picasso

Temat przenoszę do działu Windows. Brak oznak infekcji. 1. Ze względu na fakt uruchamiania GMER, zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP) (KLIK). W Dzienniku zdarzeń jest błąd mogący sugerować spadek z DMA do PIO: Error - 2013-08-19 11:39:03 | Computer Name = ADMIN | Source = atapi | ID = 262153 Description = Urządzenie \Device\Ide\IdePort0 nie odpowiedziało w ramach ustalonego limitu czasu. 2. Sprawdź oczywistych podejrzanych (oprogramowanie zabezpieczające), w tym przypadku Avast. Wykonaj testową deinstalację. .

W systemie działa adware. Przeprowadź następujące działania: 1. Na początek poprawne deinstalacje: - Przez Dodaj/Usuń programy odinstaluj adware BrowserDefender, SaveShare 1.74, Search Assistant WebSearch 1.74, SearchNewTab, savENshare, Qtrax Player, Web Cake 3.00 oraz zbędny przy Ad-aware IObit Malware Fighter. - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Oznak infekcji brak. Temat przenoszę do działu Windows. 1. Skoro był brutalny restart, jest możliwe naruszenie struktury systemu plików. Przeprowadź checkdisk. 2. Upewnij się też, że problemu nie stanowią programy zabezpieczające: AVG 2013 i COMODO Internet Security. Deinstaluj partiami przedzielając restartami i sprawdzaj wyniki. .

Wyniki z HD Tune oraz ten powielający się zestaw błędów w Dzienniku zdarzeń: [ System Events ] Error - 2013-08-18 13:18:49 | Computer Name = Eliz-Komputer | Source = atapi | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2. + zestaw z "plik może być uszkodzony": [ Application Events ] Error - 2013-08-01 18:29:27 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 482 Description = Catalog Database (1408) Catalog Database: Próba zapisu do pliku "C:\Windows\system32\CatRoot2\edbtmp.log" na pozycji względnej 0 (0x0000000000000000) w ilości 65536 (0x00010000) bajtów zakończyła się niepomyślnie po 10 s z błędem systemowym 33 (0x00000021): "Proces nie może uzyskać dostępu do pliku, ponieważ inny proces zablokował jego część. ". Operacja zapisu zostanie zakończona z błędem -1032 (0xfffffbf8). Jeśli ta sytuacja będzie się powtarzać, plik może być uszkodzony i może być konieczne przywrócenie go z wcześniejszej kopii zapasowej. Error - 2013-08-01 18:29:28 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 413 Description = Catalog Database (1408) Catalog Database: Nie można utworzyć nowego pliku dziennika, ponieważ baza danych nie może dokonać zapisu na dysku dziennika. Dysk może być tylko do odczytu, zapełniony, niewłaściwie skonfigurowany lub uszkodzony. Błąd -1032. Error - 2013-08-01 18:29:28 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 492 Description = Catalog Database (1408) Catalog Database: Sekwencja pliku dziennika w "C:\Windows\system32\CatRoot2\" została zatrzymana z powodu błędu krytycznego. Przyszłe aktualizacje nie są możliwe w wypadku baz danych używających tej sekwencji pliku dziennika. Usuń problem i ponownie uruchom bazę danych lub przywróć ją z kopii zapasowej. Error - 2013-08-02 05:35:25 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 482 Description = Catalog Database (1236) Catalog Database: Próba zapisu do pliku "C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb" na pozycji względnej 12984320 (0x0000000000c62000) w ilości 262144 (0x00040000) bajtów zakończyła się niepomyślnie po 8 s z błędem systemowym 1117 (0x0000045d): "Nie można wykonać żądania z powodu błędu urządzenia We/Wy. ". Operacja zapisu zostanie zakończona z błędem -1022 (0xfffffc02). Jeśli ta sytuacja będzie się powtarzać, plik może być uszkodzony i może być konieczne przywrócenie go z wcześniejszej kopii zapasowej. Error - 2013-08-02 05:36:04 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 482 Description = Windows (2012) Windows: Próba zapisu do pliku "C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb" na pozycji względnej 10551296 (0x0000000000a10000) w ilości 1048576 (0x00100000) bajtów zakończyła się niepomyślnie po 8 s z błędem systemowym 1117 (0x0000045d): "Nie można wykonać żądania z powodu błędu urządzenia We/Wy. ". Operacja zapisu zostanie zakończona z błędem -1022 (0xfffffc02). Jeśli ta sytuacja będzie się powtarzać, plik może być uszkodzony i może być konieczne przywrócenie go z wcześniejszej kopii zapasowej. ... sugerują problem z dyskiem twardym. Temat przenoszę do działu Hardware. Dostosuj się do zasad działu i podaj specyfikację sprzętową. .

