picasso

1. Mój Boże, skąd taka stara wersja AdwCleaner v1.501?! Skasuj to z dysku. Ten program należy pobierać zawsze od nowa (stałe aktualizacje definicji adware), obecnie jest już w wersji 3 i to zupełnie inaczej wyglądającej. Pobierz z przyklejonego najnowszą wersję: KLIK. Zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw go. 2. Nadal mi nie przedstawiłeś w czym dzieło z tytułowym problemem: .

Wyniki w skanerach to po prostu adware i to w Temp. Lecimy: 1. Deinstalacje: - Przez Panel sterowania odinstaluj: Avira SearchFree Toolbar plus Web Protection, Softonic for Windows, StartNow Toolbar. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób logi z FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

Wszystko zrobione. Dziennik zdarzeń też ożył. 1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Następnie dwuklik w Windows Defender i ustaw Automatyczny. 2. Przez SHIFT+DEL skasuj foldery: 2013-08-25 02:21 - 2013-08-25 02:21 - 00000000 ____D C:\FRST 2013-08-24 18:53 - 2013-08-24 18:54 - 00000000 ____D C:\AdwCleaner 2013-08-24 18:53 - 2013-08-24 18:53 - 00000000 ____D C:\Users\Kuba\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) Adobe Flash Player 11 Plugin (Version: 11.7.700.224) Adobe Reader X (10.1.7) - Polish (Version: 10.1.7) Adobe Shockwave Player 11.6 (Version: 11.6.3.633) FoxTab FLV Player ----> ten odinstaluj Google Chrome (Version: 28.0.1500.95) Java™ 6 Update 30 (Version: 6.0.300) Mozilla Firefox 22.0 (x86 pl) (Version: 22.0) Skype™ 5.10 (Version: 5.10.116) .

Brak oznak infekcji. Tylko drobnostka (usunięcie wyszukiwarki adware z IE): Opcje internetowe > Programy > Zarządzanie dodatkami > Dostawcy wyszukiwania > skasuj wyszukiwarkę DAEMON Search. Nic mi to nie mówi. Przeklej z dzienników ESET przykładowe zdarzenia tego rodzaju. .

Wyniki MBAM: nic ciekawego i groźnego. Crack Office oraz adware (instalator Sopcast, jego repliki w Temp oraz plik w kwarantannie COMODO). Sopcast jest sponsorowany (zintegroway Ask). Logi" brak oznak infekcji. Tylko dokasuj sobie przez SHIFT+DEL te foldery: C:\ProgramData\APN C:\Users\Szymon\AppData\Roaming\eDownload .

Ten "brak dostępu" jest w 100% poprawny. To nie są foldery tylko linki symboliczne. Temat wyjaśniony tu: KLIK. Zostaw w spokoju, nie interesuj się tym. Prawdziwe lokalizacje to: C:\Users (do niego linkuje C:\Documents and settings) C:\Users\Konto\Documents (do niego linkuje C:\Users\Konto\My documents) Oznak wirusów / trojanów brak. Za to w systemie działa adware Yoonto. Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj Yontoo 1.12.02. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Burratos\AppData\Local\Temp*.html :OTL IE - HKCU\..\SearchScopes\{18F71F62-2DC8-4568-8626-CEF2F088D38F}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=98D4FA06-1327-451D-93F5-F9C8CAF49F64&apn_sauid=0B79B4C4-55B1-4952-A89E-AEDED36D615F :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób logi z FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

