picasso

kalama23, zakładanie tematów równocześnie na dwóch forach (w celu rzekomego "przyśpieszenia") to nigdy nie jest dobry pomysł, są zadawane równolegly często sprzeczne instrukcje, trzeba nanosić poprawki na to co robi inny prowadzący. W tym momencie ja już muszę się odnosić do logów z posta numer 8 na tamtym forum. Pomagający wymieszał i zadał błędne instrukcje dopasowane do systemów Vista i nowszych a nie XP: - Post numer 5: Sprawdzany Kosz C:\$Recycle.Bin systemów Vista i nowszych (na XP jest to C:\RECYCLER) oraz klucz ShellServiceObjects (w nim rejestracja Centrum Akcji występuje na systemach Vista i nowszych). - Post numer 7: Skrypt z błędnymi poleceniami. TAKEOWN i icacls to są komendy dla Vista i nowszych. Nic dziwnego, że nic nie przetworzone w tym zakresie i nie wykonała się kolejna komenda kasowania Kosza (Odmowa dosepu). - I jeszcze nieskończone rzeczy m.in. rozwalony Winsock. Jeśli chcesz nadal prowadzić tu temat, proszę o nowy zestaw logów zrobiony już po wszystkich manipulacjach tamtego prowadzącego: OTL z opcji Skanuj, FRST i Farbar Service Scanner. PS. Blaster to archaiczna infekcja nie widziana od lat. Objaśnij skąd tu w ogóle taki trop myślenia. .

Skoto temat założony w dziale diagnostyki infekcji, to brak obowiązkowego raportu z GMER. W OTL brak oznak infekcji. Przez SHIFT+DEL dokasuj sobie tylko te katalogi: [2013/04/04 00:40:46 | 000,000,000 | ---D | M] -- C:\Users\Filip\AppData\Roaming\eDownload [2013/04/04 00:10:57 | 000,000,000 | ---D | M] -- C:\Users\Filip\AppData\Roaming\eIntaller [2013/07/14 09:43:44 | 000,000,000 | ---D | M] -- C:\Users\Filip\AppData\Roaming\System [2013/07/14 09:58:58 | 000,000,000 | -HSD | M] -- C:\Users\Filip\AppData\Roaming\wyUpdate AU Temat przenoszę do działu Sieci. Dostosuj się do zasad tego działu: KLIK. .

Widzę tu uszkodzenia po infekcji rootkitem ZeroAccess, czyli: 1. Wg GMER zablokowane katalogi C:\Program Files\Windows Defender + C:\Program Files\Microsoft Security Client. Zapewne oba katalogi są przerobione na linki symboliczne. 2. Wymazana zawartość tego klucza: [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] Zanim zadam instrukcje naprawcze, dodaj mi jeszcze logi z FRST + Farbar Service Scanner. .

Logi z usuwania pokazują, że nic się nie wykonało, a dlatego że przy przeklejaniu z posta do okna OTL wszystkie linie się się skleiły. Treść przeklejona do okna OTL musi mieć idealnie takie same przejścia do nowej linii jak podane w poście. Jeśli przeklejanie je skleja, to w pierwszej kolejności przeklej treść do Notatnika i popraw przejścia do nowej linii, dopiero po tym przeklej do okna OTL. Ale nie powtarzaj poprzedniego skryptu, gdyż: Potrzebne logi zrobione z poziomu konta Mirek: 1. Przenieś OTL ze ścieżki konta C:\Documents and Settings\Iwona\Pulpit\OTL.exe do ścieżki niezależnej od konta C:\OTL.exe. 2. Uruchom komputer w Trybie awaryjnym z Wierszem polecenia, zaloguj się na konto Mirek. W linii komend wpisz C:\OTL.exe i ENTER, co uruchomi OTL. Zrób raporty z konta Mirek i dostarcz. .

Na przykład Avast jest dobrym dostatecznie kompletnym darmowym antywirusem. .

