picasso

Oznak infekcji brak. Temat przenoszę do działu Windows.

  Cytat

Podczas normalnego przeglądania internetu, zawiesił mi się komputer. Ctrl + alt +delete nie dało żadnej reakcji, więc zastosowałem restart.

1. Skoro był brutalny restart, jest możliwe naruszenie struktury systemu plików. Przeprowadź checkdisk.

2. Upewnij się też, że problemu nie stanowią programy zabezpieczające: AVG 2013 i COMODO Internet Security. Deinstaluj partiami przedzielając restartami i sprawdzaj wyniki.

.

Wyniki z HD Tune oraz ten powielający się zestaw błędów w Dzienniku zdarzeń:

[ System Events ]

Error - 2013-08-18 13:18:49 | Computer Name = Eliz-Komputer | Source = atapi | ID = 262155

Description = Sterownik wykrył błąd kontrolera na \Device\Ide\IdePort2.

+ zestaw z "plik może być uszkodzony":

[ Application Events ]

Error - 2013-08-01 18:29:27 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 482

Description = Catalog Database (1408) Catalog Database: Próba zapisu do pliku "C:\Windows\system32\CatRoot2\edbtmp.log"

na pozycji względnej 0 (0x0000000000000000) w ilości 65536 (0x00010000) bajtów

zakończyła się niepomyślnie po 10 s z błędem systemowym 33 (0x00000021): "Proces

nie może uzyskać dostępu do pliku, ponieważ inny proces zablokował jego część.

". Operacja zapisu zostanie zakończona z błędem -1032 (0xfffffbf8). Jeśli ta sytuacja

będzie się powtarzać, plik może być uszkodzony i może być konieczne przywrócenie

go z wcześniejszej kopii zapasowej.
 

Error - 2013-08-01 18:29:28 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 413

Description = Catalog Database (1408) Catalog Database: Nie można utworzyć nowego

pliku dziennika, ponieważ baza danych nie może dokonać zapisu na dysku dziennika.

Dysk może być tylko do odczytu, zapełniony, niewłaściwie skonfigurowany lub uszkodzony.

Błąd -1032.
 

Error - 2013-08-01 18:29:28 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 492

Description = Catalog Database (1408) Catalog Database: Sekwencja pliku dziennika

w "C:\Windows\system32\CatRoot2\" została zatrzymana z powodu błędu krytycznego.

Przyszłe aktualizacje nie są możliwe w wypadku baz danych używających tej sekwencji

pliku dziennika. Usuń problem i ponownie uruchom bazę danych lub przywróć ją z

kopii zapasowej.
 

Error - 2013-08-02 05:35:25 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 482

Description = Catalog Database (1236) Catalog Database: Próba zapisu do pliku "C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"

na pozycji względnej 12984320 (0x0000000000c62000) w ilości 262144 (0x00040000)

bajtów zakończyła się niepomyślnie po 8 s z błędem systemowym 1117 (0x0000045d):

"Nie można wykonać żądania z powodu błędu urządzenia We/Wy. ". Operacja zapisu

zostanie zakończona z błędem -1022 (0xfffffc02). Jeśli ta sytuacja będzie się powtarzać,

plik może być uszkodzony i może być konieczne przywrócenie go z wcześniejszej kopii

zapasowej.
 

Error - 2013-08-02 05:36:04 | Computer Name = Eliz-Komputer | Source = ESENT | ID = 482

Description = Windows (2012) Windows: Próba zapisu do pliku "C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb"

na pozycji względnej 10551296 (0x0000000000a10000) w ilości 1048576 (0x00100000)

bajtów zakończyła się niepomyślnie po 8 s z błędem systemowym 1117 (0x0000045d):

"Nie można wykonać żądania z powodu błędu urządzenia We/Wy. ". Operacja zapisu

zostanie zakończona z błędem -1022 (0xfffffc02). Jeśli ta sytuacja będzie się powtarzać,

plik może być uszkodzony i może być konieczne przywrócenie go z wcześniejszej kopii

zapasowej.

... sugerują problem z dyskiem twardym. Temat przenoszę do działu Hardware. Dostosuj się do zasad działu i podaj specyfikację sprzętową.

.

Nie wiadomo co przeprowadziłeś, ani co spowodowało ustąpienie efektu. Logi są prawie sprzed miesiąca, stan obecny nieznany. Ale patrząc na nie można powiedzieć, że nie ma tu infekcji w rozumieniu trojanów, tylko błahe defekty: adware oraz szczątki antywirusa McAfee. Przeprowadź następujące działania:

1. Uruchom McAfee Consumer Product Removal Tool.

2. Odinstaluj adware:

- Przez Panel sterowania: Facemoods Toolbar, XfireXO Toolbar.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Podstawowa sprawa z zasad działu nie zrealizowana: cel podawania raportów, brak opisu problemu. Samo podanie logów nie wystarcza. Owszem, z loga tu podanego wiem, że system został zablokowany i uruchamia Ci się linia komend przy starcie, ale należy zawsze dokładnie opisać stan z którym przychodzisz.

