picasso

No tak, a gdzie jest główny log FRST oraz log z wynikami usuwania AdwCleaner? I nie odinstalowałeś Ad-Aware Security Toolbar. Po deinstalacji proszę zrób log z FRST.

Patrząc na wyniki z sierpnia, to po prostu próbujesz pobierać / instalować programy z adware, które chciało wykonać modyfikację w Google Chrome. Podkreślę te wyniki: 2013-08-25 08:37:05 Ochrona protokołu HTTP plik http://downloadcdn.betterinstaller.com/installers/c/b/OTL_downloader_by_Downloadnetpl.exe odmiana zagrożenia Win32/Somoto.A potencjalnie niepożądana aplikacja połączenie zostało zakończone - poddany kwarantannie Asus\ŁukiAsia Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe. Program OTL pobierałeś z serwisu Downloadnetpl.pl, który stosuje downloader portalowy (mający w zamiarze zainstalować śmieci). OTL_downloader_by_Downloadnetpl.exe to nie jest plik OTL tylko downloadera. Proszę nie pobierać programu OTL z innych stron niż autoryzowane. Jedyne autoryzowane linki OTL są przyklejonym: KLIK. 2013-08-14 21:21:51 Ochrona systemu plików w czasie rzeczywistym plik C:\Users\ŁukiAsia\Desktop\ImageEditorSetup.exe odmiana zagrożenia Win32/InstallCore.CF potencjalnie niepożądana aplikacja wyleczony przez usunięcie - poddany kwarantannie Asus\ŁukiAsia Zdarzenie wystąpiło podczas próby uruchomienia pliku przez aplikację: C:\Windows\explorer.exe. 2013-08-14 21:21:44 Ochrona systemu plików w czasie rzeczywistym plik C:\Users\ŁukiAsia\Desktop\ImageEditorSetup.exe odmiana zagrożenia Win32/InstallCore.CF potencjalnie niepożądana aplikacja Asus\ŁukiAsia Zdarzenie wystąpiło podczas próby uruchomienia pliku przez aplikację: C:\Users\ŁukiAsia\AppData\Local\Google\Chrome\Application\chrome.exe. 2013-08-14 21:21:02 Ochrona dokumentów plik http://www.bestimageeditorfunapp.com/default/gb/sag/?dl=1&adnm=27571513400&i=s&grid=Blue&lg=EN&cc=PL&clg=en&c=1&d=0&cid=_040687931&kw=image%20editor%20free%20download&mt=&mn=www.programosy.pl&ct=&nt=D&expr=&ap=none&dv=c&color=blue&agid=_0043814237 odmiana zagrożenia Win32/InstallCore.CF potencjalnie niepożądana aplikacja Asus\ŁukiAsia Kolejne odniesienie do portalu programosy.pl, który stosuje śmieci. 2013-08-25 20:17:56 Ochrona protokołu HTTP plik http://download.dobreprogramy.pl/12708/x86 odmiana zagrożenia Win32/InstallCore.BY potencjalnie niepożądana aplikacja połączenie zostało zakończone - poddany kwarantannie Asus\ŁukiAsia Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe. 2013-08-14 21:19:14 Ochrona protokołu HTTP plik http://download.dobreprogramy.pl/16548/x86 odmiana zagrożenia Win32/InstallCore.BY potencjalnie niepożądana To nie są bezpośrednie instalatory DAEMON Tools i UltraISO tylko śmieć "Asystent pobierania" dobrychprogramów, który ma w planie instalację adware. Dodatkowo: DAEMON Tools, nawet jeśli pobrany z linka bezpośredniego, sam w sobie też zawiera adware (pasek DAEMON Search), które należy ominąć przy instalacji. 2013-08-07 23:08:54 Ochrona protokołu HTTP plik http://www.extrimdownloadmanager.com/default/ga/si?dl=1&adnm=26876881141&i=s&grid=Green&lg=EN&cc=PL&clg=en&c=1&d=0&cid=_160250221&kw=software free download&mt=&mn=paweldrivers.com&ct=&nt=D&expr=&ap=none&dv=c&color=green&agid=_1851071437 odmiana zagrożenia Win32/InstallCore.BQ potencjalnie niepożądana aplikacja połączenie zostało zakończone - poddany kwarantannie Asus\ŁukiAsia Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Users\ŁukiAsia\AppData\Local\Google\Chrome\Application\chrome.exe. 2013-08-07 23:05:42 Ochrona protokołu HTTP plik http://stapi.appscion.com/api/stamp/setup.exe?publisherid=16&publishername=paweldrivers.com&productname=PHILIPS 32PFL5605H driver&producturl=http://paweldrivers.com/redirectDriver.php?destURL=http://www.p4c.philips.com/cgi-bin/dcbint/cpproduct_selector.pl?scy=FR&slg=FRA&productsize=18056&productversion=V 8.84&productbusiness=0&productcompliancy=0 odmiana zagrożenia Win32/GetNow.A potencjalnie niepożądana aplikacja połączenie zostało zakończone - poddany kwarantannie Asus\ŁukiAsia Wykryto zagrożenie podczas uzyskiwania dostępu do stron internetowych przez aplikację: C:\Users\ŁukiAsia\AppData\Local\Google\Chrome\Application\chrome.exe. Tu z kolei pobieranie z paweldrivers.com, który również stosuje downloader. Czyli: ogólnie uważaj na pobieranie z jakichkolwiek serwisów, które nie są stroną domową programu i stosują śmieciowe downloadery jako domyślny system pobierania (a nie linki bezpośrednie), w tym Programosy.pl czy Dobreprogramy.pl. A jeśli pobierasz coś z danego portalu, zawsze wybieraj linki bezpośrednie. W ustawieniach Google Chrome zmień "Kontynuuj, gdzie skończyłem(am)" na "Otwórz stronę nowej karty". Wyczyść Historię. I po tym sprawdź jak wygląda kolejne uruchomienie Google Chrome. .