Na temat używania ComboFix: KLIK I nie podałeś raportu C:\ComboFix.txt, który utworzył. Problem reklam generuje adware. Akcja: 1. Przez Panel sterowania odinstaluj adware Tuto_4pc. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2013-08-10 03:24:53 | 000,051,992 | ---- | M] (cake bake) [Auto | Running] -- C:\Program Files (x86)\Tepfel\WebCakeDesktop.Updater.exe -- (WebCakeUpdater) IE - HKLM\..\SearchScopes\{609DFC70-9198-7355-9878-50313566AF76}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={6EC1793F-C133-4DEE-AD03-3080C07C1933} IE - HKU\S-1-5-21-4076904345-1541304972-3154818214-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={sear FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~2\MICROS~3\Office14\NPSPWRAP.DLL File not found FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll File not found 64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files (x86)\VideoDownloadConverter_4z\bar\1.bin O3:64bit: - HKLM\..\Toolbar: (no name) - !{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{48586425-6bb7-4f51-8dc6-38c88e3ebb58} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{c98d5b61-b0ea-4d48-9839-1079d352d880} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O8:64bit: - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files (x86)\MiPony\Browser\IEContext.htm File not found [2013-08-25 15:09:24 | 000,000,000 | ---D | C] -- C:\Users\LUNA\AppData\Local\eorezo [2013-08-14 06:58:23 | 000,000,000 | ---D | C] -- C:\Users\LUNA\SpawnApps [2013-08-13 12:14:11 | 000,000,000 | ---D | C] -- C:\Users\LUNA\Qtrax [2013-08-13 12:10:21 | 000,000,000 | ---D | C] -- C:\Users\LUNA\AppData\Roaming\Tepfel [2013-08-13 12:10:21 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Tepfel [2013-08-13 12:10:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiPony [2013-08-18 15:46:50 | 000,000,000 | ---D | M] -- C:\Users\LUNA\AppData\Roaming\Mipony [2013-08-08 11:41:41 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins [2013-08-08 11:41:41 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions [2013-08-12 15:04:26 | 000,000,341 | ---- | C] () -- C:\Windows\DeleteOnReboot.bat [2013-08-10 13:07:56 | 000,178,128 | ---- | C] () -- C:\Program Files (x86)\64res.dll :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

Czy na pewno wyczyściłeś foldery Przywracania systemu przed skanem MBAM? MBAM w 99% wykrył repliki adware w System Volume Information (katalog Przywracania systemu). A ten ostatni wynik to chyba fałszywy alarm. .

jessica Najnowszą wersję ze znakami null i Unicode wykrywa FRST, a także RKill, Combofix. Tu brak w FRST znaków tej infekcji. 17pppp Infekcja ZeroAccess jest w szczątkach. Do zrobienia będzie: usunięcie adware oraz naprawa szkód. Przeprowadź następujące akcje: 1. Przez Panel sterowania odinstaluj adware Yontoo 2.051. 2. Otwórz Notatnik i wklej w nim: DeleteJunctionsIndirectory: C:\Program Files\Windows Defender CMD: netsh winsock reset HKCU\...\Run: [] - [x] Task: {7C867320-C059-4F02-8166-FD13183B2AFF} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S2 mpich2_smpd; "C:\NUMECA_SOFTWARE\FineMarine23_2\bin\isis64\smpd.exe" [x] S2 mpich_mpd; C:\NUMECA_SOFTWARE\FineMarine23_2\bin\mpd.exe [x] S2 nirshd; C:\NUMECA_SOFTWARE\FineMarine23_2\bin\nirshd.exe [x] S3 Andbus; system32\DRIVERS\lgandbus64.sys [x] S3 AndDiag; system32\DRIVERS\lganddiag64.sys [x] S3 AndGps; system32\DRIVERS\lgandgps64.sys [x] S3 ANDModem; system32\DRIVERS\lgandmodem64.sys [x] S3 andnetadb; System32\Drivers\lgandnetadb.sys [x] S3 androidusb; System32\Drivers\lgandadb.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Uruchom ServicesRepair i zresetuj system. 4. Uruchom TFC - Temp Cleaner. 5. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Zrób nowy skan FRST (bez Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt oraz log z AdwCleaner. .

To i prawdopodobne, że to rzeczywiście była lewa paczka. Wątpię, by to było związane z wypakowywaniem archiwizerem. Tak. Uruchom cmd jako Administrator i wklep komendę: sc delete mbamswissarmy Po tym możesz skasować z dysku plik C:\Windows\System32\drivers\mbamswissarmy.sys oraz foldery w Programdata. .

