant 1.0 x86 (KB963707). 1. Po pierwsze: problemy może tworzyć ESET Smart Security. Całkowicie wyłącz wszystkie osłony + restart i sprawdź jak to wygląda. I tak najlepszy test to całkowita deinstalacja. 2. Widzę, że pojawia się tu odnośnik do .NET Framework Assistant 1.0 x86. To nie jest potrzebne i spokojnie można wywalić (KB963707). ----> Otwórz Notatnik i wklej w nim: FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw. ----> Uruchom Firefox, w pasku adresów wklep about:config, wyszukaj preferencję general.useragent.extra.microsoftdotnet i z prawokliku zresetuj. .

Nowe zasady działu, obowiązkowe są raporty z FRST. Śmietnisko adware ogromne. Akcja: 1. Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, BrowserDefender, Bundled software uninstaller, Delta toolbar, Delta Chrome Toolbar, Desk 365, Dll-Files Fixer, Download Updater (AOL LLC), ExpressFiles, FTDownloader, FTdownloader V4.0, Hola Chrome Toolbar, IB Updater 2.0.0.578, IB Updater Service, Incredibar Toolbar on IE, Lollipop, Movies Toolbar for Chrome (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), Norton Security Scan, Optimizer Pro v3.0, PiccShare, Search Protect by conduit, SpeedUpMyPC, Update for Video Converter, Web Cake 3.00, Winamp Toolbar, Video Converter Packages, WinZipper 2. Wyczyść przeglądarki: - Google Chrome: wejdź do Rozszerzeń i odionstaluj wszystko co się powtarza z w/w listy. Wejdź do zarządzania wyszukiwarkami i ustaw Google jako domyślną, śmieci z listy skasuj. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać też Addition). Dołącz log utworzony przez AdwCleaner. .

1. Sprawdź spójność repozytorium WMI. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator > wpisz komendę winmgmt /salvagerepository 2. Przy braku rezultatów przeinstaluj komponenty Avira posługując się Panelem sterowania. .

Zrobione. Idziemy dalej: 1. W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery. C:\FRST C:\Users\Konrad\Desktop\Stare dane programu Firefox 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zrób pełne skanowanie Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

W Harmonogramie zadań (taskschd.msc): Utwórz zadanie > opcja "Uruchom z najwyższymi uprawnieniami".

Proszę wrócić do zasad działu (KLIK). - Log z OTL źle zrobiony. Opcje Pliki zmodyfikowane / utworzone w przeciągu ustawiłeś na Wszystkie, a ma być Młodsze niż. Log kuriozalnie wielki i obcięty. Do wglądu poprawna konfiguracja: OTL - Obowiązkowe są także raporty z FRST i GMER. Zrób wszystkie logi jak należy. Logi proszę w załącznikach forum a nie na kiepskim wklejto. .

Temat przenoszę do działu Windows. Oznak infekcji brak. Tylko drobne działania. Patrz do spoilera. W tym przypadku obstawiam jako przyczynę właśnie KIS 2013. Dodatkowa sprawa, sterowniki Kasperskiego filtrują mysz i klawiaturę: ==================== Drivers (Whitelisted) ==================== R3 klkbdflt; C:\Windows\System32\DRIVERS\klkbdflt.sys [29016 2013-05-18] (Kaspersky Lab) R3 klmouflt; C:\Windows\System32\DRIVERS\klmouflt.sys [29528 2013-05-18] (Kaspersky Lab) Zrób test wstępny: zdeaktywuj całą osłonę rezydentną KIS, zresetuj system, podaj wyniki czy jest jakaś widoczna poiprawa. .

Uszkodzeń sporo. Analiza raportu SFC wymaga czasu. Nie jestem w stanie go szybko precyzyjnie sprawdzić. Ale w związku z tym, że są odczyty naruszonych manifestów dodaj jeszcze jeden log: Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Powstanie plik C:\Windows\Logs\CBS\checksur.log. Dołącz go. .