Wszystko wygląda dobrze. 1. Mała poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 2. Porządki po narzędziach. Przez SHIFT+DEL skasuj foldery: 2013-08-23 12:10 - 2013-08-23 12:10 - 00000000 ____D C:\FRST 2013-08-23 11:09 - 2013-08-23 11:15 - 00000000 ____D C:\AdwCleaner 2013-08-23 10:37 - 2013-08-23 10:56 - 00000000 ____D C:\MATS W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. I sprawdź czy uprzednio zgłaszane problemy nadal mają miejsce. .

Brak pliku Extras: opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania". I proszę o dodatkowe dane: - Logi z FRST (ma powstać plik Addition) i Farbar Service Scanner. - Dokładną informację w jakiej ścieżce jest wykrywany Trojan:Win32/Sirefef.AN. .

W logach nic podejrzanego. Usuń tylko puste wpisy sterowników (w Autoruns w karcie Drivers): DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\dbfdyzsz.sys -- (dbfdyzsz) I zaktualizuj co należy: KLIK. 1. Po pierwsze, nie został usunięty DAEMON Tools przed próbą uruchomienia GMER: DRV - [2013-08-17 19:47:06 | 000,243,128 | ---- | M] (Disc Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01) 2. Ze względu na fakt uruchamiania GMER, zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP) (KLIK). Nie wiadomo co jest w systemie, w ciemno nie jestem w stanie nic powiedzieć. Wgraj na pendrive narzędzia OTL, FRST i GMER. Zrób logi. .

Ale plik fixlist.txt został źle zrobiony i nic się nie wykonało. Zapisałeś w Notatniku skrypt ze wszystkimi liniami sklejonymi. 1. Jeszcze raz. Otwórz Notatnik i wklej w nim: Task: {7DA1D059-A10C-4644-9558-A7BF2C4C68A4} - System32\Tasks\Dealply => C:\Users\Gigi\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE No File Task: {D0D361B4-105B-4178-BF9D-CC9C9CC8A3F3} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe No File Task: {E6FA57CF-9376-49CD-8670-4EBEC753D3A5} - \Program aktualizacji online firmy Adobe. No Task File Task: {FF3D86E1-305A-4287-89E8-FF14C572378D} - System32\Tasks\EPUpdater => C:\Users\Gigi\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File HKCU\...\Run: [] - C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [x] HKCU\...\Policies\system: [NoDispCPL] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S2 vToolbarUpdater15.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe [x] R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [45856 2013-06-27] (AVG Technologies) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [x] S1 StarOpen; No ImagePath C:\Windows\system32\drivers\avgtpx64.sys C:\Program Files (x86)\GUMF44E.tmp C:\ProgramData\MFAData C:\Users\Gigi\AppData\Local\Avg2013 C:\Users\Gigi\AppData\Local\Comodo C:\Windows\SysWOW64\searchplugins C:\Windows\SysWOW64\Extensions C:\Windows\DeleteOnReboot.bat CMD: netsh winsock reset Powtarzam: skrypt ma wyglądać dokładnie tak jak w moim poście! Przejścia do nowej linii. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Wszystko zrobione. Jeszcze drobne poprawki: 1. Zastosuj TFC - Temp Cleaner. 2. Otwórz Notatnik i wklej w nim: Task: {702319BF-B855-4F0B-8BA3-93D66D31C34A} - System32\Tasks\Funmoods => C:\Users\Soesje\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE No File Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {1E1793A8-47C1-B221-B11A-2F1FFBE60176} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1E1793A8-47C1-B221-B11A-2F1FFBE60176}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{94657570-2012-4164-B9BA-9FB0BABDEFB1}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Jeszcze poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 301548880 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

