picasso

W logach nie widzę oznak czynnej infekcji. A MBAM wykrył tylko komponent cracka Office. Nic mi to nie mówi. Czy możesz podać konkretne dokładne przykłady? Czy folder C:\Windows\System32\B4276D jest nadal na dysku? Sprawdź to mając odpowiednio skonfigurowane opcje w eksploratorze: Opcje folderów i wyszukiwania > Widok > zaznaczone Pokaż ukryte pliki i foldery + odptaszkowane Ukryj chronione pliki systemu operacyjnego. Przed uruchomieniem GMER należy usunąć emulację napędów wirtualnych, a wg OTL DAEMON Tools jest czynny: DRV:64bit: - [2012-11-10 22:22:10 | 000,283,200 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\dtsoftbus01.sys -- (dtsoftbus01) .

Prawie wszystkie akcje wykonane, z wyjątkiem: Czy jest jakiś problem z wykonaniem tego zadania? .

Nie podsumowałaś czy skany coś wykryły. Jeśli nic, na zakończenie: 1. Prewencyjnie pozmieniaj hasła w serwisach (poczta, banki, serwisy społecznościowe etc.). 2. Zaktualizuj system i aplikacje: KLIK. .

Widzę: - McAfee został pomyślnie odinstalowany, gdyż jego wpisy rozruchowe zniknęły. Mógł się ostać folder, ale stan jest inny niż poprzednio. - W międzyczasie nabawiłeś się adware Ask Toolbar (zainstalowany z Avira). 1. Odinstaluj Avira SearchFree Toolbar plus Web Protection. 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Dokasuj szczątki McAfee. Otwórz Notatnik i wklej w nim: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk S2 0290041374595881mcinstcleanup; C:\Users\adam\AppData\Local\Temp\029004~1.EXE [822104 2011-01-26] (McAfee, Inc.) 2013-07-23 13:53 - 2010-11-08 04:36 - 00000000 ____D C:\ProgramData\McAfee 2013-07-23 13:51 - 2010-11-08 04:36 - 00000000 ____D C:\Program Files (x86)\McAfee Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowy skan FRST (z Addition). Dołącz log AdwCleaner oraz fixlog.txt. .

W systemie działa najnowsza wersja rootkita ZeroAccess, która tworzy bardzo trudno kasowalne obiekty zablokowane znakami zerowymi null i Unicode RLM, imitujące "Google": SRV - File not found [Disabled | Unknown] -- C:\Program Files\Google\Desktop\Install\{face828d-6664-1809-1c92-2ac5e2ccee3a}\ \ \‮ﯹ๛\{face828d-6664-1809-1c92-2ac5e2ccee3a}\GoogleUpdate.exe O4 - HKU\S-1-5-21-1177238915-1972579041-2147093213-500..\Run: [Google Update] Reg Error: Value error. File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found (wpis SRV jest rozwalony, bo OTL nie umie tego poprawnie odczytać, przedstawia tekst odwrócony "od prawej do lewej", wpis O4 zaś inaczej w rzeczywistości wygląda) OTL się bardzo słabo nadaje do diagnostyki tego, nie mówiąc o usuwaniu. Poproszę o lepsze raporty z FRST, dodatkowo też z Farbar Service Scanner. .

Temat założony w dziale diagnostyki infekcji, żadne obowiązkowe raporty nie podane (KLIK). A na temat używania ComboFix: KLIK. Temat przenoszą do działu Windows, a że nawet nie podałeś o jaki system chodzi, widok ogólny działu. Skoro to bezpośredni skutek czyszczenia rejestru, to: - Użyj kopię zapasową utworzoną podczas usuwania Wise. A jeśli byłeś na tyle nierozważny, że tego nie zrobiłeś: - Zastosuj Przywracanie systemu do daty sprzed porządków. W przypadku braku jakiejkolwiek kopii zapasowej: - Na teraz nic kompletnie nie da się powiedzieć, bo brak danych (wersja systemu, kod BSOD, co było usuwane w Wise). - Może się okazać konieczna reinstalacja Windows. .