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej:

:Reg
[HKEY_USERS\rafek_ON_C\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\rafek\Ustawienia lokalne\Dane aplikacji\byfoz.qit
C:\Documents and Settings\rafek\Ustawienia lokalne\Dane aplikacji\2433f433
C:\Documents and Settings\All Users\Dane aplikacji\2433f433
C:\Documents and Settings\rafek\Dane aplikacji\2433f433C
C:\Documents and Settings\rafek\Dane aplikacji\Kifoyq
C:\Documents and Settings\rafek\Dane aplikacji\Pagy
C:\Documents and Settings\rafek\Dane aplikacji\PriceGong
C:\Documents and Settings\rafek\Dane aplikacji\Sonie
C:\Documents and Settings\rafek\Dane aplikacji\Uciz
C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
C:\Program Files\Mozilla Firefox\extensions\arcabit@www.arcabit.pl
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:OTL
O2 - BHO: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found.
O3 - HKU\rafek_ON_C\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O3 - HKU\rafek_ON_C\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [ArcaClean] File not found
O4 - HKU\rafek_ON_C..\Run: [ALLUpdate] File not found
O4 - HKU\rafek_ON_C..\Run: [lex@hand] File not found
O4 - HKU\rafek_ON_C..\Run: [PowerBar] File not found
O4 - HKU\rafek_ON_C..\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Documents and Settings\rafek\Ustawienia lokalne\Temp\qivyidhhfpvleeptf.exe (Valve Corporation)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O33 - MountPoints2\{934955e6-945f-11dd-96bf-0018de36f4bf}\Shell\AutoRun\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe
O33 - MountPoints2\{934955e6-945f-11dd-96bf-0018de36f4bf}\Shell\open\command - "" = E:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winse32.exe
DRV - File not found [Kernel | System] -- -- (Wbutton)
DRV - File not found [Kernel | On_Demand] -- -- (USBAAPL)
DRV - File not found [Kernel | System] -- -- (mailKmd)
DRV - File not found [Kernel | On_Demand] -- -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand] -- -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand] -- -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand] -- -- (ew_hwusbdev)
 
:Commands
[emptytemp]

Klik w Run Fix. Na dysku C:\ powstanie log z wynikami usuwania. System powinien zostać odblokowany, loguj się normalnie do systemu, by przeprowadzić kolejne działania:

2. Odinstaluj adware:

- Przez Panel sterowania odinstaluj: AVG Security Toolbar, Facemoods, IB Updater, SweetIM (kilka pozycji powinno być).

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowe logi z OTL w wersji pod Windows, ma powstać też plik Extras. Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

.

Wprawdzie zadania wykonane, ale infekcja nie została usunięta, plik w starcie zmienił nazwę z lsass.exe na trz9BE1.tmp. Kolejna porcja akcji:

1. Odinstaluj zbędne aplikacje Akamai NetSession Interface Service, Windows Media Player Firefox Plugin.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\AGATA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\trz9BE1.tmp
C:\ProgramData\ESET
C:\Program Files\ESET
C:\Users\AGATA\AppData\Roaming\Mozilla
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie nowy log z wynikami usuwania.

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2.

.

Odznaczyłeś w starcie = nie wiadomo co to było, gdyż OTL na ustawieniach domyślnych nie skanuje msconfig. Na razie widzę tylko szczątki infekcji na dysku. Przeprowadź następujące działania:

1. Na początek drobne porządki po adware:

- Przez Panel sterowania odinstaluj zbędny McAfee Security Scan.

- Wyczyść preferencje Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O3 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0
O7 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0
O7 - HKU\S-1-5-21-1034896762-105475695-347534386-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0
[2013-08-11 00:01:34 | 000,000,165 | ---- | M] () -- C:\ProgramData\uyqfmuncfpwcgmsmglj.reg
[2013-08-11 00:01:34 | 000,000,070 | ---- | M] () -- C:\ProgramData\uyqfmuncfpwcgmsmglj.bat
[2013-08-10 18:00:02 | 000,000,464 | ---- | M] () -- C:\Windows\tasks\ParetoLogic Registration.job
[2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Bofob
[2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Egadl
[2013-03-02 14:36:21 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ergyy
[2013-02-20 17:37:23 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ewapz
[2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Hoxuh
[2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Oxegn
[2013-03-01 20:50:42 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Vuyg
[2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Vyadro
[2013-02-23 17:16:26 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ydvi
[2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Yfxywo
[2013-02-24 17:08:09 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Ywhae
[2013-02-28 19:56:24 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\Zytay
[2012-11-24 05:44:16 | 000,000,000 | ---D | M] -- C:\Users\Home\AppData\Roaming\_MDLogs
 
:Reg
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej słowo msconfig i klik w Skanuj (a nie Wykonaj skrypt). Przedstaw wynikowy log.

.

  Cytat

Wyskakują mi powiadomienia o złym obrazie systemu windows.

Podaj jaki plik konkretnie widzisz na komunikacie. Czy nie jest to przypadkiem BROWSE~1.DLL (od adware Browser Defender)?