OK. Lecimy dalej: 1. Wyczyść przeglądarki: - Google Chrome: w zarządzaniu wyszukiwarkami przestaw domyślną na Google, po tym skasuj z listy delta-homes. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Następnie uruchom AdwCleaner, użyj opcję Scan, gdy ukończy zastosuj Clean. 2. Otwórz Notatnik i wklej w nim: C:\Users\Konrad\*.exe C:\Users\Konrad\AppData\Local\Temp\csrss.exe Unlock: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer Unlock: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Reg: reg delete HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 301548880 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v 3212083974 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowe skany: OTL (bez Extras) + FRST (bez Addition). Dołącz fixlog.txt oraz log z usuwania z katalogu C:\AdwCleaner (ma w nazwie oznaczenie literą S). .

Infekcje nie zostały usunięte do końca. Ale zanim przejdę dalej jest mi potrzebne kilka rzeczy. Angielska wersja "Clean". Tak więc czy użyłeś tej opcji? Widzę, że na dysku powstał katalog programu: ==================== One Month Created Files and Folders ======== 2013-08-26 21:58 - 2013-08-26 21:58 - 00000000 ____D C:\AdwCleaner 2013-08-26 21:57 - 2013-08-26 21:58 - 00994642 _____ C:\Users\Konrad\Downloads\AdwCleaner (1).exe Jeśli nie uruchamiałeś czyszczenia, na razie pomiń, bo proszę o dwie rzeczy które są potrzebne do rozszerzenia detekcji FRST: 1. Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer C:\Users\Konrad\Desktop\policies.reg CMD: copy C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\kg6amu0b.default\prefs.js C:\Users\Konrad\Desktop\prefs.js Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Na pulpicie powstaną dwa pliki: prefs.js oraz policies.reg. Oba zapakuj do ZIP, umieść na jakimś hostingu i podaj mi link do paczki. .