Kolejne akcje: 1. Używałeś ComboFix, nie został w poprawny sposób odinstalowany. Pobierz ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Users\Nazwa konta\Desktop\ComboFix.exe" /uninstall Dopiero gdy komenda ukończy działanie, użyj opcję opcję Sprzątanie w OTL i przez SHIFT+DEL skasuj folder C:\Windows\erdnt. 2. Infekcja Brontok tworzy pliki duplikujące nazwy folderów w różnych ścieżkach na dysku. Log z OTL tego nie pokazuje, a na dysku nie może pozostać ani jeden taki plik, gdyż jego przypadkowe uruchomienie spowoduje reinfekcję. Wykonaj skan za pomocą Kaspersky Virus Removal Tool. W opcjch skanera zaznacz skan wszystkich dysków, w tym przenośnych. .

1. W kwestii zgłaszanych problemów: W kontekście wielozadaniowości / mnożenia procesów, zwraca uwagę niezbyt duża ilość RAM: 895,20 Mb Total Physical Memory | 525,37 Mb Available Physical Memory | 58,69% Memory free 2,17 Gb Paging File | 1,74 Gb Available in Paging File | 80,15% Paging File free Dla świętego spokoju wyklucz też niedomyślne dodatki / wtyczki jako przyczynę nieresponsywnego skryptu w Firefox. Zamknij przeglądarkę, uruchom ją w trybie diagnostycznym poleceniem: "D:\Mozilla Firefox\firefox.exe" -safe-mode (ścieżkę zgaduję na podstawie raportu OTL, popraw ją jeśli D:\Mozilla Firefox\firefox.exe się nie zgadza) 2. W raportach nie notuję czynnej infekcji. Usuń sobie tylko drobnostki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1293212967-2771855299-523807337-1006\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found O4 - HKLM..\Run: [NPSStartup] File not found [2011-07-20 19:44:00 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Przemek\Dane aplikacji\chrtmp [2009-03-22 14:10:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\273A9 DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nmwcdnsu.sys -- (nmwcdnsu) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie zastosuj Sprzątanie. .

Ten log z Kasperskiego sugeruje, że skanujesz cały system i to na skanie ekspresowym a nie pełnym, a tu ma być przeskanowana ta konkretna paczka. Plik FTDIUNIN.exe z komunikatu na pierwszym obrazku rzuć na VirusTotal i podaj link z wynikami skanu. Nie zezwalam na ładowanie w załącznikach innych formatów niż TXT i niektórych graficznych. Pliki DMP (spakowane do ZIP) dostarcza się tu via zewnętrzne serwisy hostingowe. .

Hmmm, objaw silnie sugeruje wadę Userinit, ale wpis poprawny, usuwanie widocznej infekcji było już robione. 1. Dostarcz mi pełny rejestr do analizy. Z poziomu OTLPE skopiuj te elementy: - Z folderów użytkowników pliki: C:\Documents and Settings\Karolina\NTUSER.DAT C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat C:\Documents and Settings\Administrator\NTUSER.DAT C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\UsrClass.dat - Z folderu C:\WINDOWS\system32\config plik SOFTWARE Wszystko zapakuj do ZIP, umieść na jakimś hostingu i podeślij na PW link do paczki. 2. Dodaj też skan kilku ścieżek. W Notatniku utwórz plik o zawartości: Folder: C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart Folder: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart Folder: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart Folder: C:\Documents and Settings\Karolina\Ustawienia lokalne\Temp Folder: C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp Zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

To nie jest cały log, uciąłeś najważniejsze cechy definujące poprawność pliku, czyli sumy kontrolne i daty modyfikacji. Podaj via załączniki forum cały raport w formie oryginalnej, nic w nim nie modyfikuj.