Na teraz czyszczenie z adware:

1. Przez Dodaj/Usuń programy odinstaluj adware BrowserDefender, Delta toolbar, Delta Chrome Toolbar.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

makak

1. Co do skryptu:

- Przywróć ten plik z kwarantanny OTL (katalog C:\_OTL): C:\Windows\System32\acovcnt.exe. To plik ASUS.

- Do skasowania za to ten plik infekcji: C:\Users\Kris\AppData\Roaming\skype.ini.

2. OTL w OTLPE jest zbyt stary. Po odblokowaniu systemu należy podać logi z OTL / FRST spod Windows.

.

Logi zrobione na podstawie ustawień z innego forum. Na przyszłość: proszę się trzymać wytycznych w przyklejonym temacie tutaj.

  Cytat

wczoraj, nie chciały mi się włączać programy, takie jak Winamp, TS, GG etc.

Nie opisałaś na czym to polegało, jaki błąd.

System owszem zainfekowany czymś co wygląda na przychówek z trefnej paczki Tibia (w starcie plik wostock416.exe). Jest też ogromna ilość adware. Wykonaj następujące działania:

1. Odinstaluj adware:

- Przez Panel sterowania: AVG Security Toolbar, BrowseToSave, Complitly, DAEMON Tools Toolbar, HomeTab 4.4, saaveensyhhare, SaveShare 1.74, SFT_Polska Toolbar, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, uTorrentControl Toolbar.

- W Google Chrome: w Rozszerzeniach zrób deinstalację tego co się powtarza z w/w listy. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Web Search.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Odinstaluj crack aktywacji Windows 7 Chew7Hale (ma bardzo negatywny wpływ na system = spowolnienie):

O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1331295145_675151
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q=
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/vlt/vlt_1331295145_675151
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q=
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q=
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=62606&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&st=chrome&q=
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms}
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms}
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://isearch.babylon.com/?q={searchTerms}&babsrc=SP_ss_btis&mntrId=AEBE0025229F9214&affID=119357&tsp=4976
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{13E7A3B4-5C44-493F-84CB-2DCA7E74A9E6}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=243EEE77-619A-4036-BD6E-3E2A3CF7241B&apn_sauid=5B958332-1818-45FB-A8A1-C48491577B18
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{48F6C996-8298-4F64-A97A-BCB3FC55684D}: "URL" = http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc=
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={205169C9-3302-47B9-AE77-E7852B59B5C6}&mid=ae4b2ca4c3b047d0b4bfd16c647b7be7-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=cv011&pr=sa&d=2012-07-14 14:45:07&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms}
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{DA99BC77-941C-43e4-BC0D-570798A349A3}: "URL" = http://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
IE - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.certified-toolbar.com?si=62606&st=bs&tid=6533&ver=4.3&ts=1376721050680&tguid=62606-6533-1376721050680-C6DF6E59092F9446BFA9A17F46AF7638&q={searchTerms}
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: D:\Ubisoft Game Launcher\npuplaypc.dll File not found
O3 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [] File not found
O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [ASRockXTU] File not found
O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [RGSC] D:\GTA4\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found
O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [uTorrent] "D:\Minecraft PC Gamer Demo\uTorrent.exe" /MINIMIZED File not found
O4 - HKU\S-1-5-21-3258194760-4281213798-108815393-1000..\Run: [zASRockInstantBoot] File not found
O4 - Startup: C:\Users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe ()
[2013-05-21 17:50:57 | 000,003,716 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml
[2013-04-06 14:39:28 | 000,002,338 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2012-03-09 14:12:25 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
[2013-08-17 08:39:17 | 000,002,008 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml
[2012-01-15 12:35:46 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\Babylon
[2013-03-27 08:12:31 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\systweak
[2013-04-06 14:39:49 | 000,001,488 | ---- | M] () -- C:\user.js
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Files
netsh advfirewall reset /C
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST. Dołącz log utworzony przez AdwCleaner.

.

  Cytat

po odpaleniu w trybie normalnym i awaryjnym natychmiast sie wylogowywuje do planszy z nazwami userow. Uzytkowniczka zeznaje, ze byla infekcja Ukash.

Objaw sugerowałby naruszoną wartość Userinit, ale:

- W raporcie FRST nie widać tego wpisu. Nie jestem też pewna czy w skan FRST mogę do końca wierzyć na polskim systemie XP. Były trudności z detekcją polskich ścieżek, które zgłaszałam, zostało to jakoby naprawione, ale...

- OTLPE w ogóle nie notuje Userinit, choć nie pamiętam jak to jest w starym OTL (nowy zawsze pokazuje Userinit). Niezależnie od wyników skanów proponuję zaimportować Userinit i zobaczymy co się stanie:

1. Przygotuj import rejestru w Notatniku:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Plik ma być dostępny z poziomu OTLPE.

2. Z poziomu OTLPE uruchom OTL, zostaw okno otwarte i go nie zamykaj. To zamontuje rejestr. Klik w Start > Run > regedit i z menu Plik zaimportuj plik FIX.REG.