1. Pobierz materiały: narzędzie FRST oraz prawidłowy plik (KLIK). Plik umieść w ręcznie utworzonym katalogu C:\TMP. 2. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\TMP\WindowsCodecs.dll C:\Windows\System32\WindowsCodecs.dll CMD: copy /y C:\TMP\WindowsCodecs.dll C:\Windows\winsxs\amd64_microsoft-windows-windowscodec_31bf3856ad364e35_7.1.7601.18135_none_e6037b4142b3c749\WindowsCodecs.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 3. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > uruchom zgodnie z opisem FRST i wybierz opcję Fix. Powstanie plik fixlog.txt. 4. Restart do Windows. Zaprezentuj plik fixlog.txt. .

Poprawki po tym co robili na innym forum: 1. Licensing Data--> Błąd CScript: Nie można znaleźć aparatu skryptów "VBScript" dla skryptu "C:\Windows\system32\slmgr.vbs". Na początek przerejestruj pliki silnika skryptowego narzędziem Fix-it z KB949140 (Metoda 2), po tym zresetuj system i zrób nowy log z MGADiag. 2. Error: (08/20/2013 06:18:16 PM) (Source: Software Licensing Service) (User: ) Description: Nie można zebrać informacji o sprzęcie. hr=0x8007000D Sprawdź czy jesteś w stanie uruchomić Menedżer urządzeń i czy okno nie wyświetla się przypadkiem jako puste. .

Opisz w jaki sposób "wrzuciłeś go do Autostartu", czyli co właściwie umieściłeś i w jaki sposób. - Wyświetlanie CoreTemp.ini insynuuje, że do folderu Autostart wstawiłeś wszystko jak leci. - Pytanie o zezwolnie na dostęp oznacza brak uprawnień. Ominięciem problemu jest uruchamianie programu nie z folderu Autostart, tylko prrzez Harmonogram zadań z zaznaczoną opcją uprawnień administracyjnych. .

Jakoś nie zauważyłam tego posta... Komentując: Bieda z RAM: 511,23 Mb Total Physical Memory | 327,89 Mb Available Physical Memory | 64,14% Memory free Największe efekty miałoby dorzucenie więcej pamięci, o ile to w ogóle opłacalne w "starym komputerze". Opis preferencji na MozillaZine: KLIK. I owszem, to może mieć skutki uboczne na niektórych starawych stronach. Po prostu wypróbuj samodzielnie jak to w praktyce wygląda. Nieużywane osłony można odinstalować, ale czy będą jakieś widoczne zyski, to trudno mi powiedzieć. .

Dla pewności przeskanuj na VirusTotal wszystkie inne pliki wykonywalne (EXE / SYS / DLL) z paczki. Jeśli na innych plikach VirusTotal nic nie wykryje, to nasuwa się przypuszczenie, że problem stanowią tylko te komponenty 9x, które można usunąć jako i tak zbędne.

"Uwaga! program ma plik szpiegujący Win32/OpenCandy! jak zwykle to jest częste i mało który antywirus to wykrywa , po pobraniu przeskanujcie plik na wirus total ." Eeee. To tylko adware (reklamiarz) OpenCandy. Wykrywanie: specjalizowany AdwCleaner, ew. antywirus z funkcją detekcji adware (nie wszystkie to adresują). I w raportach OTL/FRST będą widoczne komponenty (folder w Roaming + zadanie w Harmonogramie Windows). .

AdwCleaner wykonał akcję. 1. Małe poprawki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{94C03100-1C8D-41EE-BE08-FA75B59DADD6}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Porównaj co wymaga aktualizacji: KLIK. Jak mówię, nic nie jestem w stanie wykoncypować z logów. Czy dostęp masz nadal zablokowany? .