Logi źle wykonane: - Log z OTL: opcje Pliki utworzone / zmodyfikowane w przeciągu ustawiłeś na Wszystko, a ma być Młodsze niż. Dlatego log z OTL jest kuriozalnie wielki. Skoro podałeś FRST, log z OTL nie jest mi potrzebny i usuwam. - Log z GMER przy czynnym sterowniku SPTD: KLIK. Nie ma oznak infekcji i wątpię, by tu o nią chodziło. Są tylko drobne szczątki adware i te będą usuwane w poniższym skrypcie. W raporcie zwraca uwagę modyfikacja Winsock przez program proxy: Winsock: Catalog9 01 C:\Windows\system32\EasyRedirect.dll File Not found () Winsock: Catalog9 02 C:\Windows\system32\EasyRedirect.dll File Not found () Winsock: Catalog9 03 C:\Windows\system32\EasyRedirect.dll File Not found () Winsock: Catalog9 04 C:\Windows\system32\EasyRedirect.dll File Not found () Winsock: Catalog9 15 C:\Windows\system32\EasyRedirect.dll File Not found () Winsock: Catalog9-x64 01 C:\Windows\system32\EasyRedirect64.dll [539984] (EasyTech) Winsock: Catalog9-x64 02 C:\Windows\system32\EasyRedirect64.dll [539984] (EasyTech) Winsock: Catalog9-x64 03 C:\Windows\system32\EasyRedirect64.dll [539984] (EasyTech) Winsock: Catalog9-x64 04 C:\Windows\system32\EasyRedirect64.dll [539984] (EasyTech) Winsock: Catalog9-x64 15 C:\Windows\system32\EasyRedirect64.dll [539984] (EasyTech) Reset Winsock plus usuwanie adware: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Policies\system: [NoDispCPL] 0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 Task: {7DA1D059-A10C-4644-9558-A7BF2C4C68A4} - System32\Tasks\Dealply => C:\Users\Gigi\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE No File Task: {D0D361B4-105B-4178-BF9D-CC9C9CC8A3F3} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe No File Task: {E6FA57CF-9376-49CD-8670-4EBEC753D3A5} - \Program aktualizacji online firmy Adobe. No Task File Task: {FF3D86E1-305A-4287-89E8-FF14C572378D} - System32\Tasks\EPUpdater => C:\Users\Gigi\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File Task: C:\Windows\Tasks\Dealply.job => C:\Users\Gigi\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.EXE FF SearchPlugin: C:\Users\Gigi\AppData\Roaming\Mozilla\Firefox\Profiles\4nzjohcu.default\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=395049983_266035_5493A1D1&ts=1377285995 S2 Hamachi2Svc; "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe" -s [x] S3 Steam Client Service; C:\Program Files (x86)\Common Files\Steam\SteamService.exe /RunAsService [x] S2 vToolbarUpdater15.3.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe [x] R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [45856 2013-06-27] (AVG Technologies) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [x] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [x] S1 StarOpen; No ImagePath C:\Windows\system32\drivers\avgtpx64.sys C:\Windows\SysWOW64\searchplugins C:\Windows\SysWOW64\Extensions C:\ProgramData\BrowserDefender C:\ProgramData\eSafe C:\Users\Gigi\Documents\Optimizer Pro C:\Users\Gigi\AppData\Local\DealPlyLive C:\Users\Gigi\AppData\Local\Minibar C:\Users\Gigi\AppData\Local\Lollipop C:\Users\Gigi\AppData\Local\Google\Chrome C:\Users\Gigi\AppData\Local\Avg2013 C:\Users\Gigi\AppData\Local\Comodo C:\ProgramData\AVG Secure Search C:\ProgramData\MFAData C:\Windows\DeleteOnReboot.bat CMD: netsh winsock reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system, by reset Winsock wszedł w życie. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Chodzi o najnowszą wersję, wg logów z FRST użyłeś co dopiero AdwCleaner, ale po uplasowaniu logów wygląda na starą wersję: 2013-08-23 20:59 - 2013-08-23 20:59 - 00021210 _____ C:\AdwCleaner[s7].txt 2013-08-23 20:58 - 2013-08-23 20:58 - 00022665 _____ C:\AdwCleaner[R7].txt 2013-08-23 20:55 - 2013-08-23 20:55 - 00017532 _____ C:\AdwCleaner[R6].txt 4. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt oraz log utworzony przez AwCleaner. .

Akcja wykonana. Kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX 64-bit (Version: 11.2.202.222) Adobe Flash Player 11 Plugin (x32 Version: 11.5.502.135) Adobe Reader X (10.1.6) MUI (x32 Version: 10.1.6) Java 7 Update 11 (64-bit) (Version: 7.0.110) Microsoft SQL Server 2005 (x32) Opera 12.13 (x32 Version: 12.13.1734) (Service Pack dla Microsoft SQL Server 2005: KB913089) 4. Prewencyjnie zmień hasła logowania w serwisach. .

Temat przenoszę do działu Windows. Brak oznak infekcji. Jest tylko adware (ale to nie ma związku z objawami): - Ask Toolbar zainstalowane z Avira, ale Ask nie może być usuwany, jeśli jest włączony Web shield w Avirze. Niestety adware jest wymogiem korzystania z tej funkcji... - Wyszukiwarka Conduit w IE: Opcje internetowe > Programy > Zarządzanie dodatkami > Dostawcy wyszukiwania> ustaw jako domyślną wyszukiwarkę Live (przekieruje na Bing), dopiero po tym da się skasować Conduit z listy. 1. Proces vsmon.exe jest częścią Zone Alarm. I widzę, że Ty skombinowałeś aż dwa antywirusy (co samo w sobie już może prowadzić do zawieszeń i blokady startu systemu), działa Avira w kombinacji z ZoneAlarm w wersji z silnikiem Kasperskiego: DRV - [2012-01-09 18:59:34 | 000,485,808 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- D:\WINDOWS\system32\drivers\klif.sys -- (KLIF) DRV - [2012-01-09 18:59:30 | 000,133,208 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- D:\WINDOWS\system32\drivers\kl1.sys -- (KL1) DRV - [2012-01-09 18:59:30 | 000,011,352 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\kl2.sys -- (kl2) Wyłączenie to za mało i nic nie udawadnia, to nie nosi aktywności sterowników oprogramowania. Wykonaj testową deinstalację ZoneAlarm Free Antivirus + Firewall + ZoneAlarm LTD Toolbar. Zresetuj system i dopiero po tym oceniaj stan systemu. 2. Na wszelki wypadek: ze względu na fakt uruchamiania GMER, zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP) (KLIK). .