3. Następnie w OTL w sekcji Custom Scans/Fixes wklej:

:Files


C:\Documents and Settings\Karolina\Menu Start\Programy\Autostart\keertrgkmbqorjgcqxk.lnk

C:\Documents and Settings\Karolina\Dane aplikacji\ArcaVirMicroScan

C:\Documents and Settings\Karolina\Dane aplikacji\AVG Secure Search

C:\Documents and Settings\Karolina\Dane aplikacji\DriverFinder

C:\Documents and Settings\Karolina\Dane aplikacji\eDownload

C:\Documents and Settings\Karolina\Dane aplikacji\Funmoods

C:\Documents and Settings\Karolina\Dane aplikacji\OpenCandy

C:\Documents and Settings\Karolina\Dane aplikacji\PriceGong

C:\Documents and Settings\Karolina\Dane aplikacji\ProgSense

C:\Documents and Settings\Karolina\Dane aplikacji\systweak

C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search

C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit

C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager
 

:OTL

IE - HKU\Karolina_ON_C\..\URLSearchHook: {cc2e2b99-14d3-4516-883c-9ea147f594ef} - Reg Error: Key error. File not found

FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: File not found

FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: File not found

O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found.

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.

O3 - HKU\Karolina_ON_C\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.

O4 - HKLM..\Run: [Zwinky Search Scope Monitor] C:\Program Files\Zwinky_5q\bar\1.bin\5qSrchMn.exe (MindSpark)

O4 - HKLM..\Run: [Zwinky_5q Browser Plugin Loader] C:\Program Files\Zwinky_5q\bar\1.bin\5qbrmon.exe (VER_COMPANY_NAME)

O4 - HKU\Karolina_ON_C..\Run: [AdobeBridge] File not found

O4 - HKU\Karolina_ON_C..\Run: [browser Infrastructure Helper] C:\Documents and Settings\Karolina\Ustawienia lokalne\Dane aplikacji\Smartbar\Application\QuickShare.exe (Smartbar)

O4 - HKU\Karolina_ON_C..\Run: [ccleaner] File not found

O4 - HKU\Karolina_ON_C..\Run: [DriverFinder] File not found

O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - File not found

SRV - File not found [Auto] -- -- (vToolbarUpdater13.2.0)

SRV - File not found [On_Demand] -- -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)

SRV - [2013/06/22 16:15:52 | 000,042,504 | ---- | M] (COMPANYVERS_NAME) [Auto] -- C:\Program Files\Zwinky_5q\bar\1.bin\5qbarsvc.exe -- (Zwinky_5qService)

DRV - File not found [Kernel | On_Demand] -- -- (UIUSys)

DRV - File not found [File_System | On_Demand] -- -- (StarOpen)

DRV - File not found [Kernel | On_Demand] -- -- (catchme)

DRV - File not found [Kernel | On_Demand] -- -- (btwhid)

DRV - File not found [Kernel | On_Demand] -- -- (BTWDNDIS)

DRV - File not found [Kernel | On_Demand] -- -- (BTDriver)

DRV - File not found [Kernel | On_Demand] -- -- (btaudio)
 

:Commands

[emptytemp]

Klik w Run Fix. Na dysku C powstanie log z usuwania.

4. Spróbuj wejść do Windows. Jeśli to się uda, usuń adware:

- Przez Dodaj/Usuń programy odinstaluj Zwinky, Smartbar.

- Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log ze standardowego OTL z opcji Skanuj (ma powstać plik Extras). Dołącz log z usuwania OTL z punktu 3 oraz utworzony przez AdwCleaner.

.

  Cytat

Ja naprawdę potrzebuje pomocy,muszę pobierać dużo plików i po za tym są wakacje! Pomoże mi pan?

Bodzio501, otóż to = są wakacje, byłam nieobecna i nie mogłam tu wcześniej pociągnąć tematu. Posty przypominające łączę. To nie jest poprawny log z Farbar Service Scanner (usuwam), zapuściłeś jakieś kuriozalne wyszukiwanie w nim, a miał być log zrobiony wg opisu w przyklejonym.

Owszem, są ślady infekcji tym rootkitem, i cały katalog Windows Defender jest przerobiony na linki symboliczne, stąd problemy. Również śmieci adware. Przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