Dla porządku stare logi przekleiłam do pierwszego posta. Wszystko zrobione. Zakończ temat: 1. Drobne poprawki: - Otwórz Google Chrome, w ustawieniach wejdź do zarządzania wyszukiwarkami, ustaw jako domyślną Google, po tym skasuj z listy . - Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - HKLM\Software\MozillaPlugins\@Nero.com/KM: C:\PROGRA~1\COMMON~1\Nero\BROWSE~1\NPBROW~1.DLL (Nero AG) [2012-09-08 17:28:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Anvisoft [2013-08-22 18:05:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\R.J.GURYLOWIE\Dane aplikacji\Anvisoft [2012-06-14 12:01:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\R.J.GURYLOWIE\Dane aplikacji\IObit [2012-07-11 19:28:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\R.J.GURYLOWIE\Dane aplikacji\temp Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Adobe Reader, Java, Silverlight, Office 2007 (instalacja SP3) i Gadu: KLIK / KLIK. Wersje widziane jako zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22 "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 5.0.61118.0 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.7) - Polish "ENTERPRISE" = Microsoft Office Enterprise 2007 "Gadu-Gadu 10" = Gadu-Gadu 10 .

W systemie działa rootkit ZeroAccess uruchamiany z Kosza oraz kupa adware. Przeprowadź następujące działania: 1. Na początek poprawne deinstalacje adware: - Przez Panel sterowania odinstaluj: BrowserDefender, Bundled software uninstaller, Delta Chrome Toolbar, Delta toolbar, NCDownloader, SaveShare 1.74, Search Assistant WebSearch 1.74, SearchNewTab, Web-Cake 3.00, WinZipper. - Otwórz Google Chrome i w Rozszerzeniach odinstaluj wszystko co się powtarza z w/w listy. 2. Otwórz Notatnik i wklej w nim: HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] C:\$Recycle.Bin\S-1-5-21-1751451117-4207112011-2180288902-1003\$efcb0b5f72f3c652314cc0e694d184fc\n. ATTENTION! ====> ZeroAccess? HKCU\...\Run: [NTRedirect] - C:\Users\Michał 2\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=44BC000074040A00&affID=124001&tsp=4977 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 URLSearchHook: (No Name) - {539F76FD-084E-4858-86D5-62F02F54AE86} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.simplesearches.info/?l=1&q={searchTerms}&pid=512&r=2013/08/21&hid=1590935762&lg=EN&cc=PL&unqvl=31 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=44BC000074040A00&affID=124001&tsp=4977 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=SAMSUNGXHD502HI_S1VZJ90SA71429&ts=1377082787 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.simplesearches.info/?l=1&q={searchTerms}&pid=512&r=2013/08/21&hid=1590935762&lg=EN&cc=PL&unqvl=31 BHO-x32: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files (x86)\Tepfel\WebCakeIEClient.dll No File BHO-x32: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions) FF Plugin-x32: @Google.com/GoogleEarthPlugin - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=3 - C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File FF Plugin-x32: @tools.google.com/Google Update;version=9 - C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\MICHA~1\AppData\Local\Temp\crx3AD.tmp CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Michał 2\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM-x32\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files (x86)\Tepfel\WebCakeLayers.crx CHR HKLM-x32\...\Chrome\Extension: [pkipkeaammekcalmjnnmanhagiokmoof] - C:\ProgramData\Download and Sa\pkipkeaammekcalmjnnmanhagiokmoof.crx Task: {21BA73D9-A76A-47FF-AA40-706D264EDF2C} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe No File Task: {388A977C-EF59-40F9-8C7A-D1DE87CEC82B} - System32\Tasks\EPUpdater => C:\Users\Michał 2\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {4B49D348-20AB-447A-8BE0-97D2164E1279} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe No File R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [x] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [x] S4 HiPatchService; F:\Program Files\Hi-Rez Studios\HiPatchService.exe [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 libusb0; system32\drivers\libusb0.sys [x] S1 prodrv06; \SystemRoot\System32\drivers\prodrv06.sys [x] S0 prohlp02; System32\drivers\prohlp02.sys [x] S0 prosync1; System32\drivers\prosync1.sys [x] U2 SBKUPNT; S0 sfhlp01; System32\drivers\sfhlp01.sys [x] C:\ProgramData\eSafe C:\Windows\SysWOW64\Extensions C:\Windows\SysWOW64\searchplugins C:\Program Files (x86)\Optimizer Pro C:\Users\Michał 2\AppData\Roaming\Babylon C:\Users\Michał 2\AppData\Roaming\BabSolution C:\Users\Michał 2\AppData\Local\Minibar C:\Users\Michał 2\AppData\Local\avgchrome C:\ProgramData\Babylon C:\Program Files (x86)\Minibar CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T CMD: rd /s /q C:\$Recycle.Bin Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL (bez Extras) + FRST (bez Addition). Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. .