Temat przenoszę do działu Wiadows. Ten nie wchodzi w zakres zainteresowań. Ale i tak podałeś tylko logi OTL dla których w ogóle emulacja nie ma znaczenia, to log GMER wymaga takich przygotowań. W menedżerze zadań podświetl ten obciążony svchost.exe, z prawokliku "Przejdź do usług" i wypisz które się wyświelą. Jeśli będzie to svchost natury sieciowej: W raportach brak konkretów, aczkolwiek w Dzienniku zdarzeń są takie błędy związane z obiektami sieciowymi: [ Application Events ] Error - 02/08/2013 15:47:12 | Computer Name = Seba-PL | Source = Application Error | ID = 1000 Description = Faulting application name: ZeroConfigService.exe, version: 15.6.0.0, time stamp: 0x50bd09a8 Faulting module name: MurocApi.dll, version: 15.6.0.0, time stamp: 0x50bd08ba Exception code: 0xc0000005 Fault offset: 0x0000000000026990 Faulting process id: 0xaa8 Faulting application start time: 0x01ce8fb907e96cd9 Faulting application path: C:\Program Files\Intel\WiFi\bin\ZeroConfigService.exe Faulting module path: C:\Program Files\Intel\WiFi\bin\MurocApi.dll Report Id: 52f6b942-fbac-11e2-a7c2-485b394193ec [ System Events ] Error - 02/08/2013 10:20:07 | Computer Name = Seba-PL | Source = Service Control Manager | ID = 7031 Description = The ESET Service service terminated unexpectedly. It has done this 1 time(s). The following corrective action will be taken in 0 milliseconds: Restart the service. Error - 02/08/2013 15:47:22 | Computer Name = Seba-PL | Source = Service Control Manager | ID = 7034 Description = The Intel® PROSet/Wireless Zero Configuration Service service terminated unexpectedly. It has done this 1 time(s). Sugeruję sprawdzić: - Aktualizację oprogramowania / sterowników Intel. - Testową deinstalację ESET Smart Security. .

Brak raportu z MBAM, więc nie wiem o co chodzi. Ja tu mało co widzę w OTL, drobne odpadki adware i nic więcej. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-4176097981-1369824156-4142506894-1000\..\SearchScopes\{CDFC4385-841F-4CEC-8CBC-3CC0F4EFD171}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=kw&q={searchTerms}&locale=&apn_ptnrs=^F4&apn_dtid=^YYYYYY^YY^NL&apn_uid=45b84007-3e00-4d56-9941-528cd8922f3d&apn_sauid=E5446D4B-966F-4B1E-A51F-9CF1DD611CB7 O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKU\S-1-5-21-4176097981-1369824156-4142506894-1000..\Run: [WMPNSCFG] C:\Program Files (x86)\Windows Media Player\WMPNSCFG.exe File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - AppInit_DLLs: (c:\progra~3\browse~1\261339~1.144\{c16c1~1\browse~1.dll) - File not found DRV:64bit: - [2013-05-06 15:00:55 | 000,039,768 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp) [2013-07-25 21:00:16 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job [2013-07-25 20:17:52 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\BabSolution [2013-05-24 17:48:32 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\Babylon [2013-05-24 18:12:10 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\DealPly [2013-06-22 11:45:47 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\File Scout :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Wejdź do ukrytego katalogu C:\ProgramData i ręcznie skasuj wszystkie obiekty z dziwnymi znaczkami w nazwie. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

Hmmm, w raportach nie notuję oczywistych znaków infekcji (tylko adware AVG, ale to nieistotne). - Widzę, że jest zainstalowany MBAM i był w obrotach też RogueKiller. Czy coś w nimi usuwałeś? Jeśli tak, przedstaw raporty z narzędzi. - Dodaj też raporty z FRST. .

Był zgłaszany trojan, został uzyskany dostęp do systemu, więc podaj raporty z OTL i FRST. .