Jak mówię, objawy są zgodne z pobytem rootkita ZeroAccess (a już zwłaszcza doedytowany fragment z $RecycleBin). Windows Defender jest przerobiony przez rootkita na linki symboliczne. I ja potrzebuję materiały o które prosiłam, podane narzędzia są potrzebne zarówno do analizy, jak i do procesu usuwania. Tak, narzędzi pobrać nie możesz z poziomu tego komputera. Pobierz je z poziomu innego, zapisz na pendrive, pendrive podepnij do zainfekowanego komputera i zrób wymagane raporty. .

Wszystko pomyślnie przeprowadzone. Kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie, resztę narzędzi dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Prewencyjnie zmień hasła logowania w serwisach. 4. Usuń starszą Java, zaktualizuj Adobe Reader, Silverlight i Gadu: KLIK / KLIK. ==================== Installed Programs ======================= Adobe Reader X (10.1.7) - Polish (x32 Version: 10.1.7) Gadu-Gadu 10 (x32) Java 7 Update 11 (64-bit) (Version: 7.0.110) Microsoft Silverlight (x32 Version: 4.0.60831.0) .

Na zakończenie: 1. Prewencyjnie zmień hasła logowania w serwisach. 2. Usuń starsze Java, zaktualizuj resztę wyliczonych poniżej programów: KLIK / KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 Plugin (x32 Version: 11.6.602.171) ----> wtyczka dla Firefox Adobe Reader 9.5.0 - Polish (x32 Version: 9.5.0) Gadu-Gadu 10 (x32) Java™ 6 Update 33 (x32 Version: 6.0.330) Java™ 7 Update 4 (64-bit) (Version: 7.0.40) Mozilla Firefox 13.0.1 (x86 pl) (x32 Version: 13.0.1) Mozilla Firefox 20.0.1 (x86 pl) (HKCU Version: 20.0.1) .

Usuń skaner Kasperskiego. Na zakończenie: 1. Zaktualizuj wyliczone poniżej programy: KLIK. Internet Explorer (Version = 7.0.6002.18005) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216026F0}" = Java™ 6 Update 26 "{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 5.1.10411.0 "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "ENTERPRISE" = Microsoft Office Enterprise 2007 "Opera 12.15.1748" = Opera 12.15 "PROR" = Microsoft Office Professional 2007 2. Zainstaluj jakiegoś antywirusa. .

Skrypt wykonany. Natomiast: 1. W ostatnim raporcie widziałam Ad-aware, zarówno na liście zainstalowanych, jak i w komponentach. Skoro Ad-aware nie jest widoczne, zastosuj te dwa narzędzia: VClean + Narzędzie MS (wybierz tryb nieautomatyczny i deinstalację, szukaj wpisu Ad-aware do usunięcia). 2. Po tym zrób nowy log FRST. .

W pierwszym OTL była widoczna ta blokada: O20 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006 Winlogon: Shell - (C:\Documents and Settings\Mirek\Dane aplikacji\cache.dat) - C:\Documents and Settings\Mirek\Dane aplikacji\cache.dat () W obecnym już jej nie widać. Ale: 1. Powyższy wpis kierował na konto Mirek, jest konsekwentnie cały czas zalogowane konto Iwona a nie Mirek. To które konto jest zablokowane? Logi z OTL muszą być wykonane z poziomu konta, które jest zainfekowane. 2. Nie ma owszem śladów wykonania skryptu nie przetworzone pewne obiekty, które były zadane w skrypcie. W katalogu C:\_OTL powstał log z usuwania. Przedstaw go co się działo. Log ma rozszerzenie *.LOG. By dało się go doczepić w załącznikach, należy zmienić mu ręcznie nazwę na *.TXT. 3. Aktualnie w raporcie ujawnił się nowy wpis na koncie Iwona: O4 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003..\Run: [NTRedirect] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Iwona\Dane aplikacji\BabSolution\Shared\NTRedirect.dll",Run File not found Zanim przejdę do usuwania, proszę o klarowną odpowiedź które konto jest zainfekowane. .

"Ubogie" w pozytywnym znaczeniu, mało wykrytych infekcji, czyli szkody Sality nie były szerokie. .