Nie wiadomo co przeprowadziłeś, ani co spowodowało ustąpienie efektu. Logi są prawie sprzed miesiąca, stan obecny nieznany. Ale patrząc na nie można powiedzieć, że nie ma tu infekcji w rozumieniu trojanów, tylko błahe defekty: adware oraz szczątki antywirusa McAfee. Przeprowadź następujące działania: 1. Uruchom McAfee Consumer Product Removal Tool. 2. Odinstaluj adware: - Przez Panel sterowania: Facemoods Toolbar, XfireXO Toolbar. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Podstawowa sprawa z zasad działu nie zrealizowana: cel podawania raportów, brak opisu problemu. Samo podanie logów nie wystarcza. Owszem, z loga tu podanego wiem, że system został zablokowany i uruchamia Ci się linia komend przy starcie, ale należy zawsze dokładnie opisać stan z którym przychodzisz. 1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej: :Reg [HKEY_USERS\rafek_ON_C\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Files C:\Documents and Settings\rafek\Ustawienia lokalne\Dane aplikacji\byfoz.qit C:\Documents and Settings\rafek\Ustawienia lokalne\Dane aplikacji\2433f433 C:\Documents and Settings\All Users\Dane aplikacji\2433f433 C:\Documents and Settings\rafek\Dane aplikacji\2433f433C C:\Documents and Settings\rafek\Dane aplikacji\Kifoyq C:\Documents and Settings\rafek\Dane aplikacji\Pagy C:\Documents and Settings\rafek\Dane aplikacji\PriceGong C:\Documents and Settings\rafek\Dane aplikacji\Sonie C:\Documents and Settings\rafek\Dane aplikacji\Uciz C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :OTL O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKU\rafek_ON_C\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O3 - HKU\rafek_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ArcaClean] File not found O4 - HKU\rafek_ON_C..\Run: [ALLUpdate] File not found O4 - HKU\rafek_ON_C..\Run: [lex@hand] File not found O4 - HKU\rafek_ON_C..\Run: [PowerBar] File not found O4 - HKU\rafek_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Documents and Settings\rafek\Ustawienia lokalne\Temp\qivyidhhfpvleeptf.exe (Valve Corporation) O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O33 - MountPoints2\{934955e6-945f-11dd-96bf-0018de36f4bf}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe O33 - MountPoints2\{934955e6-945f-11dd-96bf-0018de36f4bf}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe DRV - File not found [Kernel | System] -- -- (Wbutton) DRV - File not found [Kernel | On_Demand] -- -- (USBAAPL) DRV - File not found [Kernel | System] -- -- (mailKmd) DRV - File not found [Kernel | On_Demand] -- -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand] -- -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand] -- -- (filtertdidriver) DRV - File not found [Kernel | On_Demand] -- -- (ew_hwusbdev) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Na dysku C:\ powstanie log z wynikami usuwania. System powinien zostać odblokowany, loguj się normalnie do systemu, by przeprowadzić kolejne działania: 2. Odinstaluj adware: - Przez Panel sterowania odinstaluj: AVG Security Toolbar, Facemoods, IB Updater, SweetIM (kilka pozycji powinno być). - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi z OTL w wersji pod Windows, ma powstać też plik Extras. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. .

Wprawdzie zadania wykonane, ale infekcja nie została usunięta, plik w starcie zmienił nazwę z lsass.exe na trz9BE1.tmp. Kolejna porcja akcji: 1. Odinstaluj zbędne aplikacje Akamai NetSession Interface Service, Windows Media Player Firefox Plugin. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\AGATA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz9BE1.tmp C:\ProgramData\ESET C:\Program Files\ESET C:\Users\AGATA\AppData\Roaming\Mozilla :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie nowy log z wynikami usuwania. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2. .