Nie widzę tu oznak infekcji trojanami, ale jest adware Conduit (wprowadzone instalacją BS Player). Skopiuj na Pulpit ten plik preferencji Firefox: C:\Documents and Settings\jacek_\Dane aplikacji\Mozilla\Firefox\Profiles\it7vqg3w.default\prefs.js Zapakuj do ZIP, shostuj gdzieś i wyślij na PW link do paczki. Dopiero po tym przejdź do usuwania adware: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Uruchom AdwCleaner i zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Uruchom TFC - Temp Cleaner. 4. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [KernelFaultCheck] - %systemroot%\system32\dumprep 0 -k [x] HKLM\...\Command Processor: S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x] S3 SNPSTD3; system32\DRIVERS\snpstd3.sys [x] S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [x] Folder: C:\Documents and Settings\All Users\Dane aplikacji\Logs Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 5. Zaktualizuj systemowy Internet Explorer (to istotne mimo używania innej przeglądarki): KLIK. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt log AdwCleaner. Plik bitool.dll w Temp wygląda na adware będące pochodną integracji sponsora SOMOTO w instalatorze DAEMON Tools. Instalki DAEMON Tools nie są czyste. Na chwilę obecną nie jestem w stanie poradzić nic innego jak to co już baza ESET opisała, a konkretnie ustalenie reguły dla zakresu uznawanego za "bezpieczny": 192.168.x.x. Ale twierdzisz, że drugi komputer w tej samej sieci nie ma problemu: .

Ja tu w logach nic nie widzę. Pokaż mi na obrazku jak to wygląda. Dodaj też raporty z FRST (ma powstać plik Addition). Widzę to w Dzienniku zdarzeń, dręczy w kółko błąd: [ Application Events ] Error - 2013-08-22 16:37:25 | Computer Name = Lapek | Source = Application Error | ID = 1000 Description = Nazwa aplikacji powodującej błąd: WINWORD.EXE, wersja: 12.0.6668.5000, sygnatura czasowa: 0x5083137f Nazwa modułu powodującego błąd: MSVCR80.dll, wersja: 8.0.50727.6195, sygnatura czasowa: 0x4dcddbf3 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00015108 Identyfikator procesu powodującego błąd: 0x9c4 Godzina uruchomienia aplikacji powodującej błąd: 0x01ce9f7767dafa2a Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Microsoft Office\Office12\WINWORD.EXE Ścieżka modułu powodującego błąd: C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.6195_none_d09154e044272b9a\MSVCR80.dll Identyfikator raportu: a6a2c8cb-0b6a-11e3-bca1-001c2595fef7 Moduł powodujący błąd: C:\Windows\WinSxS\x86_microsoft.vc80.crt_1fc8b3b9a1e18e3b_8.0.50727.6195_none_d09154e044272b9a\MSVCR80.dll. Wg OTL Extras masz zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64) "{1D8E6291-B0D5-35EC-8441-6616F567A0F7}" = Microsoft Visual C++ 2010 x64 Redistributable - 10.0.40219 "{4B6C7001-C7D6-3710-913E-5BC23FCE91E6}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.4148 "{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161 "{6ce5bae9-d3ca-4b99-891a-1dc6c118a5fc}" = Microsoft Visual C++ 2005 Redistributable (x64) "{A528BDDE-9C9F-11E2-9F0C-F04DA23A5C58}" = MSVCRT Redists "{E9FA781F-3E80-4399-825A-AD3E11C28C77}" = MSVCRT110_amd64 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148 "{2FD19779-BD96-31F4-954D-7C7FE546BFD1}" = Visual C++ 2008 x64 Runtime - (v9.0.30729.4967) "{2FD19779-BD96-31F4-954D-7C7FE546BFD1}.vc_x64runtime_30729_4967" = Visual C++ 2008 x64 Runtime - v9.0.30729.4967 "{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable "{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable "{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 "{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 "{EC1F1209-E48D-38B0-BE25-B37C6BFCF676}" = Visual C++ 2008 x86 Runtime - (v9.0.30729.4967) "{EC1F1209-E48D-38B0-BE25-B37C6BFCF676}.vc_x86runtime_30729_4967" = Visual C++ 2008 x86 Runtime - v9.0.30729.4967 Omawiany plik jest składnikiem Microsoft Visual C++ 2005 Redistributable. Wersja pliku 8.0.50727.6195 należy do jednej z łat: KLIK. Wyszukaj na liście zainstalowanych łat tę poprawkę i spróbuj odinstalować. Plik generowany przez komponent "Usługi drukowania i zarządzania dokumentami". Zawsze w użyciu. Procedura czyszczenia Tempów skryptem OTL go ubija, ale plik i tak się regeneruje. .