HKCR\...409d6c4515e9\InprocServer32: [Default-shell32] ATTENTION! ====> ZeroAccess?
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
CMD: TAKEOWN /F C:\$Recycle.Bin /R /A /D T
CMD: icacls C:\$Recycle.Bin /grant Wszyscy:F /T
CMD: rd /s /q C:\$Recycle.Bin
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD501LJ_S0ZFJ1KQ502261502261X&ts=1352198129
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.09010003&st=12&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=SAMSUNG_HD501LJ_S0ZFJ1KQ502261502261X&ts=1352198129
SearchScopes: HKLM - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67}
SearchScopes: HKLM - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120121105302072&tb_oid=21-01-2012&tb_mrud=21-01-2012
SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67}
SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://isearch.babylon.com/?q={searchTerms}&affID=117380&tt=201112_1849_4712_8&babsrc=SP_ss&mntrId=2cf08eee000000000000582c80139263
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={FE2E5087-63F9-4DA9-93CD-D2D9437C8F67}
SearchScopes: HKCU - {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120121105302072&tb_oid=21-01-2012&tb_mrud=21-01-2012
BHO: Help the General-Search Project - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Users\Kopacze\AppData\Roaming\MEDIAF~1\EXTENS~1\GENCRA~1.DLL ()
BHO: DealPly - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - No File
Toolbar: HKLM - No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKCU -No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\v9.xml
CHR HKLM\...\Chrome\Extension: [dednnpigldgdbpgcdpfppmlcnnbjciel] - C:\Users\Kopacze\AppData\Roaming\Media Finder\Extensions\gencrawler_gc.crx
CHR HKLM\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Kopacze\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx
CHR HKLM\...\Chrome\Extension: [kiplfnciaokpcennlkldkdaeaaomamof] - C:\Users\Kopacze\AppData\Local\Torch\Plugins\TorchPlugin.crx
CHR HKLM\...\Chrome\Extension: [lpmkgpnbiojfaoklbkpfneikocaobfai] - C:\Users\Kopacze\AppData\Roaming\Media Finder\Extensions\mf_plugin_gc.crx
CHR HKLM\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Kopacze\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx
CHR HKLM\...\Chrome\Extension: [pgafcinpmmpklohkojmllohdhomoefph] - C:\ProgramData\Browser Manager\2.5.911.18\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.crx
HKLM\...\Run: [NPSStartup] - [x]
Task: {365BFE1E-D791-4DF7-9605-485CB3BF541B} - System32\Tasks\DealPly => C:\Users\Kopacze\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE No File
Task: {4B96704D-9E79-4044-AB22-497C2110DC6D} - System32\Tasks\{9DA7D609-DFE8-4E68-8434-48A2ACDFF055} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation)
Task: {6AA55A77-3B45-41B7-AEE3-159532890F5F} - System32\Tasks\{D37BC6E1-AED6-4343-8B4B-36B2D2E98CA1} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation)
Task: {7DF1563D-F280-4D7C-95E6-34830B4F268C} - System32\Tasks\{C24C30A1-8003-437A-A6F5-DE29FC66CAE4} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation)
Task: {921C9A2D-37A7-448F-9D08-04240CA2473A} - System32\Tasks\{6710621D-B6FA-465E-B8AE-FE41AED93DB8} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation)
Task: {9E0485CC-956E-4771-88D0-05F01AC85899} - System32\Tasks\{77319B91-0BBB-49AF-BD78-3BA17655A7DF} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation)
Task: {B57EFEDD-DCFD-48BD-9E20-9B20D7C28352} - System32\Tasks\{8A77A5EE-282E-457B-A525-944D6719EDB3} => c:\program files\internet explorer\iexplore.exe [2013-05-29] (Microsoft Corporation)
Task: {C64B0499-7AF9-4C6F-8A08-372F34F1677B} - System32\Tasks\Express FilesUpdate => C:\Program Files\ExpressFiles\EFUpdater.exe No File
Task: {D86EC529-A140-427E-AB83-FD3D042E11A0} - System32\Tasks\Express Files Updater => C:\Program Files\ExpressFiles\EFupdater.exe No File
S3 DisplayLinkUsbPort; system32\DRIVERS\DisplayLinkUsbPort.sys [x]
S3 nmwcd; system32\drivers\ccdcmb.sys [x]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [x]
S3 pccsmcfd; system32\DRIVERS\pccsmcfd.sys [x]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [x]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [x]
C:\Users\Kopacze\AppData\Local\Torch
C:\Users\Kopacze\AppData\Roaming\Media Finder
C:\Users\Kopacze\AppData\Roaming\OpenCandy
C:\ProgramData\Browser Manager

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

2. Następnie operacje w przeglądarkach:

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Rese nie naruszy zakładek i haseł.

- Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST + Farbar Service Scanner. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Running] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\point32k.sys -- (Point32)
DRV - File not found [Kernel | Disabled | Stop_Pending] -- system32\DRIVERS\epfwwfpr.sys -- (epfwwfpr)
DRV - File not found [Kernel | Disabled | Running] -- system32\DRIVERS\ehdrv.sys -- (ehdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\I386\AsProcOb.sys -- (ASUSProcObsrv)
IE - HKLM\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=2b0ad2a0-4444-11e1-a807-002618629aae&q={searchTerms}
IE - HKCU\..\SearchScopes\{21F6842D-E5D6-40CC-AA5A-1D6314FF58A7}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=2b0ad2a0-4444-11e1-a807-002618629aae&q={searchTerms}
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2013-08-15 12:45:24 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
[2013-08-15 12:07:38 | 000,115,712 | ---- | C] (Solar) -- C:\Users\AGATA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lsass.exe
[2013-08-15 20:08:00 | 000,361,984 | ---- | M] () -- C:\Users\AGATA\AppData\Roaming\01C15E5D.exe
[2013-08-15 12:07:57 | 000,366,080 | ---- | M] () -- C:\Users\AGATA\AppData\Roaming\0009D72C.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

.

  Cytat

Ciągle to samo. Start systemu - Ukash, tryb awaryjny - restart.