Odznaczyłeś w starcie = nie wiadomo co to było, gdyż OTL na ustawieniach domyślnych nie skanuje msconfig. Na razie widzę tylko szczątki infekcji na dysku. Przeprowadź następujące działania: 1. Na początek drobne porządki po adware: - Przez Panel sterowania odinstaluj zbędny McAfee Security Scan. - Wyczyść preferencje Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0 O7 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0 O7 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0 [2013-08-11 00:01:34 | 000,000,165 | ---- | M] () -- C:\ProgramData\uyqfmuncfpwcgmsmglj.reg [2013-08-11 00:01:34 | 000,000,070 | ---- | M] () -- C:\ProgramData\uyqfmuncfpwcgmsmglj.bat [2013-08-10 18:00:02 | 000,000,464 | ---- | M] () -- C:\Windows\tasks\ParetoLogic Registration.job [2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Bofob [2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Egadl [2013-03-02 14:36:21 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ergyy [2013-02-20 17:37:23 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ewapz [2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Hoxuh [2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Oxegn [2013-03-01 20:50:42 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Vuyg [2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Vyadro [2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ydvi [2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Yfxywo [2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ywhae [2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Zytay [2012-11-24 05:44:16 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\_MDLogs :Reg [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej słowo msconfig i klik w Skanuj (a nie Wykonaj skrypt). Przedstaw wynikowy log. .

Podaj jaki plik konkretnie widzisz na komunikacie. Czy nie jest to przypadkiem BROWSE~1.DLL (od adware Browser Defender)? Na teraz czyszczenie z adware: 1. Przez Dodaj/Usuń programy odinstaluj adware BrowserDefender, Delta toolbar, Delta Chrome Toolbar. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

makak 1. Co do skryptu: - Przywróć ten plik z kwarantanny OTL (katalog C:\_OTL): C:\Windows\System32\acovcnt.exe. To plik ASUS. - Do skasowania za to ten plik infekcji: C:\Users\Kris\AppData\Roaming\skype.ini. 2. OTL w OTLPE jest zbyt stary. Po odblokowaniu systemu należy podać logi z OTL / FRST spod Windows. .

Logi zrobione na podstawie ustawień z innego forum. Na przyszłość: proszę się trzymać wytycznych w przyklejonym temacie tutaj. Nie opisałaś na czym to polegało, jaki błąd. System owszem zainfekowany czymś co wygląda na przychówek z trefnej paczki Tibia (w starcie plik wostock416.exe). Jest też ogromna ilość adware. Wykonaj następujące działania: 1. Odinstaluj adware: - Przez Panel sterowania: AVG Security Toolbar, BrowseToSave, Complitly, DAEMON Tools Toolbar, HomeTab 4.4, saaveensyhhare, SaveShare 1.74, SFT_Polska Toolbar, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl Toolbar. - W Google Chrome: w Rozszerzeniach zrób deinstalację tego co się powtarza z w/w listy. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Web Search. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Odinstaluj crack aktywacji Windows 7 Chew7Hale (ma bardzo negatywny wpływ na system = spowolnienie): O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe () 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1331295145_675151 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q= IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1331295145_675151 IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q= IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q= IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q= IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms} IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_btis&mntrId=AEBE0025229F9214&affID=119357&tsp=4976 IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{13E7A3B4-5C44-493F-84CB-2DCA7E74A9E6}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=243EEE77-619A-4036-BD6E-3E2A3CF7241B&apn_sauid=5B958332-1818-45FB-A8A1-C48491577B18 IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{48F6C996-8298-4F64-A97A-BCB3FC55684D}: "URL" = http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc= IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={205169C9-3302-47B9-AE77-E7852B59B5C6}&mid=ae4b2ca4c3b047d0b4bfd16c647b7be7-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=cv011&pr=sa&d=2012-07-14 14:45:07&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms} IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{DA99BC77-941C-43e4-BC0D-570798A349A3}: "URL" = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms} FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: D:\Ubisoft Game Launcher\npuplaypc.dll File not found O3 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [] File not found O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [ASRockXTU] File not found O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [RGSC] D:\GTA4\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [uTorrent] "D:\Minecraft PC Gamer Demo\uTorrent.exe" /MINIMIZED File not found O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [zASRockInstantBoot] File not found O4 - Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe () [2013-05-21 17:50:57 | 000,003,716 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml [2013-04-06 14:39:28 | 000,002,338 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-03-09 14:12:25 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml [2013-08-17 08:39:17 | 000,002,008 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml [2012-01-15 12:35:46 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\Babylon [2013-03-27 08:12:31 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\systweak [2013-04-06 14:39:49 | 000,001,488 | ---- | M] () -- C:\user.js :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Files netsh advfirewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST. Dołącz log utworzony przez AdwCleaner. .