Problem z przeglądarkami prawdopodobnie z winy adware. Jest śmietnisko, m.in. Yontoo. Czyścimy: 1. Na początek poprawne deinstalacje: - Przez Panel sterowania odinstaluj Ask Toolbar Updater, BrowseToSave, SearchNewTab, Search Assistant WebSearch 1.74, Yontoo 2.051. - Google Chrome: w Rozszerzeniach odistaluj Broowse2soave, Broowsie2saavie, General Crawler, safe savEE, SearchNewTab, Yontoo. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy WebSearch i inne śmieci (o ile będą). Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

Na temat użuywania ComboFix: KLIK. Zasady działu opowiadają jakie reporty tu się przedstawia. Dodaj logi z FRST. Temat przenoszę do działu Windows. ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [-] 2009-07-14 01:41 . D41D8CD98F00B204E9800998ECF8427E . 0 . . [------] .. c:\windows\winsxs\amd64_microsoft-windows-d..tshow-kernelsupport_31bf3856ad364e35_6.1.7600.16385_none_43f68e03b0fd4b38\ksuser.dll [-] 2009-07-14 01:41 . D41D8CD98F00B204E9800998ECF8427E . 0 . . [------] .. c:\windows\winsxs\amd64_microsoft-windows-d..tshow-kernelsupport_31bf3856ad364e35_6.1.7601.17514_none_4627a1cbadebced2\ksuser.dll [7] 2009-07-14 . 9C67F6BBDA3881CFD02095160CF91576 . 4608 . . [6.1.7600.16385] .. c:\windows\SysWOW64\ksuser.dll [7] 2009-07-14 . 9C67F6BBDA3881CFD02095160CF91576 . 4608 . . [6.1.7600.16385] .. c:\windows\winsxs\x86_microsoft-windows-d..tshow-kernelsupport_31bf3856ad364e35_6.1.7600.16385_none_e7d7f27ff89fda02\ksuser.dll [7] 2009-07-14 . 9C67F6BBDA3881CFD02095160CF91576 . 4608 . . [6.1.7600.16385] .. c:\windows\winsxs\x86_microsoft-windows-d..tshow-kernelsupport_31bf3856ad364e35_6.1.7601.17514_none_ea090647f58e5d9c\ksuser.dll [-] 2009-07-14 01:41 . D41D8CD98F00B204E9800998ECF8427E . 0 . . [------] .. c:\windows\system32\ksuser.dll Pliki oznaczone jako niesygnowane. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Powstanie log. Przedstaw go. .

Otwieranie skrótów jest w porządku. Zadania pomyślnie wykonane. Kończymy: 1. Przez SHIFT+DEL dokasuj ten szczątkowy folder: C:\Users\victor\AppData\Local\avgchrome 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. W Dzienniku zdarzeń jest błąd WMI numer 10. Uruchom narzędzie Fix-it: KLIK. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj Microsoft Office Professional Plus 2010 (instalacja SP1): KLIK. .

Opisz mi dokładnie jakie operacje prowadziłeś w ramach "przywracania". To może mi się przydać do innych przypadków z tą infekcją. A w logach wszystko w porządku, tylko drobne akcje: 1. Odinstaluj adware AVG Security Toolbar oraz zdezelowany Skaner on-line mks_vir. 2. Otwórz Notatnik i wklej w nim: Task: {24891BE1-6DE6-4AB1-86FA-B694F56B74C2} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{54FF21BF-B82E-40FA-A819-38FEBE6C1DC5}.exe No File Task: {A31C00E6-6751-44A0-8C72-5AA6616CDC0C} - System32\Tasks\{FD045152-907E-4C58-B4AB-431CDEE76F1B} => C:\Program Files (x86)\Internet Explorer\iexplore.exe [2013-07-26] (Microsoft Corporation) Task: {CB331C6A-230C-4EAB-B355-EC371EFEBE20} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe No File Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{54FF21BF-B82E-40FA-A819-38FEBE6C1DC5}.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={66EA1C38-D5D4-4980-AD46-73F668F5DD28}&mid=a44397c154f147d0ab8a653dd91f8635-8da62b84657fd5cb7c318043098fd7c0f3a8dd60&lang=pl&ds=xn011&pr=sa&d=2013-01-20 12:13:46&v=13.3.0.17&sap=hp SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={66EA1C38-D5D4-4980-AD46-73F668F5DD28}&mid=a44397c154f147d0ab8a653dd91f8635-8da62b84657fd5cb7c318043098fd7c0f3a8dd60&lang=pl&ds=xn011&pr=sa&d=2013-01-20 12:13:46&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt. .