W ostatnim logu z FRST nic już nie widać. Skoro nadal jest problem, jest obiekt nie objęty skanem FRST lub sytuacja się zmieniła. Poproszę o:

1. Nowy tracycyjny log z FRST z opcji Scan, gdyż minęło kilka dni.

2. Dodatkowy skan na zawartość folderu Startup. W Notatniku utwórz plik o zawartości:

Folder: C:\Users\ogqozo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Folder: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Zapisz pod nazwą fixlist.txt. Uruchom w taki sam sposób jak poprzednio. Podaj wynikowy plik fixlog.txt.

.

W podanych tu raportach nie widać oznak adware. Nie przedstawiłeś raportu, który utworzył AdwCleaner na dysku C. Dla formalności go przedstaw.

  Cytat

mio more desktop nie działało, probowalismy sciagnac z netu inną wersję, okazało sie ze jakaś trefna...

Na czym to polegało? Skąd dokładnie był pobierany instlator? A stąd: KLIK?

.

Czy to na pewno logi ze stanu, gdy jest problem? Widać w nich tylko jeden plik poboczny infekcji (cache.ini), brak wpisu Shell z plikiem cache.dat. Na teraz:

1. Odinstaluj adware i zbędne aplikacje:

- Przez Panel sterowania: McAfee Security Scan Plus, NetPanel, Codec Package Packages, Update for Codec Package

- Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\xxx\AppData\Roaming\cache.ini
C:\Users\xxx\AppData\Roaming\BabSolution
C:\Users\xxx\AppData\Roaming\Babylon
C:\Users\xxx\AppData\Roaming\DSite
C:\Windows\tasks\DSite.job
 
:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=BC02001E37E2980C
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\gemgecko@gemius.com: C:\Program Files\NetPanel\gemgecko_ext\ [2013-07-11 14:54:12 | 000,000,000 | ---D | M]
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz logi z FRST. Dołącz log z AdwCleaner.

.

Nie podałeś skąd dokładnie antywirus usuwa obiekt (dokładna ścieżka dostępu).

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
[2013-08-17 02:13:14 | 000,000,942 | ---- | M] () -- C:\Users\Powstańców 45A\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\pwyryohwowrvarcqqad.lnk
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

.

KowalKol zostały tu dostarczone tylko raporty z AdwCleaner i nic więcej nie można powiedzieć o systemie. Zasady działu: KLIK. Proszę o raporty z OTL i FRST.

Nic tu nie widzę z zakresu infekcji. Tylko wpisy puste po różnych odinstalowanych aplikacjach oraz szczątki adware. Zanim się za to zabiorę:

  Cytat

Problem ten występuje tylko z poziomu użytkownika i przy włączonym wi-fi i podpiętym kablu sieciowym. Przy braku dostępu do internetu (sieci) system loguje się normalnie.

Czy podane tu logi są na pewno właściwe? Dane zostały pobrane z poziomu wbudowanego w system serwisowego konta "Administrator":

Computer Name: NNB0405-1794 | User Name: Administrator | Logged in as Administrator.

Logi muszą być zrobione z poziomu konta na którym jest problem. Wg spisu plików na dysku jest katalog innego konta niż Administrator. Zaloguj się na to konto i zrób nowe logi z OTL.

.

Po odinstalowaniu wymienionego adware:

1. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

  Cytat

od jakiegoś czasu mam problem z prędkością internetu, pomimo dosyć dobrego łącza, jak również prędkość sciągania nie powala

Wątpię, by te objawy miały przyczynę w adware. Jeśli powyższe czyszczenie nie wpłynie na sytuację, prędzej podejrzanym jest Norton Internet Security.

.

Nie dodałeś obowiązkowego raportu z GMER. W OTL nie ma oznak czynnej infekcji. Widać tylko drobne adware i małe nieaktywne szczątki po infekcji. To wszystko nie powinno mieć związku ze zgłaszanymi problemami.

1. Przez Panel sterowania odinstaluj: 50 FREE MP3s +1 Free Audiobook!, Conduit Engine, Download Updater (AOL LLC), uTorrentBar Toolbar, Winamp Toolbar.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Michał\AppData\Roaming\skype.dat
C:\Users\Michał\AppData\Roaming\del.bat
C:\Users\Michał\AppData\Roaming\CheckPoint
C:\Users\Michał\AppData\Roaming\eIntaller
C:\Users\Michał\AppData\Roaming\ESET
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\TrustChecker
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programy\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110525194436146&tb_oid=22-09-2010&tb_mrud=25-05-2011
IE - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110525194436146&tb_oid=22-09-2010&tb_mrud=25-05-2011
O3 - HKU\S-1-5-21-1481742717-391373902-3635867577-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
DRV - [2009-10-22 13:54:18 | 000,037,392 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\50899942.sys -- (50899942)
DRV - [2009-10-09 23:31:02 | 000,311,312 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\WINDOWS\System32\drivers\5089994.sys -- (setup_9.0.0.722_14.05.2013_17-45drv)
DRV - [2009-09-25 17:59:42 | 000,128,016 | ---- | M] (Kaspersky Lab) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\50899941.sys -- (50899941)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

  Cytat

Otóż od pewnego czasu komputer działa z opóźnieniem strony otwierają sie troche później niż zwyczajnie, filmiki na necie buforują się strasznie długo przykładowo filmu na kinomaniaku , nie idzie obejrzeć ale na youtube buforuje się z 3 minutowym wyprzedzeniem . Dodatkowo komputer włącza się strasznie długo a wyłączyłem w autostarcie wszystkie rzeczy które tylko mogłem ..

Sprawdź czy wina nie leży po stronie F-Secure. Zrób testową deinstalację, gdyż tylko to gwarantuje odcięcie wszystkich aktywności antywirusa.

  Cytat

Dodam , że podczas skanowania OTL-em mój antywir F-secure wykrył trojana.generic.kdv

Ale w czym, w jakiej ścieżce dostępu?

  Cytat

gdy już komputer się włączy tak , że mogę z niego normalnie korzystać wyskakuje błąd windows defender : nie można odnaleźć usługi i jest ciąg licz zaczynających się chyba na 8 .

Wg raportu OTL usługa Windows Defender jest na miejscu:

SRV - [2008-01-21 04:23:32 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)

Ale na wszelki wypadek dodaj jeszcze raport z Farbar Service Scanner.

.

Skoro temat założyłeś w dziale diagnostyki infekcji, to brak obowiązkowego raportu z GMER. W OTL nie ma oznak czynnej infekcji, tylko drobne akcje:

1. Uruchom AdwCleaner i zastosuj Usuń.

2. Dokasuj przez SHIFT+DEL te obiekty z katalogu C:\Documents and Settings\Właściciel:

  Cytat

Tak jak napisałem po zmianie z neostrady na dsl 10 mega strony bardzo wolno się wczytują - głównie allegro

Temat przenoszę do działu Sieci. Dostosuj się do zasad: KLIK.

I upewnij się, że problemu nie tworzy Avast. Test poprzez deinstalację. Przy okazji: mówisz, że to komputer firmowy, a jest zainstalowana darmowa wersja Avast, która nie dopuszcza takiego scenariusza użytkowego. Avast jest darmowy do użytku domowego i niekomercyjnego.

.

Przeprowadź następujące działania:

1. Przez Panel sterowania odinstaluj;

- Adware: BrowserProtect, DealPly, Delta toolbar, Delta Chrome Toolbar, Desk 365, Internet Explorer Toolbar 4.6 by SweetPacks, Search-Results Toolbar, SweetIM for Messenger 3.7, SweetPacks Bundle Uninstaller, Update Manager for SweetPacks 1.1, Update for Video Converter, Video Converter Packages.

- Zbędne aplikacje firmowe (wyklucz te z których użytkownik korzysta): AsusVibe2.0 (rodzaj sklepu), ASUS WebStorage (internetowy dysk wirtualny), ASUS FaceLogon (logowanie do systemu poprzez rozpoznawanie twarzy), ASUS Live Update (aktualizacje), ASUS Splendid Video Enhancement Technology ("poprawianie jakości ekranu"), Bing Bar, CyberLink, Trend Micro Titanium Internet Security, Windows Live Essentials.

2. Po w/w deinstalacjach wyczyść przeglądarki:

- Google Chrome: w Rozszerzeniach odinstaluj wszystko co się powtarza z powyższej listy oraz to czego nie znasz. W zarządzaniu wyszukiwarkami skasuj co zostało wtórnie dodane (o ile coś takiego nastąpiło). Wyczyść Historię.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (ma powstać Addition). Dołącz log utworzony przez AdwCleaner.

.

Veiled, są wakacje i prowadzący pomoc nie mogą być obecni 24/7.

System jest potwornie zaśmiecony adware. Przeprowadź następujące działania:

1. Przez Panel sterowania odinstaluj adware:

Babylon toolbar, BabylonObjectInstaller, BrowserProtect, Bundled software uninstaller, CheckRun22apple_uninstaller, DealPly, Delta toolbar, Delta Chrome Toolbar, FilesFrog Update Checker, FoxTab FLV Player, FoxTab Media Player, Funmoods Web Search, IB Updater Service, Internet Explorer Toolbar 4.6 by SweetPacks, Lyrmix, MaintenanceService-Funmoods, McAfee Security Scan Plus, Optimizer Pro v3.0, RelevantKnowledge, SweetIM for Messenger 3.7, Update_DealPly, VuuPC, You're Always a Click Away!

... oraz wątpliwy skaner SpyHunter.