Objaw sugerowałby naruszoną wartość Userinit, ale: - W raporcie FRST nie widać tego wpisu. Nie jestem też pewna czy w skan FRST mogę do końca wierzyć na polskim systemie XP. Były trudności z detekcją polskich ścieżek, które zgłaszałam, zostało to jakoby naprawione, ale... - OTLPE w ogóle nie notuje Userinit, choć nie pamiętam jak to jest w starym OTL (nowy zawsze pokazuje Userinit). Niezależnie od wyników skanów proponuję zaimportować Userinit i zobaczymy co się stanie: 1. Przygotuj import rejestru w Notatniku: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik ma być dostępny z poziomu OTLPE. 2. Z poziomu OTLPE uruchom OTL, zostaw okno otwarte i go nie zamykaj. To zamontuje rejestr. Klik w Start > Run > regedit i z menu Plik zaimportuj plik FIX.REG. 3. Następnie w OTL w sekcji Custom Scans/Fixes wklej: :Files C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart\keertrgkmbqorjgcqxk.lnk C:\Documents and Settings\Karolina\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\Karolina\Dane aplikacji\AVG Secure Search C:\Documents and Settings\Karolina\Dane aplikacji\DriverFinder C:\Documents and Settings\Karolina\Dane aplikacji\eDownload C:\Documents and Settings\Karolina\Dane aplikacji\Funmoods C:\Documents and Settings\Karolina\Dane aplikacji\OpenCandy C:\Documents and Settings\Karolina\Dane aplikacji\PriceGong C:\Documents and Settings\Karolina\Dane aplikacji\ProgSense C:\Documents and Settings\Karolina\Dane aplikacji\systweak C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager :OTL IE - HKU\Karolina_ON_C\..\URLSearchHook: {cc2e2b99-14d3-4516-883c-9ea147f594ef} - Reg Error: Key error. File not found FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: File not found FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: File not found O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [Zwinky Search Scope Monitor] C:\Program Files\Zwinky_5q\bar\1.bin\5qSrchMn.exe (MindSpark) O4 - HKLM..\Run: [Zwinky_5q Browser Plugin Loader] C:\Program Files\Zwinky_5q\bar\1.bin\5qbrmon.exe (VER_COMPANY_NAME) O4 - HKU\Karolina_ON_C..\Run: [AdobeBridge] File not found O4 - HKU\Karolina_ON_C..\Run: [browser Infrastructure Helper] C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Smartbar\Application\QuickShare.exe (Smartbar) O4 - HKU\Karolina_ON_C..\Run: [ccleaner] File not found O4 - HKU\Karolina_ON_C..\Run: [DriverFinder] File not found O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - File not found SRV - File not found [Auto] -- -- (vToolbarUpdater13.2.0) SRV - File not found [On_Demand] -- -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental) SRV - [2013/06/22 16:15:52 | 000,042,504 | ---- | M] (COMPANYVERS_NAME) [Auto] -- C:\Program Files\Zwinky_5q\bar\1.bin\5qbarsvc.exe -- (Zwinky_5qService) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [File_System | On_Demand] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand] -- -- (catchme) DRV - File not found [Kernel | On_Demand] -- -- (btwhid) DRV - File not found [Kernel | On_Demand] -- -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand] -- -- (BTDriver) DRV - File not found [Kernel | On_Demand] -- -- (btaudio) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Na dysku C powstanie log z usuwania. 4. Spróbuj wejść do Windows. Jeśli to się uda, usuń adware: - Przez Dodaj/Usuń programy odinstaluj Zwinky, Smartbar. - Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log ze standardowego OTL z opcji Skanuj (ma powstać plik Extras). Dołącz log z usuwania OTL z punktu 3 oraz utworzony przez AdwCleaner. .