Zasady działu jakie raporty się tu podaje: KLIK. RSIT, Silent Runners, MBRCheck są zbędne i je usuwam. RSIT na systemie x64 niezbyt wiarygodny (partia HijackThis = kompletne przekłamania). Najbardziej wiarygodny skan na x64 to z natywnie 64-bitowego FRST. GMER robiony w złych warunkach (przy czynnym emulatorze SPTD). Ale wątki logów na razie porzuć. Temat przenoszę do działu Windows. Oznak infekcji brak. Są tylko drobne szczątki adware SweetIM w IE. Na końcu (po uporaniu się z problem zasadniczym): Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log. Sprawdź czy to przypadkiem nie jest wina funkcji HIPS podobnych w Online Armor. - Na początek zdeaktywuj wszystkie komponenty ochronne i reset systemu. - Przy braku wyników wykonaj deinstalację testową programu. Nie wiem czy to będzie możliwe w Trybie normalnym oraz czy deinstalacja jest możliwa w Trybie awaryjnym (jeśli Online Armor jest oparty na Instalatorze Windows, deinstalacja nie może być wykonana w awaryjnym). .

Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {30C6BDBE-D42D-42EC-816B-5839C18D5432} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe No File Task: {CAD62AFA-FF35-497A-87A4-BEF98E9331AD} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 X6va003; \??\C:\Users\Adam\AppData\Local\Temp\003ECEE.tmp [x] C:\Users\Adam\AppData\Local\Temp\Quarantine.exe C:\Users\Adam\AppData\Roaming\sp_data.sys Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt. .

Wszystko zrobione. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" C:\Users\Kamila\AppData\Local\Temp\Quarantine.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt. .

Prócz adware i robaka Gamarue, tu są także ślady najnowszej wesji rootkita ZeroAccess (wpis udający Google Update, zablokowany znakami zerowymi null). 1. Przez Panel sterowania odinstaluj adware WinZipper. 2. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [33228] c:\progra~2\dxyoquq.exe [726016 2010-11-20] ( (DAMN)) HKCU\...\Run: [Google Update*] - [x] HKCU\...\Run: [Microsoft Windows Hosting Service] - C:\Users\Konrad\AppData\Local\Temp\csrss.exe [866816 2013-07-27] (Crintsoft) HKCU\...\CurrentVersion\Windows: [Load] c:\users\konrad\dxdcnasry.exe R2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [303680 2013-08-22] (Wsys Co., Ltd.) S3 MSICDSetup; \??\D:\CDriver.sys [x] HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2834902B349D5046&affID=119357&tsp=4954 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 FF SelectedSearchEngine: delta-homes FF Homepage: hxxp://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\delta-homes.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=WDCXWD10EZRX-00A8LB0_WD-WMC1U844641846418&ts=1377288972 C:\Users\Konrad\AppData\Local\Google\Desktop C:\ProgramData\dxiltldju.exe C:\ProgramData\dxyoquq.exe C:\ProgramData\dxyvoajto.exe C:\ProgramData\eSafe C:\Windows\DeleteOnReboot.bat CMD: del /q C:\Users\Konrad\*.exe CMD: rd /s /q C:\Users\Konrad\AppData\Local\Temp Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Pobierz najnowszą wersję AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: skan OTL (bez Extras), skan FRST (bez Addition), Farbar Service Scanner. Dołącz plik fixlog.txt oraz log utworzony przez AdwCleaner. .

Zasady działu: KLIK. Są potrzebne raporty z OTL, FRST oraz GMER.