W systemie działa adware Yoonto (zdekompletowane). Poza tym, już kolejny raz mówię o monstrualnym pliku HOSTS (może zamulać system): O1 HOSTS File: ([2010-04-08 00:12:32 | 000,386,052 | R--- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 www.123fporn.info O1 - Hosts: 13318 more lines... Akcja: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://pl.v9.com/ins/ins_1332920037_614669 IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10&barid={97749A56-894E-11E1-8F33-E0CB4EFD9D6E} IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=117242&tt=5212_2&babsrc=SP_ss&mntrId=784206d2000000000000001e64551903 IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\SearchScopes\{1B4E7942-1B8E-4586-A364-F8894CE9D424}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms} IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\SearchScopes\{64A32E68-1ED9-4B44-9FB9-CAFF6500C891}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3225826 IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\SearchScopes\{EA28DA01-A967-41BF-A4A6-79E87786C159}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=d47ba867-75f7-11e1-a7d5-e0cb4efd9d6e&q={searchTerms} IE - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}&barid={97749A56-894E-11E1-8F33-E0CB4EFD9D6E} O2 - BHO: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKLM\..\Toolbar: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) O3 - HKU\S-1-5-21-2862858215-2634975122-809082178-1000\..\Toolbar\WebBrowser: (Nero Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask.com) O4 - HKU\S-1-5-21-2862858215-2634975122-809082178-1000..\Run: [KiesAirMessage] E:\samsung s4\Kies\KiesAirMessage.exe -startup File not found O4 - HKU\S-1-5-21-2862858215-2634975122-809082178-1000..\Run: [LG LinkAir] File not found O4 - HKU\S-1-5-21-2862858215-2634975122-809082178-1000..\Run: [Yontoo Desktop] C:\Users\Dano\AppData\Roaming\Yontoo\YontooDesktop.exe (Yontoo LLC) O4 - Startup: C:\Users\Dano\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iWatchLife_WebCamera.lnk = File not found FF - HKLM\Software\MozillaPlugins\@bittorrent.com/BitTorrentDNA: C:\Program Files (x86)\DNA\plugins\npbtdna.dll File not found FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.79\npGoogleUpdate3.dll File not found SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Intel\WiFi\bin\ZCfgSvc7.exe -- (ZcfgSvc7) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe -- (RegSrvc) SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\Intel\WiFi\bin\PanDhcpDns.exe -- (MyWiFiDHCPDNS) SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\Intel\WiFi\bin\EvtEng.exe -- (EvtEng) :Files C:\Users\Dano\AppData\Roaming\Funmoods C:\Users\Dano\AppData\Roaming\Yontoo C:\Users\Dano\AppData\Roaming\Mozilla\Firefox C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Po w/w operacji sprawdź czy możesz otworzyć Google Chrome. Jeśli tak, to w ustawieniach w Rozszerzeniach oraz zarządzaniu wyszukiwarkami odinstaluj śmieci. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zresetuj plik HOSTS do postaci domyślnej automatem Fix-it: KB972034 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać też plik Addition). Dołącz log utworzony przez AdwCleaner. .

W systemie działa adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware BrowserDefender, Bundled software uninstaller, DealPly, Delta toolbar, Delta Chrome Toolbar oraz wątpliwego cudaka Dll-Files.com Fixer. 2. Wyczyść przeglądarki ze śmieci: - Google Chrome: w Rozszerzeniach odinstaluj to co się powtarza z w/w listy i to czego nie znasz. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy śmieciarskie. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. To nie ma żadnego znaczenia na której stronie jest temat. Widzę wszystko, dodatkowo forum automatycznie znakuje nieprzeczytane tematy. Brak szybkiej odpowiedzi jest dyktowany moim urlopem wakacyjnym. .