Bodzio501, otóż to = są wakacje, byłam nieobecna i nie mogłam tu wcześniej pociągnąć tematu. Posty przypominające łączę. To nie jest poprawny log z Farbar Service Scanner (usuwam), zapuściłeś jakieś kuriozalne wyszukiwanie w nim, a miał być log zrobiony wg opisu w przyklejonym. Owszem, są ślady infekcji tym rootkitem, i cały katalog Windows Defender jest przerobiony na linki symboliczne, stąd problemy. Również śmieci adware. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess? DeleteJunctionsIndirectory: C:\Program Files\Windows Defender CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T CMD: rd /s /q C:\$Recycle.Bin HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD501LJ_S0ZFJ1KQ502261502261X&ts=1352198129 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.09010003&st=12&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD501LJ_S0ZFJ1KQ502261502261X&ts=1352198129 SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120121105302072&tb_oid=21-01-2012&tb_mrud=21-01-2012 SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=117380&tt=201112_1849_4712_8&babsrc=SP_ss&mntrId=2cf08eee000000000000582c80139263 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67} SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120121105302072&tb_oid=21-01-2012&tb_mrud=21-01-2012 BHO: Help the General-Search Project - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Users\Kopacze\AppData\Roaming\MEDIAF~1\EXTENS~1\GENCRA~1.DLL () BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - No File Toolbar: HKLM - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\v9.xml CHR HKLM\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Kopacze\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Kopacze\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM\...\Chrome\Extension: [kiplfnciaokpcennlkldkdaeaaomamof] - C:\Users\Kopacze\AppData\Local\Torch\Plugins\TorchPlugin.crx CHR HKLM\...\Chrome\Extension: [lpmkgpnbiojfaoklbkpfneikocaobfai] - C:\Users\Kopacze\AppData\Roaming\Media Finder\Extensions\mf_plugin_gc.crx CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Kopacze\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.crx HKLM\...\Run: [NPSStartup] - [x] Task: {365BFE1E-D791-4DF7-9605-485CB3BF541B} - System32\Tasks\DealPly => C:\Users\Kopacze\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE No File Task: {4B96704D-9E79-4044-AB22-497C2110DC6D} - System32\Tasks\{9DA7D609-DFE8-4E68-8434-48A2ACDFF055} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {6AA55A77-3B45-41B7-AEE3-159532890F5F} - System32\Tasks\{D37BC6E1-AED6-4343-8B4B-36B2D2E98CA1} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {7DF1563D-F280-4D7C-95E6-34830B4F268C} - System32\Tasks\{C24C30A1-8003-437A-A6F5-DE29FC66CAE4} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {921C9A2D-37A7-448F-9D08-04240CA2473A} - System32\Tasks\{6710621D-B6FA-465E-B8AE-FE41AED93DB8} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {9E0485CC-956E-4771-88D0-05F01AC85899} - System32\Tasks\{77319B91-0BBB-49AF-BD78-3BA17655A7DF} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {B57EFEDD-DCFD-48BD-9E20-9B20D7C28352} - System32\Tasks\{8A77A5EE-282E-457B-A525-944D6719EDB3} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation) Task: {C64B0499-7AF9-4C6F-8A08-372F34F1677B} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe No File Task: {D86EC529-A140-427E-AB83-FD3D042E11A0} - System32\Tasks\Express Files Updater => C:\Program Files\ExpressFiles\EFupdater.exe No File S3 DisplayLinkUsbPort; system32\DRIVERS\DisplayLinkUsbPort.sys [x] S3 nmwcd; system32\drivers\ccdcmb.sys [x] S3 nmwcdc; system32\drivers\ccdcmbo.sys [x] S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x] S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x] S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x] C:\Users\Kopacze\AppData\Local\Torch C:\Users\Kopacze\AppData\Roaming\Media Finder C:\Users\Kopacze\AppData\Roaming\OpenCandy C:\ProgramData\Browser Manager Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Następnie operacje w przeglądarkach: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Rese nie naruszy zakładek i haseł. - Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST + Farbar Service Scanner. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Running] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\point32k.sys -- (Point32) DRV - File not found [Kernel | Disabled | Stop_Pending] -- system32\DRIVERS\epfwwfpr.sys -- (epfwwfpr) DRV - File not found [Kernel | Disabled | Running] -- system32\DRIVERS\ehdrv.sys -- (ehdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\I386\AsProcOb.sys -- (ASUSProcObsrv) IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=2b0ad2a0-4444-11e1-a807-002618629aae&q={searchTerms} IE - HKCU\..\SearchScopes\{21F6842D-E5D6-40CC-AA5A-1D6314FF58A7}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=2b0ad2a0-4444-11e1-a807-002618629aae&q={searchTerms} O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found [2013-08-15 12:45:24 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2013-08-15 12:07:38 | 000,115,712 | ---- | C] (Solar) -- C:\Users\AGATA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe [2013-08-15 20:08:00 | 000,361,984 | ---- | M] () -- C:\Users\AGATA\AppData\Roaming\01C15E5D.exe [2013-08-15 12:07:57 | 000,366,080 | ---- | M] () -- C:\Users\AGATA\AppData\Roaming\0009D72C.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. .