Punkt 3 nie wygląda na wykonany. Po tym jeszcze zapuść AdwCleaner (opcja Usuń), przedstaw log, który utworzy na dysku C i zrób nowy raport OTL z opcji Skanuj (bez Extras). Zadałam komendę ściągania atrybutów: Co się podczas jej przetwarzania pokazało? Ale to stara wersja sprzed ponad 4 lat (datowanie komponentów na 2009). Na końcu dobierzemy nowoczesne zamienniki firewalla i AV. .

Ten błąd jest spodziewany. Zadałam komendę rekursywnego ściągania atrybutów (przetwarzane wszystkie obiekty na H) i obiekt Przywracania systemu (System Volume Information) stawi opór. Istotne jest czy mimo tego błędu reszta obiektów została przetworzona? .

Wyniki skanowania "ubogie", tylko dwa wykrycia. Kaspersky wszystko skasował. Możesz usunąć Kasperskiego. Temat wygląda na ukończony. .

Jeszcze porawki wymagane: 1. Zapomniałeś odinstalować Ad-Aware. Wykonaj. 2. Otwórz Notatnik i wklej w nim: HKCU\...\Policies\system: [DisableLockWorkstation] 0 HKCU\...\Policies\system: [DisableChangePassword] 0 HKLM-x32\...\Run: [DivXMediaServer] - C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe [x] HKU\Gość\...\Run: [Advanced SystemCare Ultimate] - "C:\Program Files (x86)\IObit\Advanced SystemCare Ultimate\ASCTray.exe" /AutoStart [x] ShellExecuteHooks-x32: - UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No File [ ] SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=F6B0E02A8219AA6E&affID=119357&tsp=4949 CHR Extension: (DealPly Shopping ) - C:\Users\hp\AppData\Local\Google\Chrome\User Data\Default\Extensions\ojcgaoafcmbadjkfdippkdddgkeaipbn\3.5.0.0_0 CHR HKLM-x32\...\Chrome\Extension: [hbcennhacfaagdopikcegfcobcadeocj] - C:\Program Files (x86)\Common Files\Spigot\GC\saebay_1.0.crx CHR HKLM-x32\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files (x86)\Common Files\Spigot\GC\errorassistant_1.1.crx CHR HKLM-x32\...\Chrome\Extension: [jofdlbdmefjogcipddjnblinigmpagoj] - C:\Program Files (x86)\Lyrmix\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files (x86)\Common Files\Spigot\GC\coupons_2.4.crx CHR HKLM-x32\...\Chrome\Extension: [pfndaklgolladniicklehhancnlgocpp] - C:\Program Files (x86)\Common Files\Spigot\GC\saamazon_1.0.crx Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Task: {03A035EC-AD78-4AD8-90A5-17BD8EA7EFE5} - \DSite No Task File Task: {8D716E33-0249-4F32-BA60-381754516341} - System32\Tasks\QtraxPlayer => C:\Program Files (x86)\Microsoft Silverlight\sllauncher.exe [2013-05-13] (Microsoft Corporation) Task: {1880F404-2B6E-47F8-B1AB-D1C4F34F7FA1} - System32\Tasks\Ad-Aware Update (Daily 1) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File Task: {3CD37861-EE13-4DB7-AF45-C6EA8DD63195} - System32\Tasks\Ad-Aware Update (Daily 3) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File Task: {B290ADCE-687E-47AD-893D-797EEFB97E26} - System32\Tasks\Ad-Aware Update (Daily 4) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File Task: {BEBFA0EA-D80D-4789-AE73-9F7F6A0C3A9C} - System32\Tasks\Ad-Aware Update (Daily 2) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File 2013-07-21 18:37 - 2013-07-21 18:37 - 00000000 ____D C:\Windows\system32\%appdata% 2013-07-20 22:50 - 2013-07-20 22:50 - 00000274 _____ C:\Windows\Tasks\DSite.job 2013-07-20 12:46 - 2013-07-20 12:46 - 00000000 ____D C:\Users\hp\Qtrax 2013-07-20 12:43 - 2013-07-20 12:46 - 00000000 ____D C:\Users\hp\AppData\Roaming\Mipony 2013-07-20 12:42 - 2013-07-20 12:42 - 00000999 _____ C:\Users\Gość\Desktop\MiPony.lnk 2013-07-20 12:42 - 2013-07-20 12:42 - 00000000 ____D C:\Users\hp\AppData\Roaming\DSite 2013-07-20 12:42 - 2013-07-20 12:42 - 00000000 ____D C:\Users\hp\AppData\Roaming\Babylon 2013-07-20 12:42 - 2013-07-20 12:42 - 00000000 ____D C:\ProgramData\Babylon 2013-07-12 17:04 - 2013-04-13 16:36 - 00000000 ____D C:\Users\hp\AppData\Roaming\Systweak 2013-07-11 12:22 - 2013-07-20 12:26 - 00000000 ____D C:\Program Files (x86)\MyPC Backup 2013-06-25 20:16 - 2013-07-01 20:31 - 00000000 ____D C:\ProgramData\CPA_VA 2013-06-25 19:51 - 2013-06-25 20:52 - 00000000 ____D C:\Users\Public\Documents\COMODO 2013-06-25 19:50 - 2013-07-01 20:38 - 00000000 ____D C:\Users\hp\AppData\Local\Comodo 2013-06-25 19:13 - 2013-07-01 20:35 - 01474832 _____ C:\Windows\system32\Drivers\sfi.dat C:\Users\hp\AppData\Roaming\mozilla\firefox\profiles\vdx27pdv.default-1374269058779\searchplugins\babylon.xml C:\Users\hp\AppData\Roaming\mozilla\firefox\profiles\vdx27pdv.default-1374269058779\searchplugins\delta.xml Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. 