Skrypt wykonany. Kończąc sprawę czyszczenia systemu: 1. Przez SHIFT+DEL skasuj foldery: 2013-08-25 12:29 - 2013-08-25 12:29 - 00000000 ____D C:\FRST 2013-08-25 12:19 - 2013-08-25 12:21 - 00000000 ____D C:\AdwCleaner 2013-08-25 10:58 - 2013-08-25 10:58 - 00000000 ____D C:\Users\PC\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. Ja tu jeszcze widzę w Dzienniku zdarzeń, że sypie błędami aplikacji Netbalancer: Error: (08/24/2013 05:34:17 PM) (Source: Application Error) (User: ) Description: Nazwa aplikacji powodującej błąd: SeriousBit.NetBalancer.Service.exe, wersja: 6.7.1.0, sygnatura czasowa: 0x51e64986 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c8f9 Kod wyjątku: 0xc0000374 Przesunięcie błędu: 0x00000000000c40f2 Identyfikator procesu powodującego błąd: 0x7b4 Godzina uruchomienia aplikacji powodującej błąd: 0xSeriousBit.NetBalancer.Service.exe0 Ścieżka aplikacji powodującej błąd: SeriousBit.NetBalancer.Service.exe1 Ścieżka modułu powodującego błąd: SeriousBit.NetBalancer.Service.exe2 Identyfikator raportu: SeriousBit.NetBalancer.Service.exe3 Error: (08/24/2013 04:04:13 PM) (Source: Application Error) (User: ) Description: Nazwa aplikacji powodującej błąd: SeriousBit.NetBalancer.Service.exe, wersja: 6.7.1.0, sygnatura czasowa: 0x51e64986 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 6.1.7601.17514, sygnatura czasowa: 0x4ce7c78c Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x000000000000a49d Identyfikator procesu powodującego błąd: 0x7b8 Godzina uruchomienia aplikacji powodującej błąd: 0xSeriousBit.NetBalancer.Service.exe0 Ścieżka aplikacji powodującej błąd: SeriousBit.NetBalancer.Service.exe1 Ścieżka modułu powodującego błąd: SeriousBit.NetBalancer.Service.exe2 Identyfikator raportu: SeriousBit.NetBalancer.Service.exe3 Error: (08/24/2013 04:04:11 PM) (Source: .NET Runtime) (User: ) Description: Aplikacja: SeriousBit.NetBalancer.Service.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.ArgumentException Stos: w System.Runtime.InteropServices.Marshal.OffsetOf(System.Type, System.String) w ec.a(l ByRef) w ec.a(l ByRef, IntPtr) vs. S2 NetBalancerService; C:\Program Files\NetBalancer\SeriousBit.NetBalancer.Service.exe [16384 2013-07-17] (SeriousBit) Odinstaluj NetBalancer, zresetuj system i sprawdź czy to miało jakieś skutki. Z tych logów nie można tego określić, te narzędzia służą do diagnostyki malware i punktów startowych Windows. O sprzęcie tu prawie zero. Jedyne co jest od sprzętu analizowane, to spis niedomyślnych usług sterowników (i tylko tyle w tej kwestii) oraz detekcja będów w Menedżerze urządzeń. FRST mówi: ==================== Faulty Device Manager Devices ============= Name: Kontroler PCI Simple Communications Description: Kontroler PCI Simple Communications Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. "The drivers for this device are not installed." .