W ostatnim logu z FRST nic już nie widać. Skoro nadal jest problem, jest obiekt nie objęty skanem FRST lub sytuacja się zmieniła. Poproszę o: 1. Nowy tracycyjny log z FRST z opcji Scan, gdyż minęło kilka dni. 2. Dodatkowy skan na zawartość folderu Startup. W Notatniku utwórz plik o zawartości: Folder: C:\Users\ogqozo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup Zapisz pod nazwą fixlist.txt. Uruchom w taki sam sposób jak poprzednio. Podaj wynikowy plik fixlog.txt. .

W podanych tu raportach nie widać oznak adware. Nie przedstawiłeś raportu, który utworzył AdwCleaner na dysku C. Dla formalności go przedstaw. Na czym to polegało? Skąd dokładnie był pobierany instlator? A stąd: KLIK? .

Czy to na pewno logi ze stanu, gdy jest problem? Widać w nich tylko jeden plik poboczny infekcji (cache.ini), brak wpisu Shell z plikiem cache.dat. Na teraz: 1. Odinstaluj adware i zbędne aplikacje: - Przez Panel sterowania: McAfee Security Scan Plus, NetPanel, Codec Package Packages, Update for Codec Package - Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\xxx\AppData\Roaming\cache.ini C:\Users\xxx\AppData\Roaming\BabSolution C:\Users\xxx\AppData\Roaming\Babylon C:\Users\xxx\AppData\Roaming\DSite C:\Windows\tasks\DSite.job :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=BC02001E37E2980C FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\gemgecko@gemius.com: C:\Program Files\NetPanel\gemgecko_ext\ [2013-07-11 14:54:12 | 000,000,000 | ---D | M] :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz logi z FRST. Dołącz log z AdwCleaner. .

Nie podałeś skąd dokładnie antywirus usuwa obiekt (dokładna ścieżka dostępu). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. [2013-08-17 02:13:14 | 000,000,942 | ---- | M] () -- C:\Users\Powstańców 45A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pwyryohwowrvarcqqad.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. .

KowalKol zostały tu dostarczone tylko raporty z AdwCleaner i nic więcej nie można powiedzieć o systemie. Zasady działu: KLIK. Proszę o raporty z OTL i FRST.

Nic tu nie widzę z zakresu infekcji. Tylko wpisy puste po różnych odinstalowanych aplikacjach oraz szczątki adware. Zanim się za to zabiorę: Czy podane tu logi są na pewno właściwe? Dane zostały pobrane z poziomu wbudowanego w system serwisowego konta "Administrator": Computer Name: NNB0405-1794 | User Name: Administrator | Logged in as Administrator. Logi muszą być zrobione z poziomu konta na którym jest problem. Wg spisu plików na dysku jest katalog innego konta niż Administrator. Zaloguj się na to konto i zrób nowe logi z OTL. .

Po odinstalowaniu wymienionego adware: 1. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Wątpię, by te objawy miały przyczynę w adware. Jeśli powyższe czyszczenie nie wpłynie na sytuację, prędzej podejrzanym jest Norton Internet Security. .