Temat przechodzi do działu Windows. Infekcji nie widać. Jest tylko drobne adware wtyczki vShare. Doczyść: - Odinstaluj vShare.tv plugin 1.3. - W Opcjach internetowych usuń ze strony startowej oraz dostawcy wyszukiwania startsear.ch. - Uruchom AdwCleaner i zastosuj Usuń. Brak detali o który svchost.exe chodzi. W menedżerze zadań podświetl ten svchost.exe, z prawokliku "Przejdź do usług" i wypisz wszystkie podświewtlone. Jeśli to będzie sieciowy svchost.exe, nie jest wykluczone, że problem tworzy ESET NOD32 Antivirus. Wstępnie zalecę podstawowe kroki z obcinaniem uruchamianych procesów oraz aktualizacją: 1. W Autoruns: - W karcie Services usuń vToolbarUpdater14.2.0 od zdekompletowanego paska AVG oraz odptaszkuj wpisy SkypeUpdate, WinDefend. - W karcie Logon odznacz wpisy CyberLink (UpdateLBPShortCut, UpdateP2GoShortCut) - W karcie Scheduled Tasks usuń zadanie AVG, wszystkie o stanie "not found" oraz to czego nie potrzebujesz. Po wszystkim zresetuj system. 2. Odinstaluj zbędne / nieużywane aplikacje. Na początek proponuję: ASUS Data Security Manager (jeśli nie stosujesz ASUSowego szyfrowania), ASUS Live Update (aktualizacje firmowe), Spybot - Search & Destroy 2 (aplikacja mało skuteczna, przez ESET zbędna), aplikacje Windows Live zintegrowane z ASUSem. 3. Zaktualizuj system, brak pakietu SP1: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Prawdopodobnie to ten delikwent aktualizacyjny PLAY ONLINE: SRV - [2013-06-21 22:05:55 | 000,246,112 | ---- | M] () [Auto | Stopped] -- C:\Program Files (x86)\PLAY ONLINE\UpdateDog\ouc.exe -- (PLAY ONLINE. RunOuc) Całkiem sporo takich tematów było na forum, przykładowy: KLIK. Postąp w taki sam sposób wyłączając w Autoruns (karta Services) wpis PLAY ONLINE. RunOuc. .

W związku z niemocą SFC trzeba będzie zamienić plik ręcznie. Podaj spis lokalizacji wszystkich kopii pliku. Uruchom SystemLook x64 i do skanu wklej: :filefind WindowsCodecs.dll Klik w Look. .

Temat jedzie do działu Windows. W spoilerze masz instrukcje usunięcia wtrętów adware, ale to nie ma związku z problemami zasadniczymi. Pliki desktop.ini w folderze Autostart utraciły atryybuty HS (ukryty systemowy). Poównawczo temat: KLIK. Biorąc poprawkę na Twoją sytuację: Uruchom z prawokliku cmd jako Administrator i po kolei wklej te komendy, każdą zatwierdzając ENTER: attrib +h +s "C:\Users\PTYLLLO\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" attrib +h +s "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini" Zresetuj system. Potwierdź, że Notatnik już się nie otwiera. 1. Pierwsze podejrzenia to oprogramowanie zabezpieczające, tu kombinacja Bitdefender Internet Security 2012 z MBAM w wesji z rezydentem. Zaczęłabym od deinstalacji BitDefender, zwłaszcza, że w Dzienniku zdarzeń jest błąd ładowania jego sterownika (na ile okazjonalny, nie wiem): Error - 2013-08-11 09:19:20 | Computer Name = PTYLLLO-RSA | Source = Service Control Manager | ID = 7026 Description = Nie mozna zaladowac nastepujacych sterownikow startu rozruchowego lub systemowego: bdselfpr 2. Dodatkowo, widzę taki zbiór błędów Ashampoo: Error - 2013-08-08 14:28:55 | Computer Name = PTYLLLO-RSA | Source = Application Error | ID = 1000 Description = Nazwa aplikacji powodujacej blad: apc.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x50f28b82 Nazwa modulu powodujacego blad: QuickTime.qts_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x5180f322 Kod wyjatku: 0xc0000005 Przesuniecie bledu: 0x54184780 Identyfikator procesu powodujacego blad: 0x12e8 Godzina uruchomienia aplikacji powodujacej blad: 0x01ce9464fb70a035 Sciezka aplikacji powodujacej blad: C:\Program Files\Ashampoo\Ashampoo Photo Commander 10\apc.exe Sciezka modulu powodujacego blad: QuickTime.qts Identyfikator raportu: 6155b9b9-0058-11e3-b3e4-001fd0218d23 Error - 2013-08-08 14:29:00 | Computer Name = PTYLLLO-RSA | Source = Application Error | ID = 1000 Description = Nazwa aplikacji powodujacej blad: apc.exe, wersja: 1.0.0.0, sygnatura czasowa: 0x50f28b82 Nazwa modulu powodujacego blad: QuickTime.qts_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x5180f322 Kod wyjatku: 0xc0000005 Przesuniecie bledu: 0x54184780 Identyfikator procesu powodujacego blad: 0x12e8 Godzina uruchomienia aplikacji powodujacej blad: 0x01ce9464fb70a035 Sciezka aplikacji powodujacej blad: C:\Program Files\Ashampoo\Ashampoo Photo Commander 10\apc.exe Sciezka modulu powodujacego blad: QuickTime.qts Identyfikator raportu: 64d011e2-0058-11e3-b3e4-001fd0218d23 Error - 2013-08-08 15:02:42 | Computer Name = PTYLLLO-RSA | Source = Application Hang | ID = 1002 Description = Program MediaSyncTray.exe w wersji 1.0.2.0 zatrzymal interakcje z systemem Windows i zostal zamkniety. Aby zobaczyc, czy jest dostepnych wiecej informacji dotyczacych tego problemu, sprawdz historie problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 1470 Godzina rozpoczecia: 01ce94435d4f7572 Godzina zakonczenia: 276 Sciezka aplikacji: C:\Program Files\Ashampoo\Ashampoo Media Sync\MediaSyncTray.exe Powyłączaj ze startu wpisy. W Autoruns w karcie Logon odznacz wpisy: O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [Ashampoo Media Sync] C:\Program Files\Ashampoo\Ashampoo Media Sync\MediaSyncTray.exe (Ashampoo GmbH & Co. KG) O4 - HKLM..\Run: [bCSSync] C:\Program Files\Microsoft Office\Office14\BCSSync.exe (Microsoft Corporation) O4 - HKLM..\Run: [Logitech Download Assistant] C:\Windows\System32\LogiLDA.dll (Logitech, Inc.) O4 - HKLM..\Run: [LWS] C:\Program Files\Logitech\LWS\Webcam Software\LWS.exe (Logitech Inc.) W karcie Services odznacz: SRV - [2013-06-21 09:53:36 | 000,162,408 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2013-05-10 08:57:22 | 000,065,640 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2012-07-13 17:27:00 | 000,769,432 | ---- | M] (Nero AG) [Auto | Running] -- C:\Program Files\Nero\Update\NASvc.exe -- (NAUpdate) Zresetuj system. .

tasiorek1990 To nie koniec. W Firefox jest malware: [2013-07-02 23:31:16 | 000,000,000 | ---D | M] (z) -- C:\Program Files (x86)\mozilla firefox\extensions\{db4ed37c-379f-e73f-741a-de6a3aa2e360} 1. Pobierz FRST. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\mozilla firefox\extensions\{db4ed37c-379f-e73f-741a-de6a3aa2e360} C:\Program Files (x86)\uik.dat C:\Program Files (x86)\is.dat C:\Windows\tasks\ROC_JAN2013_TB_rmv.job Reg: reg delete "HKLM\SOFTWARE\Mozilla\Firefox\Extensions" /v {336D0C35-8A85-403a-B9D2-65C292C39087} /f Reg: reg delete "HKCU\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób skan FRST, ma powstać plik Addition. Dołącz plik fixlog.txt. Belfegor Te pliki usuwa opcja Sprzątanie. FF - user.js - File not found Ten wpis user.js jest w 100% w porządku i załączenie w skrypcie nic nie daje. To tylko informacja, że nie ma zablokowanych preferencji niedomyślnym plikiem user.js. .

Na początek odinstaluj adware, bo jest masakra, i zobaczymy co z tego wyniknie. Wiele z obiektów ingeruje właśnie w partie, które zgłaszasz jako wadliwe. Akcja: 1. Przez Panel sterowania odinstaluj: AVG Security Toolbar, Babylon toolbar, Bandoo, BcoolApp, BerOwsae22savaee, Browser Manager, BrowseToSave 1.74, DealPly, Delta Chrome Toolbar, Delta toolbar, FoxTab PDF Converter, Funmoods on IE and Chrome, GBox Updater, Internet Explorer Toolbar 4.6 by SweetPacks, MaintenanceService-Funmoods, Protected Search 1.1, Search Assistant WebSearch 1.74, Searchh-NeWoTTab, SProtector 1.55, SearchCore for Browsers, Windows iLivid Toolbar, SearchYa Toolbar on IE and Chrome, SweetIM for Messenger 3.7, Update_DealPly, Update for PDF Converter, Yontoo 1.10.03 2. Następnie wyczyść przeglądarki: - Google Chrome: wejdź do ustawień. W Rozszerzeniach odinstaluj wszystko co się powtarza na w/w liście oraz to czego nie znasz. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy wszystkie śmieciowe przeglądarki. Wyczyść Historię. - Firefox: strasznie zaśmiecony, ale czyszczenie nieopłacalne, gdyż to archaiczna niebezpieczna wersja Mozilla Firefox 3.0.19. Odinstaluj Firefox, a przy pytaniu o usuwanie danych osobistych odpowiedz twierdząco. Jeśli chcesz ocalić zakładki i hasła (i nic więcej), to przed deinstalacją skorzystaj z MozBackup. - Internet Explorer: wejdź do Opcji internetowych > Zaawansowane > Resetuj. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

W raportach brak oznak czynnej infekcji. Są tylko drobne odpadki adware. Akcja: 1. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log. 2. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Nie wiem co o tym sądzić: MSG [2972] 2013/07/27 22:49:16: C:\windows\syswow64\macromed\flash\flashplayerupdateservice.exe (diagnosis: Malware family: Trojan.Win32.Generic!BT) => Block MSG [5080] 2013/07/27 23:00:00: C:\windows\syswow64\flashplayerupdateservice.exe (diagnosis: Malware family: Trojan.Win32.Generic!BT) => Block .... gdyż plik należy do aktualizatora Adobe Flash: SRV - [2013-05-28 15:05:16 | 000,163,328 | ---- | M] (Adobe Systems Incorporated) [Auto | Stopped] -- C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) Tak poza tym, to instalacja Ad-aware przy Avast to niedobre posunięcie. To jest pełny antywirus, może kolidować oraz bardzo obciążyć czy nawet zablokować system podczas działania konkurencyjnego programu. Odinstaluj Ad-aware + Ad-Aware Security Toolbar. .

Na przyszłość: jeśli OTL nie może ukończyć, rób skan FRST (ma nieco inny algorytm i często przechodzi tam gdzie OTL się wiesza). RKill nic ciekawego nie robił, zabił dwa procesy kamery. Ogólnie oznak infekcji brak. - Czy zawieszenie następuje w tym samym miejscu (konkretna ścieżka dostępu)? - Czy bierzesz pod uwagę, że przeszkodą dla wykonania zadań przez te skanery mogą być inne aplikacje zabezpieczające? Jest tu bogaty arsenał: Panda, MBAM z rezydentem, Online Armor, Keyscrambler. .

Nie zostały podane dane: - Co i gdzie (ścieżka dostępu) pokazało Trojan.Dropper.BC.Miner oraz w jaki sposób próbowałeś to "usunąć rozwiązaniami z sieci". - Był używany ComboFix i na ten temat: KLIK. Nie podany raport C:\ComboFix.txt utworzony przez narzędzie. Dołącz go. Na razie w logu nie widzę czynnej infekcji, tylko ten ukryty plik jest podejrzany: [2013-05-27 08:18:56 | 000,000,000 | -HSD | M] -- C:\Users\user\AppData\Roaming\ggivscai W tym kontekście zwraca uwagę ten proces od alikacji WinUtilities 10.6 Professional Edition: ========== Processes (SafeList) ========== PRC - [2013-03-27 11:58:38 | 000,301,680 | ---- | M] (YL Software) -- C:\Program Files (x86)\WinUtilities\ToolMemoryOptimizer.exe Nazwa sugeruje jakieś "optymalizacje pamięci". To nie są zdrowe rzeczy i skutki mogą być dokładnie odwrotne od zamierzonych. Wyłącz wszystkie optymalizacje RAM, zresetuj system i sprawdź na czym stoisz. .