Proszę nie używaj serwisu wklejto, serwis ma złe kodowanie. Albo wklej.org albo załączniki forum. Czy jest jakiś problem z jego deinstalacją? Powyższe plus: ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Usługa Dziennik zdarzeń systemu Windows jest właśnie uruchamiana. Nie można uruchomić usługi Dziennik zdarzeń systemu Windows. Wystąpił błąd systemu. Wystąpił błąd systemu 1747. Usługa uwierzytelniania jest nieznana. To mi wygląda na uszkodzony Winsock. W skrypcie poniżej załączam komendę resetu. I jak mówię, usuwana tu infekcja nie powinna mieć związku z objawami, to wygląda na całkowicie inną bajkę. I chyba temat przeniosę do działu Windows. I wymagane dodatkowe akcje pod kątem czyszczenia systemu: 1. Otwórz Notatnik i wklej w nim: Task: {7204A373-3F58-4A03-B924-F7226150F035} - System32\Tasks\Rpyonn => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation) FF Extension: z - C:\Program Files\Mozilla Firefox\extensions\{28214142-d9cc-eb6d-1bdc-f69319b916fc} CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\Kuba\AppData\Local\Temp\crx4006.tmp Toolbar: HKCU -No Name - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No File HKU\Ola\...\RunOnce: [FlashPlayerUpdate] - C:\Windows\system32\Macromed\Flash\FlashUtil11e_Plugin.exe -update plugin [x] C:\Users\Kuba\AppData\Local\Temp\Quarantine.exe CMD: netsh winsock reset Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Komenda netsh winsock reset wymaga restartu. 3. Przeładuj cache wtyczek Google Chrome: Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 4. Zrób nowy skan FRST (zaznacz ponownie tworzenie Addition) oraz Farbar Service Scanner. Dołącz fixlog.txt. Wypowiedz się czy błędy podstawowe nadal mają miejsce. .

Posiadanie programu "od dawna" nie gwarantuje jego niezawodności, przecież program podlega aktualizacjom komponentów, a na dodatek środowisko systemowe nie jest nigdy stałe. Sprawdź po prostu testową deinstal;ację ESET. Jeśli test nie wypali, będziemy wiedzieć na pewno i szukać dalej.

Zadanie wykonane poprawnie, ACMON usunięty z zaplanowanych zadań. Tak więc przejdź do punktów 2 i 3 z mojego poprzedniego posta.

Oczywiście to zmienia sytuację. Skoro dysk sformatowany, temat tutaj ukończony. Zamykam.

Ta infekcja posługuje się Harmonogramem zadań i ma też wpisy w rejestrze, których nie widzi OTL. Poproszę o dodanie raportów z FRST (ma powstać plik Addition). Te problemy nie powinny być powiązane z widzianą tu infekcją. Ona tylko deaktywuje Centrum zabezpieczeń, Przywracanie systemu i Windows Defender, ale nie inne usługi. Od Uniblue trzymaj się z daleka. Opisz dokładniej o co chodzi z "instalowaniem oprogramowania". .

Wszystko zrobione. 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{36222938-DF9A-45AC-9B88-97C82726FC6B}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem pójdzie bez restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze skan w Malwarebytes Anti-Malware i przedstaw wyniki (o ile coś zostanie wykryte). .