Nie dodałeś obowiązkowego raportu z GMER. W OTL nie ma oznak czynnej infekcji. Widać tylko drobne adware i małe nieaktywne szczątki po infekcji. To wszystko nie powinno mieć związku ze zgłaszanymi problemami. 1. Przez Panel sterowania odinstaluj: 50 FREE MP3s +1 Free Audiobook!, Conduit Engine, Download Updater (AOL LLC), uTorrentBar Toolbar, Winamp Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Michał\AppData\Roaming\skype.dat C:\Users\Michał\AppData\Roaming\del.bat C:\Users\Michał\AppData\Roaming\CheckPoint C:\Users\Michał\AppData\Roaming\eIntaller C:\Users\Michał\AppData\Roaming\ESET :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programy\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110525194436146&tb_oid=22-09-2010&tb_mrud=25-05-2011 IE - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110525194436146&tb_oid=22-09-2010&tb_mrud=25-05-2011 O3 - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. DRV - [2009-10-22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\50899942.sys -- (50899942) DRV - [2009-10-09 23:31:02 | 000,311,312 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\System32\drivers\5089994.sys -- (setup_9.0.0.722_14.05.2013_17-45drv) DRV - [2009-09-25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\50899941.sys -- (50899941) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Sprawdź czy wina nie leży po stronie F-Secure. Zrób testową deinstalację, gdyż tylko to gwarantuje odcięcie wszystkich aktywności antywirusa. Ale w czym, w jakiej ścieżce dostępu? Wg raportu OTL usługa Windows Defender jest na miejscu: SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) Ale na wszelki wypadek dodaj jeszcze raport z Farbar Service Scanner. .

Skoro temat założyłeś w dziale diagnostyki infekcji, to brak obowiązkowego raportu z GMER. W OTL nie ma oznak czynnej infekcji, tylko drobne akcje: 1. Uruchom AdwCleaner i zastosuj Usuń. 2. Dokasuj przez SHIFT+DEL te obiekty z katalogu C:\Documents and Settings\Właściciel: Temat przenoszę do działu Sieci. Dostosuj się do zasad: KLIK. I upewnij się, że problemu nie tworzy Avast. Test poprzez deinstalację. Przy okazji: mówisz, że to komputer firmowy, a jest zainstalowana darmowa wersja Avast, która nie dopuszcza takiego scenariusza użytkowego. Avast jest darmowy do użytku domowego i niekomercyjnego. .

Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj; - Adware: BrowserProtect, DealPly, Delta toolbar, Delta Chrome Toolbar, Desk 365, Internet Explorer Toolbar 4.6 by SweetPacks, Search-Results Toolbar, SweetIM for Messenger 3.7, SweetPacks Bundle Uninstaller, Update Manager for SweetPacks 1.1, Update for Video Converter, Video Converter Packages. - Zbędne aplikacje firmowe (wyklucz te z których użytkownik korzysta): AsusVibe2.0 (rodzaj sklepu), ASUS WebStorage (internetowy dysk wirtualny), ASUS FaceLogon (logowanie do systemu poprzez rozpoznawanie twarzy), ASUS Live Update (aktualizacje), ASUS Splendid Video Enhancement Technology ("poprawianie jakości ekranu"), Bing Bar, CyberLink, Trend Micro Titanium Internet Security, Windows Live Essentials. 2. Po w/w deinstalacjach wyczyść przeglądarki: - Google Chrome: w Rozszerzeniach odinstaluj wszystko co się powtarza z powyższej listy oraz to czego nie znasz. W zarządzaniu wyszukiwarkami skasuj co zostało wtórnie dodane (o ile coś takiego nastąpiło). Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać Addition). Dołącz log utworzony przez AdwCleaner. .

Veiled, są wakacje i prowadzący pomoc nie mogą być obecni 24/7. System jest potwornie zaśmiecony adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: Babylon toolbar, BabylonObjectInstaller, BrowserProtect, Bundled software uninstaller, CheckRun22apple_uninstaller, DealPly, Delta toolbar, Delta Chrome Toolbar, FilesFrog Update Checker, FoxTab FLV Player, FoxTab Media Player, Funmoods Web Search, IB Updater Service, Internet Explorer Toolbar 4.6 by SweetPacks, Lyrmix, MaintenanceService-Funmoods, McAfee Security Scan Plus, Optimizer Pro v3.0, RelevantKnowledge, SweetIM for Messenger 3.7, Update_DealPly, VuuPC, You're Always a Click Away! ... oraz wątpliwy skaner SpyHunter. 2. Następnie po kolei wyczyść przeglądarki: - Google Chrome: w Rozszerzeniach odinstaluj wszystko co się powtarza z powyższej listy oraz to czego nie znasz. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Search the web (Babylon) oraz inne śmieciarskie wyszukiwarki. Wyczyść Historię. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .