picasso

Widzę tylko drobne odpadki adware. Akcja: 1. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Od tego reklamiarza zostały tylko autoryzacje w Zaporze. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę netsh advfirewall reset 2. W OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Sprawdź czy masz najnowsze wersje Mozilla (logi są sprzed dłuższego czasu): KLIK To tyle. .

OK, wszystko się zgadza. Finalizujemy temat: 1. Preferencje Google Chrome powróciły do życia. Ale widać w nich domyślną wyszukiwarkę adware. Wejdź do opcji do zarządzania wyszukiwarkami, ustaw Google jako domyślną, a po tym skasuj z listy Search the web (Babylon). 2. Przez SHIFT+DEL skasuj foldery C:\FRST + C:\AdwCleaner. W OTL uruchom Sprzątanie, w AdwCleaner uruchom deinstalację. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 10 ActiveX (x32 Version: 10.0.42.34) ----> wtyczka dla IE Adobe Reader 9.1 MUI (x32 Version: 9.1.0) Google Chrome (x32 Version: 28.0.1500.95) Java™ 6 Update 30 (x32 Version: 6.0.300) Mozilla Firefox 22.0 (x86 pl) (x32 Version: 22.0) .

Temat przenoszę do działu Windows. Oznak infekcji brak. Sprawdź czy nie bruździ ESET Smart Security. Testowo go odinstaluj. .

To jest log AdwCleaner z wynikami skanowania tylko do odczytu. Czy na pewno uruchomiłeś opcję usuwania? Powinien być w folderze plik mający w nazwie literkę S. Jest taki?

Wykrycie GMER dla mnie niejasne. A w raportach OTL notuję tylko szczątki adware. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593 IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593 IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593 IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=ST31500341AS_9VS4GM4GXXXX9VS4GM4G&ts=1376080593 IE - HKU\S-1-5-21-1716329714-369077267-911810370-1000\..\SearchScopes\{731E9D73-A8D3-4BE5-B34C-9FF32FD0C9C9}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms} O2 - BHO: (no name) - {9cf699ca-2174-4ed8-bec1-ba82095edce0} - No CLSID value found. O2 - BHO: (no name) - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - No CLSID value found. O9 - Extra Button: Rich Media Downloader - {A7DF592F-6E2A-45C4-9A87-4BD217D714ED} - Reg Error: Key error. File not found FF - HKLM\Software\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=3: C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.dpliveupdate.com/DealPlyLive Update;version=9: C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll File not found [2013-08-09 22:52:59 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2013-08-09 22:41:31 | 000,000,894 | ---- | M] () -- C:\Windows\tasks\DealPlyLiveUpdateTaskMachineUA.job [2013-08-09 22:39:26 | 000,000,294 | ---- | M] () -- C:\Windows\tasks\Dealply.job [2013-08-09 22:36:09 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Local\DealPlyLive [2013-08-09 22:35:57 | 000,000,000 | ---D | C] -- C:\Program Files\SimilarSites [2013-08-09 22:35:53 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Roaming\SimilarSites [2013-08-09 22:35:44 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Roaming\eIntaller [2013-08-09 22:25:07 | 000,000,000 | ---D | C] -- C:\Users\Wojtek\AppData\Local\Letty [2013-08-09 22:16:24 | 000,315,904 | ---- | C] (InstallShield Software Corporation) -- C:\Windows\IsUninst.exe [2013-04-30 13:16:38 | 000,004,150 | ---- | C] () -- C:\ProgramData\flwjycbm.bab DRV - [2013-08-09 23:11:23 | 000,054,016 | ---- | M] () [Kernel | Boot | Unknown] -- C:\Windows\System32\drivers\kobmvwh.sys -- (owyqdxic) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. .

Yontoo to nie wirus lecz adware reklamodawcze, instalowane przez nieuwagę w instalatorze innej aplikacji. I jest tu większa ilość śmieci: 1. Przez Panel sterowania odinstaluj adware BrowserProtect, Bundled software uninstaller, Delta Chrome Toolbar, Desk 365, GoforFiles, iLivid, PrivitizeVPN oraz produkty IOBit (IObit Malware Fighter). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2013/07/19 05:56:21 | 000,376,896 | ---- | M] (Wsys Co., Ltd.) [Auto | Running] -- C:\ProgramData\eSafe\eGdpSvc.exe -- (WsysSvc) IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=0 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=0 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=1373284198 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=PL&userid=d0a030eb-41c1-4be7-b0e5-79c99b6ac2ed&sp=addr&q={searchTerms}&t=b0304 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119293&tt=190313_wo2&babsrc=SP_ss&mntrId=082DB6DBC94C28EC IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&from=cor&uid=WDCXWD5000BPVT-80HXZT3_WD-WXD1E91STCF4STCF4&ts=0 IE - HKU\S-1-5-21-1252852128-3867128784-3920013267-1001\..\SearchScopes\{92566674-2FC3-4D58-A4C3-0E84D06DC2AF}: "URL" = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=114576&p={searchTerms} FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Program Files (x86)\Common Files\McAfee\SystemCore FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\msktbird@mcafee.com: C:\Program Files\McAfee\MSK O2:64bit: - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121111192233.dll File not found O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121111192233.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [Adobe Flash Player SU] C:\Windows\Adobe Flash\Adobe.exe File not found O4 - HKLM..\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey File not found :Files C:\ProgramData\eSafe C:\Program Files (x86)\Desk 365 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Desk 365 C:\Users\Adam\AppData\Roaming\(00-23-B4-6B-8B-E8) C:\Users\Adam\AppData\Roaming\(0C-14-20-13-4F-32) C:\Users\Adam\AppData\Roaming\BabSolution C:\Users\Adam\AppData\Roaming\Babylon C:\Users\Adam\AppData\Roaming\Desk 365 C:\Users\Adam\AppData\Roaming\eIntaller C:\Users\Adam\AppData\Roaming\File Scout C:\Users\Adam\AppData\Roaming\GoforFiles C:\Users\Adam\AppData\Roaming\OpenCandy C:\Users\Adam\AppData\Roaming\wyUpdate AU C:\Users\Adam\AppData\Roaming\mozilla\Firefox C:\Program Files (x86)\mozilla firefox C:\Users\Adam\AppData\Roaming\sp_data.sys :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać plik Addition). Dołącz log utworzony przez AdwCleaner. .

AdwCleaner w najnowszej wersji tworzy folder, w którym są logi, tak więc wygrzeb stamtąd: ==================== One Month Created Files and Folders ======== 2013-08-23 04:54 - 2013-08-23 04:56 - 00000000 ____D C:\AdwCleaner Nie wypowiadasz się czy jest jakaś poprawa stanu systemu. Wymagane poprawki: 1. FRST notuje uszkodzenie preferencji przeglądarki: Chrome: ======= Error reading preferences. Please check "preferences" file for possible corruption. Uruchom przeglądarkę i przeprowadź następujące działania: - Wejdź do opcji. W Rozszerzeniach odinstaluj to czego nie rozpoznajesz. W zarządzaniu wyszukiwarkami podobnie. Wyczyść Historię. - Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Otwórz Notatnik i wklej w nim: Task: {6D47B343-30D1-4206-8531-51115C7334BE} - System32\Tasks\{4FCEA4D4-7C83-414E-877E-509CDB42FBDE} => C:\Program Files\Trend Micro\Internet Security\UfNavi.exe No File Task: {6D74210A-760F-4EC5-A0E5-41045170AF70} - System32\Tasks\{C10C108E-E06E-46C2-BC39-7EC1ABAAB333} => C:\Users\lukasz\Downloads\XP-Codec-Pack-2.4.6_unidownload.com(1).exe No File Task: {755734D2-3D14-4A0C-9941-4AB0EF4B5470} - System32\Tasks\{5F3E11B9-CA9C-4A02-8A68-67174F1E92A6} => C:\Users\lukasz\Desktop\FC2.exe No File Task: {79A355DD-70DB-4A33-B220-29C5F251B710} - System32\Tasks\{ABEFE51D-9E9C-4E32-8735-16E9BBF616E7} => C:\Users\lukasz\Desktop\FC2.exe No File Task: {8D0ED8D4-48B5-4790-A83D-A25568C60BB1} - System32\Tasks\{D021882A-9E2C-4CA0-B7A5-57798B73BC2A} => C:\Users\lukasz\Downloads\FLVPlayerSetup.exe No File Task: {91ED52A5-0624-4FF6-9E9F-DB2EBC890B0B} - System32\Tasks\{A4FD417C-3DDE-4465-B250-A05C56393892} => C:\Program Files (x86)\Nero\Nero 11\Nero Burning ROM\nero.exe No File Task: {9D6B4CAE-D4E6-43DC-A1A8-30BB111D639A} - System32\Tasks\{AB1F8A5C-99E0-49FF-BA85-A9A715DE73C6} => C:\Users\lukasz\Downloads\FLVPlayerSetup.exe No File Task: {9EA9AD21-25EA-4E0A-B12C-21F718853BD9} - System32\Tasks\{E79D66F8-0AA0-48EB-93BA-643AF404A877} => C:\Program Files\Trend Micro\Internet Security\UfNavi.exe No File Task: {B925E4C3-87B0-47B7-9908-F5272CDD2C1F} - System32\Tasks\{7D797225-AB35-436A-8F9C-8B1D2864B5FE} => C:\Program Files (x86)\Norton AntiVirus\Engine\18.6.0.29\uistub.exe No File Task: {BABEFB61-09A8-45F9-B7B5-CE6841C12941} - \AmiUpdXp No Task File Task: {FDD2A6BA-120E-4560-B6F9-305A89F91FD3} - System32\Tasks\{B92D40CC-F2ED-45D4-B863-F93BC47A6E6B} => C:\Users\lukasz\Downloads\XP-Codec-Pack-2.4.6_unidownload.com(1).exe No File Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File HKLM\...\Run: [ASUS WebStorage] - C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe [x] HKLM\...\Run: [setwallpaper] - c:\programdata\SetWallpaper.cmd [x] HKLM\...\Run: [zLoader.exe] - "C:\Program Files (x86)\Cyfrowy Polsat\MF821\Bin\zLoader.exe" [x] HKLM\...\Run: [CancelAutoPlay.exe] - "C:\Program Files (x86)\Cyfrowy Polsat\MF821\Bin\CancelAutoPlay.exe" [x] HKCU\...\Run: [msnmsgr] - "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [x] AppInit_DLLs-x32: c:\progra~3\browse~1\251005~1.80\{c16c1~1\browse~1.dll [97280 2009-07-14] () Handler-x32: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - No File S3 ipswuio; System32\DRIVERS\ipswuio.sys [x] S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [x] U3 tmlwf; U3 tmwfp; S3 zgdcat; system32\DRIVERS\zgdcat.sys [x] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [x] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [x] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [x] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [x] c:\progra~3\browse~1 C:\Windows\¸ó$ Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz zaległy AdwCleaner. .

Log z OTL zrobiony na złym ustawieniu, opja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. W systemie działa aktywnie infekcja i to nie jedna. Winę m.in. ponosi kompletnie nieaktualizowany Windows XP: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware V9 HomeTool, Yontoo 1.10.03, Protected Search 1.1, McAfee Security Scan Plus. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1844237615-152049171-682003330-1004..\Run: [gaigaen] C:\Documents and Settings\dtc\gaigaen.exe () O4 - HKU\S-1-5-21-1844237615-152049171-682003330-1004..\Run: [riuom] C:\Documents and Settings\dtc\riuom.exe () O4 - HKLM..\RunOnce: [] File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Synchronizer.lnk = File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk = File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 47765 = C:\DOCUME~1\ALLUSE~1.WIN\LOCALS~1\Temp\mskuucwy.pif DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\rsmgtn.sys -- (NdisFileServices32) :Files riuom.exe /alldrives C:\Documents and Settings\dtc\*.lnk C:\Documents and Settings\dtc\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\SweetIM C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Tarma Installer C:\Documents and Settings\dtc\Dane aplikacji\Babylon C:\Documents and Settings\dtc\Dane aplikacji\SwvUpdater C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\yahoo.xml.old C:\Program Files\mozilla firefox\searchplugins\yahoo.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\mozilla firefox\searchplugins\Web Search.xml C:\WINDOWS\tasks\AmiUpdXp.job netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Secondary Start Pages"=- "Start Default_Page_URL"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 2 oraz log utworzony przez AdwCleaner. .

W raporcie OTL nie notuję oznak infekcji. Na urządzeniu za to jest folder infekcji I:\hYDguxl. A z ukrytych danych należy zdjąć atrybuty HS. Tego nie da się zrobić z poziomu Właściwości folderów, atrybut S nie jest w taki sposób dostępny. Akcja: 1. Pobierz FRST. Otwórz Notatnik i wklej w nim: CMD: attrib /d /s -s -h I:\* CMD: rd /s /q I:\hYDguxl CMD: rd /s /q I:\$RECYCLE.BIN CMD: rd /s /q I:\RECYCLER Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {2318C2B1-4965-11D4-9B18-009027A5CD4F} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{B164E929-A1B6-4A06-B104-2CD0E90A88FF}" /f C:\Windows\SysWow64\e2b62826.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób logi: FRST + USBFix z opcji Listing. Dołącz plik fixlog.txt. .

Proszę o potwierdzenie napraw, czyli nowy log OTL z opcji Skanuj + log z Farbar Service Scanner.

Nie widzę wpisów infekcji w raportach OTL. W GMER jest natomiast nieco podejrzany odczyt w sektorach. Na wszelki wypadek zrób jeszcze skan w Kaspersky TDSSKiller.

kosa351, jeśli problem nadal aktualny: - Na razie daruj sobie AdwCleaner. Owszem, adware tu jest, ale to nie jest podstawowy problem. W systemie działa rootkit ZeroAccess w wariancie infekującym sterowniki systemowe. - Dostarcz raporty z FRST i GMER. Każdy użytkownik ma limitowany do 5MB magazyn. Na razie nie mogę przyznać nieograniczonej przestrzeni przy stale rosnącej licznie użytkowników. Kombinuję inną metodę, ale nie mogę z nią ruszyć przed wersją IPB 4. Posiłkuj się serwisami wklejkowymi. .

Zastrzeżenia: - Przestarzała wersja OTL 3.2.55.0. Ten program musi być w najnowszej dostępnej wersji. - OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowqy" nie została ustawiona na "użyj filtrowania"). 1. W raportach widoczna makabreska. Są zainstalowane i uruchomione w tym samym czasie dwa antywirusy: AVG2013 + ESET. Nie wolno łączyć dwóch AV tego samego kalibru. W takim stanie to system może zostać nawet całkowicie zablokowany. Odinstaluj jeden z nich, zresetuj system i sprawdź na czym stoisz. Po tym zrób nowy raport z najnowszego OTL. 2. Po uporaniu się z antywirusami nadrób aktualizacje systemu (brak SP1 + IE10 + reszty łat): 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) A to dziwne, przy antywirusach powinien znaleźć przynajmniej ich aktywności. Ale zostaw już tego GMERa. .

Oznak infekcji brak. Tylko do czyszczenia mini szczątki adware i wpisy puste (bez związku z problemami). W spoilerze instrukcja. Temat przenoszę do działu Hardware. To wszystko sugeruje problem z oprogramowaniem nVidia lub kartą graficzną i to problem nadrzędny (te zawieszenia i mutujące się "kursory" to pewnie tylko skutki a nie przyczyny). Jaka konkretnie wersja sterowników była instalowana? W jaki sposób była wykonywana ich deinstalacja "ręczna"? Dodaj raport z HWInfo (obrazki z Summary + Sensors). Poglądowo podsuwam też temat z podobnym błędem: KLIK. .

1. Pobierz najnowszą wersję FRST (ma określone poprawki). Następnie otwórz Notatnik i wklej w nim: C:\Documents and Settings\Asia\Dane aplikacji\jrdevdig C:\Documents and Settings\Asia\Dane aplikacji\wehsuguw C:\WINDOWS\system32\cache HKCU\...\Policies\Explorer\Run: [Cocoon Software] C:\Documents and Settings\Asia\Dane aplikacji\wehsuguw\rtgiawcs.exe [98304 2011-01-15] ( ()) SearchScopes: HKCU - ${searchCLSID} URL = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = Toolbar: HKCU -No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File FF Plugin: @nexon.net/NxGame - C:\Documents and Settings\All Users\Dane aplikacji\NexonUS\NGM\npNxGameUS.dll No File Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f S3 ApfiltrService; system32\DRIVERS\Apfiltr.sys [x] S3 dgderdrv; System32\drivers\dgderdrv.sys [x] S3 LgBttPort; system32\DRIVERS\lgbtport.sys [x] S3 lgbusenum; system32\DRIVERS\lgbtbus.sys [x] S3 LGVMODEM; system32\DRIVERS\lgvmodem.sys [x] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x] S3 usbbus; system32\DRIVERS\lgusbbus.sys [x] S3 UsbDiag; system32\DRIVERS\lgusbdiag.sys [x] S3 USBModem; system32\DRIVERS\lgusbmodem.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i hasel, ale używane rozszerzenia trzeba będzie przeinstalować. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Akcje wykonane. Zostały mini-poprawki. Ale zabrakło pliku Addition FRST. Dołącz. .

Logi powstały już jakiś czas temu. Czy na pewno w dniu dzisiejszym te wszystkie problemy nadal mają miejsce? W raportach nie widzę w ogóle oznak infekcji, ani rzucających się w oczy problemów. Co najwyżej do przeprowadzenia drobna kosmetyka na wpis szczątkowe. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3274669142-2560897108-2589224444-1001\..\SearchScopes\{36F271C8-A97D-409F-9DAD-BA516BC1C12B}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=64DFDA33-71A9-4333-A414-5055AFCC4A33&apn_sauid=8C801689-1AFE-4589-AD05-37AE055A6CED O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-3274669142-2560897108-2589224444-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-3274669142-2560897108-2589224444-1000..\Run: [FactoryTest] C:\Windows\Test.bat File not found O4 - HKU\S-1-5-21-3274669142-2560897108-2589224444-1000..\Run: [Power2GoExpress] NA File not found [2013-08-11 22:04:11 | 000,712,264 | ---- | C] (MindSpark) -- C:\Program Files (x86)\8hUninstall Allin1Convert.dll [2013-08-11 22:03:03 | 000,712,264 | ---- | C] (MindSpark) -- C:\Program Files (x86)\1cUninstall BringMeSports.dll [2013-07-28 21:43:31 | 000,194,952 | ---- | M] () -- C:\Program Files (x86)\1cres.dll [2013-07-28 21:39:40 | 000,194,952 | ---- | M] () -- C:\Program Files (x86)\8hres.dll [2013-06-20 00:06:57 | 000,000,000 | ---D | M] -- C:\Users\Marzena i Tomek\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I :Reg [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. .