3. Zrób nowy log z FRST (bez Addition). .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Mirek\Dane aplikacji\cache.dat C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\AVG10 C:\Documents and Settings\All Users\Dane aplikacji\AVG2012 C:\Documents and Settings\All Users\Dane aplikacji\f-secure C:\Documents and Settings\All Users\Dane aplikacji\sebbdoeaqcdjyri C:\Documents and Settings\All Users\Dane aplikacji\tmziytgxwpuqtaq C:\Documents and Settings\All Users\Dane aplikacji\Temp :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL IE - HKLM\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD IE IE - HKLM\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=90BE503D-893D-4797-8A71-346B9F810856&ind=2012110319&n=77ee5def&psa=&st=sb&searchfor={searchTerms} IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={0C7B5E1F-4F07-4C2E-917E-0581E4CD89D9}&mid=0214b0d2d8e747d09b87d16d5b39c29b-1cc9a9be33f21b89c765d60ebff5898715e3046a&lang=pl&ds=AVG&pr=pr&d=2012-08-15 15:58:15&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\URLSearchHook: {93a3111f-4f74-4ed8-895e-d9708497629e} - No CLSID value found IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4812_6&babsrc=SP_ss&mntrId=9028658700000000000000241ddd2b68 IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{89D0EF7D-2254-4133-AAD8-29E20DF679DF}: "URL" = http://search.yahoo.com/search?p={searchTerms}&fr=chrf-devicevm&type=STDVM IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={0C7B5E1F-4F07-4C2E-917E-0581E4CD89D9}&mid=0214b0d2d8e747d09b87d16d5b39c29b-1cc9a9be33f21b89c765d60ebff5898715e3046a&lang=pl&ds=AVG&pr=pr&d=2012-08-15 15:58:15&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{A479023B-6FAA-4da3-AE77-4CCC6C292C54}: "URL" = http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346 IE - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\SearchScopes\{cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8}: "URL" = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=HJxdm073YYpl&ptnrS=HJxdm073YYpl&si=pconverter&ptb=90BE503D-893D-4797-8A71-346B9F810856&ind=2012110319&n=77ee5def&psa=&st=sb&searchfor={searchTerms} FF - HKLM\Software\MozillaPlugins\@ei.VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4zEI\Installr\4.bin\NP4zEISB.dll File not found FF - HKLM\Software\MozillaPlugins\@VideoDownloadConverter_4z.com/Plugin: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\4zffxtbr@VideoDownloadConverter_4z.com: C:\Program Files\VideoDownloadConverter_4z\bar\1.bin [2012-12-09 17:04:03 | 000,000,000 | ---D | M] O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll File not found O3 - HKLM\..\Toolbar: (VideoDownloadConverter) - {48586425-6bb7-4f51-8dc6-38c88e3ebb58} - C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1003\..\Toolbar\WebBrowser: (VideoDownloadConverter) - {48586425-6BB7-4F51-8DC6-38C88E3EBB58} - C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\4zbar.dll File not found O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2025429265-1482476501-725345543-1006\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O8 - Extra context menu item: &Search - http://tbedits.videodownloadconverter.com/one-toolbaredits/menusearch.jhtml?s=205320000&p=HJxdm073YYpl&si=pconverter&a=90BE503D-893D-4797-8A71-346B9F810856&n=2012110319&cv=1 File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar Updater, AVG Security Toolbar, Babylon toolbar. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