2. Następnie po kolei wyczyść przeglądarki:

- Google Chrome: w Rozszerzeniach odinstaluj wszystko co się powtarza z powyższej listy oraz to czego nie znasz. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Search the web (Babylon) oraz inne śmieciarskie wyszukiwarki. Wyczyść Historię.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Niestety, kiepsko. System jest bardzo zainfekowany różnej maści trojanami, ale najgorsza z infekcji to wirus Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach. Może być wymagane przeformatowanie całego dysku. Pierwsze podejście:

1. Wstępne usunięcie wpisów startowych (to nie zatrzyma infekcji Sality). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.searchamong.com/?source=64020400f00960c0ef04052547b134b3
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
IE - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\..\SearchScopes\{154d339e-ccaa-49a5-9b38-6878ad4220bc}: "URL" = http://search.searchamong.com/searchview.php?source=64020400f00960c0ef04052547b134b3&query={searchTerms}&cat=webs&bar=true
O4 - HKLM..\Run: [Realtek Audio Manager] C:\Program Files\Common Files\Realtek0\zjiujsnjb.exe (BreakPoint Software)
O4 - HKLM..\Run: [winlogon] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\AppServices.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Def1] C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH\ltc.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Default] C:\Documents and Settings\Administrator\Dane aplikacji\PKyTK\ltc.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Driver Update Manager] C:\Documents and Settings\Administrator\Dane aplikacji\Update Drivers\micromgr.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Realtek Audio Manager] C:\Program Files\Common Files\Realtek0\zjiujsnjb.exe (BreakPoint Software)
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [startup] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Client.exe (legacyLink Inc)
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [Win Update Service] C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Installer\Install.exe (Microsoft GmbH)
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\Run: [winlogon] C:\WINDOWS\121075918\winsys.exe ()
O4 - HKLM..\RunOnce: [*121075918] C:\WINDOWS\121075918\winsys.exe ()
O4 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500..\RunOnce: [*121075918] C:\WINDOWS\121075918\winsys.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 43444 = c:\docume~1\alluse~1\dxwnsyxjt.exe (BreakPoint Software)
O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSaveSettings = 0
O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1
O7 - HKU\S-1-5-21-1390067357-1177238915-1417001333-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
O27 - HKLM IFEO\hijackthis.exe: Debugger - f_.exe File not found
O27 - HKLM IFEO\housecalllauncher.exe: Debugger - rqmynan_.exe File not found
O27 - HKLM IFEO\mbam.exe: Debugger - rtqiispq_.exe File not found
O27 - HKLM IFEO\mbamgui.exe: Debugger - zjiucdlv_.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - dt_.exe File not found
O27 - HKLM IFEO\spybotsd.exe: Debugger - z_.exe File not found
DRV - File not found [File_System | System | Stopped] -- C:\Program Files\System\CPL Bonus\Vcdrom.sys -- (vcdrom)
 
:Files
C:\autorun.inf
C:\coosex.exe
C:\cacpbb.exe
C:\ajdkog.exe
C:\WINDOWS\121075918
C:\Program Files\Common Files\Realtek0
C:\Documents and Settings\Administrator\Dane aplikacji\dmplogs
C:\Documents and Settings\Administrator\Dane aplikacji\fdirsfjd
C:\Documents and Settings\Administrator\Dane aplikacji\Mango
C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH
C:\Documents and Settings\Administrator\Dane aplikacji\PKyTK
C:\Documents and Settings\Administrator\Dane aplikacji\Update Drivers
C:\Documents and Settings\Administrator\Dane aplikacji\zocxn
C:\Documents and Settings\Administrator\Dane aplikacji\zOYHH
C:\Documents and Settings\Administrator\Dane aplikacji\WindowsLogonSS
C:\Documents and Settings\Administrator\Dane aplikacji\WindowsLogonSSS
C:\Documents and Settings\Administrator\Dane aplikacji\WindowsWideScreen
C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Installer
C:\Documents and Settings\Administrator\Dane aplikacji\__0004a7c5.lnk
C:\Documents and Settings\Administrator\Dane aplikacji\vioplayer_d1983274.exe
C:\Documents and Settings\Administrator\Dane aplikacji\b.exe
C:\Documents and Settings\Administrator\Dane aplikacji\b8351d73.exe
C:\Documents and Settings\Administrator\Dane aplikacji\vio_clean.exe
C:\Documents and Settings\Administrator\Dane aplikacji\satoolbar.exe
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\6q64kylc.default\searchplugins\SearchAmong Search.xml
C:\Documents and Settings\Administrator\AppServices.exe
C:\Documents and Settings\Administrator\Pulpit\vba1.ini
C:\Documents and Settings\All Users\Dane aplikacji\APN
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\dxcofs.exe
C:\Documents and Settings\All Users\dxwnsyxjt.exe
C:\WINDOWS\System32\WC.com
C:\WINDOWS\System32\cygwinb19.dll
C:\WINDOWS\System32\zlib1.dll
C:\WINDOWS\System32\CabTool.exe
C:\WINDOWS\System32\theowl.dll
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Pobierz SalityKiller. Wykonaj nim skan do skutku, tzn. po pierwszy przebiegu musi być powtórzony tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero wtedy:

3. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowe logi: OTL z opcji Skanuj (ma powstać ponownie plik Extras) + GMER + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller.

.

Prosiłam Cię o ten zestaw:

  picasso napisał(a):

Proszę dostarcz logi: OTL, FRST, Farbar Service Scanner, GMER.

Sam OTL nie wystarczy, m.in. na jego podstawie nie można ocenić szkód zrobionych przez infekcję.

.