LOGI OTL SYLWEK: Widzę zainstalowany program Malwarebytes Anti-Malware. Czy były podejmowane w nim jakieś działania? W raporcie OTL nie ma znaków infekcji. Tylko kosmetyczne działania na szczątki adware: 1. Przez Panel sterowania odinstaluj Bundled software uninstaller, Download Updater (AOL Inc.). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3717578363-688119157-1029262823-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=SAMSUNG_HM641JI_S26XJ9BB409164&ts=1351280333 IE - HKU\S-1-5-21-3717578363-688119157-1029262823-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKU\S-1-5-21-3717578363-688119157-1029262823-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms} O3 - HKU\S-1-5-21-3717578363-688119157-1029262823-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-3717578363-688119157-1029262823-1000..\Run: [] File not found [2013-07-19 19:29:16 | 000,000,000 | ---D | C] -- C:\Users\Sylwek\Local Settings [2013-07-19 19:29:15 | 000,000,000 | ---D | C] -- C:\Users\Sylwek\AppData\Local\Lollipop [2012-10-26 21:39:48 | 000,000,000 | ---D | M] -- C:\Users\Sylwek\AppData\Roaming\OpenCandy :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. LOGI OTL WERONIKA: I w tym raporcie OTL nie widać infekcji. LOGI USBFix: Tylko log SYLWKA pokazuje podpięte urządzenia przenośne. W spisie nie widać oznak infekcji i tych skrótów LNK, o których mówisz. Czy problem na pewno nadal występuje? Natomiast: vs. [31/07/2013 - 20:43:42 | RASHD ] G:\Autorun.inf [31/07/2013 - 20:43:42 | RASHD ] H:\Autorun.inf To są zapewne zabezpieczające (niekasowalne tradycyjne) foldery utworzone przez opcję immunizacyjną USBFix. Jeśli chcesz się ich pozbyć, to w opisie USBFix jest narzędzie MKV do tego celu: KLIK. .

W żadnym z podanych tu raportów USBFix nie widzę śladów tej infekcji. Problem zdaje się być rozwiązany. Dokończ sprawy ogólne w systemie: 1. Nie wykonałeś tego, a nowy log miał potwierdzić prawidłową ich deinstalację: 2. Po deinstalacjach drobne korekty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Corri\Pulpit\Continue Mipony Download Manager Installation.lnk C:\Documents and Settings\Corri\Pulpit\DownloadManagerSetup.exe C:\Documents and Settings\Corri\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL O15 - HKCU\..Trusted Domains: com.pl ([mks] http in Trusted sites) O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\nvhda32.sys -- (NVHDA) :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). .

Plik FIX.REG nie jest już potrzebny. Natomiast uprawnienia katalogu Windows Defender są nie do końca takie jak być powinny. Poprawka: 1. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. 2. Usuń z dysku poprzedni plik C:\log.txt. Uruchom plik LISTA.BAT. Przedstaw nowy wynikowy C:\log.txt. I mam jeszcze pytanie: czy działa wyświetlanie obrazów PNG w Internet Explorer? .

Nie odpowiedziałeś na pytanie w czym F-Secure wykrył infekcję. Nie podałeś raportu z Farbar Service Scanner. Poza tym, lilczysz na temat: Co do zadanych akcji, to jeszcze poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva401.sys -- (XDva401) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\eMusic Promotion] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Przedstaw log z wynikami usuwania. Tyle wystarczy. Nowy skan OTL nie jest potrzebny. .

Brak oznak infekcji. I wątpię, by opisywany objaw był tego pochodną. To wygląda na przejściowy problem z DNS.

Akcje pomyślnie przeprowadzone. Finalizacja: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Porównaj co wymaga aktualiacji (od ostatnich logów minęło trochę czasu): KLIK. BTW. Co z tym tematem: KLIK? .

Przeglądarka Safari kwalifikuje się do usunięcia, jest nieaktualizowana i nie jest bezpieczne jej używanie (KLIK). W kwestii usuwania adware: 2. Na pocztek deinstalacje: - Przez Panel sterowania odinstaluj adware AVG SafeGuard toolbar, iSafe, Snap.Do, wątpliwy skaner SpyHunter oraz produkty IOBit. IOBit jest nierzetelną firmą (w przeszłości kradzież bazy danych MBAM, podejrzenie ripu innych aplikacji, związki z podejrzanymi partnerami, adware w instalatorach). - W Google Chrome w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Delta Search. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać Addition). Dołącz log utworzony przez AdwCleaner. .