Czy zmieniłeś hasło do routera? To istotne, gdyż wadliwe ustawienia mogą powrócić. Usuń używane narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę ręcznie skasuj. .

W systemie nie widzę oznak infekcji, są tylko drobne odpadki adware. Przeprowadź następujące działania: 1. Pobierz FRST. Otwórz Notatnik i wklej w nim: CMD: attrib /d /s -s -h F:\* CMD: rd /s /q F:\$RECYCLE.BIN CMD: sc delete "WebCake Desktop Updater" Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{94657570-2012-4164-B9BA-9FB0BABDEFB1}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Ściągaj z Mipony" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Ściągaj z Mipony" /f C:\Users\Soesje\AppData\Local\funmoods-speeddial_sf.crx C:\Users\Soesje\AppData\Local\funmoods.crx C:\Users\Soesje\AppData\Roaming\Funmoods C:\Users\Soesje\AppData\Roaming\Mipony C:\Users\Soesje\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przy podpiętym dysku F uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowe logi: skan FRST (ma powstać plik Addition) i USBFix z opcji Listing. Dołącz plik fixlog.txt i log utworzony przez AdwCleaner. .

Ale przeskanowałaś zły plik, czyli tekstowy FTDIBUS.INF. Na komunikacie był wykonywalny FTDIBUS.exe. W Opcjach Folderów odznacz opcję Ukrywaj rozszerzenia znanych typów plików, by widzieć rozszerzenia. .

Na koniec aktualizacje, usuń wszystkie stare wersje Adobe + Java i zastąp najnowszymi: KLIK. Log pokazuje zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) .

Wpisów infekcji nie notuję, ale ataki będą się powtarzać. Jak mówiłam, ten stan nie może pozostać: Windows XP Professional Edition Dodatek Service Pack. 1 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2800.1106) Infekcje będą się dobijać drzwiami i oknami. Na PW zgłosiłaś problem, że system spowalnia po instalacji SP3, ale instalacja SP3 musi być wykonana i to ledwie początek, SP3 jest z roku 2008 (!) i od tego czasu powstało mnóstwo łat zabezpieczeń. Na początek: - Koniecznie zastosuj Windows Worms Doors Cleaner. - Następnie sprawdź czy są dostępne aktualizacje sterowników sprzętowych dla tego komputera, czy da się coś zaktualizować przed instalacją SP3. - Po tym muszą być zainstalowane wszystkie aktualizacje z Windows Update (zaczynając od SP3). Nie rób ponownego formatu, to nic nie da. .

AdwCleaner usunął oporny Ask Toolbar Updater. Zostały poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Users\PC\AppData\Roaming\PClog.dat Task: {1A79ACA5-33C6-4353-84D3-4FC3C546050B} - System32\Tasks\Express FilesUpdate => C:\Program Files (x86)\ExpressFiles\EFUpdater.exe No File Task: {890C9A60-DBC7-4831-A8C6-F2BCEA60C693} - System32\Tasks\{DE9319E5-64A6-470B-A4D7-0426D0D2F3EA} => C:\Users\PC\Desktop\nvidiaInspector\nvidiaInspector.exe No File Task: {DF351CBE-36D0-4B1C-8397-3D5EC16D9BF6} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe No File FF Plugin-x32: @esn/esnlaunch,version=2.1.3 - C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll No File AppInit_DLLs-x32: [0 ] () S3 ALSysIO; \??\C:\Users\PC\AppData\Local\Temp\ALSysIO64.sys [x] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 NLNdisMP; system32\DRIVERS\nlndis.sys [x] S3 NLNdisPT; system32\DRIVERS\nlndis.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 3. Zastosuj TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt. I wypowiedz się wyraźnie jakie są aktualnie problemy w systemie. Upewnij się, że AVG 2013 nie jest problemem. Zrób testową deinstalację. .

Ale ja nie zalecałam formatu, bo to kręcenie się w kółko i nie rozwiąże tego problemu. Już przy instalacji XP może nastąpić atak robaków, co zostało zresztą opisane w artykule Windows Worms Doors Cleaner. Ja zaleciłam Windows Worms Doors Cleaner + kompleksową aktualizację Windows, gdyż to jest konieczne by ustały objawy. Tak więc czy po ponownym formacie zostało wykonane to: I skoro format, to niestety musisz podać nowe logi OTL + GMER, bo mogło się coś jednak tym raze zagnieździć w sposób rzeczywisty. .