Brak oznak infekcji trojanami, tylko drobne adware do usunięcia: 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, a przy okazji też Spybot - Search & Destroy 2 (całkowicie zbędny przy KIS). 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Nie podałeś w czym / jakiej ścieżce dostępu. Nie mogę ocenić tego tylko po samej nazwie. Na razie tylko tyle wiem, że Kaspersky nie wykrył infekcji w potocznym rozumieniu tylko jakiegoś reklamiarza. Te pliki są zablokowane przez procesy, ale są w porządku: - etilqs_*: logi SQLite od aplikacji, które ten komponent wykorzystują (m.in. niektóre przeglądarki) - FXSAPIDebugLogFile.txt: plik generowany przez komponent "Usługi drukowania i zarządzania dokumentami" - qtsingleapp-Chomik-739b-2-lockfile: nazwa sugeruje plik Chomika Da się owszem to skasować na siłę, ale pliki będą powstać na nowo. .

To owszem jest infekcja. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj pozycje SafeSaver 1.74, Yontoo 1.10.03, Update for Ultimate Codec, Ultimate Codec Packages. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Host Process for Windows Tasks.vbs C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ssafe saveu C:\ProgramData\APN C:\ProgramData\AskPartnerNetwork C:\Program Files (x86)\AskPartnerNetwork C:\Users\user\AppData\Roaming\W1NRAR C:\Users\user\AppData\Roaming\DSite C:\Users\user\AppData\Roaming\Babylon C:\Users\user\AppData\Roaming\*.exe C:\Users\user\AppData\Roaming\*.dll C:\Users\user\Documents\APNSetup.exe C:\Windows\tasks\DSite.job :OTL O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\MSDCSC\msdcsc.exe) - File not found IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=1371283328 IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=0 IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=0 IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.homesearch-hub.info/?l=1&q={searchTerms}&pid=658&r=2013/06/14&hid=606344816&lg=EN&cc=PL&unqvl=20 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=E2CD902B34CA732A&affID=119357&tsp=4948 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=E2CD902B34CA732A&affID=119357&tsp=4948 IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=ild&from=ild&uid=WDCXWD15EVDS-73V9B0_WD-WMAVU251404714047&ts=0 IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.homesearch-hub.info/?l=1&q={searchTerms}&pid=658&r=2013/06/14&hid=606344816&lg=EN&cc=PL&unqvl=20 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrl.dll File not found FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. .

Log z OTL nieprawidłowo wykonany, opcja Rejestr ustawiona na Wszystko, a miało być Użyj filtrowania. Czy to na pewno log MBAM z zasadniczego usuwania? W podanym skanie MBAM nie widać nic ciekawego, ale logi z OTL/GMER wskazują, że w systemie działał rootkit ZeroAccess. Widoczne szkody: rozwalony Winsock i Windows Defender. Ale szkód jest więcej (usunięte usługi systemowe). O ile problem nadal aktualny, podaj raporty z FRST i Farbar Service Scanner. .

Wg fixlist.txt wszystko poszło dobrze, w nowych logach nie widzę oznak infekcji. Hmmm.. Wypróbuj: F8 > Napraw komputer > Narzędzie do naprawy systemu podczas uruchomienia. .

ESET: nie wiadomo do czego zablokował dostęp, ale nie ma żadnych oznak w raporcie, by infekcja miała miejsce. MBAM: nie wykrył nic szczególnego, katalog C:\Users\DJ\AppData\Roaming\eDownload to adware i nic poza tym. Tylko drobne działania: 1. Dokasuj przez SHIFT+DEL te foldery adware z dysku: [2013-07-29 16:45:12 | 000,000,000 | ---D | C] -- C:\Users\DJ\AppData\Local\Lollipop [2013-07-29 17:25:54 | 000,000,000 | ---D | C] -- C:\Users\DJ\AppData\Local\SwvUpdater [2013-07-29 17:25:13 | 000,000,000 | ---D | C] -- C:\ProgramData\eSafe 2. W Google Chrome jest strona startowa: ========== Chrome ========== CHR - homepage: http://search.splashtop.com/asusexpressgate/mb/searchAPI.php?SE=google&QS=http%3A%2F%2Fwww.google.com%2Fcustom%3Fq%3D%26sa.x%3D0%26sa.y%3D0%26client%3Dpub-3794288947762788%26forid%3D1%26channel%3D0058537074%26ie%3DUTF-8%26oe%3DUTF-8%26safe%3Dactive%26cof%3DGALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1%26hl%3Dpl .