To rzeczywiście dziwne. A akcje się powiodły i już nie widzę oznak czynnej infekcji. Kolejne działania: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższe foldery. C:\Users\Iwonka\Desktop\Stare dane programu Firefox C:\Users\Iwonka\Desktop\Stare dane programu Firefox-1 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na dysku nie mogą pozostać żadne duplikaty infekcji Brontok. Raporty OTL są zbyt ograniczone, by wykazać obecność tych plików. Dlatego też powtórz pełny skan MBAM, a na wszelki wypadek zrób też pełny skan w Kaspersky Virus Removal Tool (w opcjach należy ustawi skan wszystkich sfer). .

Objawy sugerują rootkita ZeroAccess. Zasady działu, wymagane raporty: KLIK. Proszę dostarcz logi: OTL, FRST, Farbar Service Scanner, GMER. .

Wykonane pomyślnie. Kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji poniżej wyliczne programy: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (Version: 11.7.700.224) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.7.700.224) ----> wtyczka dla Firefox/Opera (odinstaluj) Adobe Reader X (10.1.7) - Polish (Version: 10.1.7) Adobe Shockwave Player 11.6 (Version: 11.6.6.636) Java 7 Update 17 (Version: 7.0.170) .

Na zakończenie: 1. Porządki po narzędziach: odistaluj USBFix, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starszą Java, zaktualizuj wtyczki Adobe Flash oraz cały Windows: KLIK. Stan widziany w raportach: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417021FF}" = Java 7 Update 21 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "FileZilla Client" = FileZilla Client 3.7.0.2 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll () .

Tak.

Ale zgłoś się tu z wynikami skanu Kasperskym.

Obciąłeś ręcznie log USBFix? Listowanie objęło tylko dysk H i CD-ROM pod I... 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Po kolei wklej te komendy każdą zatwierdzając ENTER: attrib /d /s -s -h H:\* rd /s /q H:\$RECYCLE.BIN rd /s /q H:\RECYCLER 2. Zrób nowy log USBFix z opcji Listing. .

Jezcze drobne poprawki. 1. Skasuj ręcznie te "chińskie" foldery w C:\ProgramData: 2. Zresetuj cache wtyczek Google Chrome. Wpasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 3. Otwórz Notatnik i wklej w nim: Task: {28C3A3ED-D546-45CD-982F-EAB5AC998054} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe No File Task: {44B17653-4367-43E6-A09C-59A74229EB47} - System32\Tasks\DSite => C:\Users\ASUS\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE No File Task: {46E7D374-5742-4B26-8171-EEB15FC460EC} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files\Desk 365\desk365.exe No File Task: {913ED2FE-2390-456D-B3FC-E74694A8E91E} - System32\Tasks\AmiUpdXp => C:\Users\ASUS\AppData\Local\SwvUpdater\Updater.exe No File Task: {919846BD-182E-475A-8ECC-7E34CDDAA20A} - System32\Tasks\Omiga Plus RunAsStdUser => C:\Program Files\Omiga Plus\omigaplus.exe No File Task: {A1853D62-5601-4A5B-9022-C72E81E53FF4} - System32\Tasks\{BAC24499-25B8-45A5-A4B4-1F8F316BA48F} => c:\program files\mozilla firefox\firefox.exe No File CHR HKLM\...\Chrome\Extension: [ajbfjlbjonnckokbmkeiammcgkdciial] - C:\Users\ASUS\AppData\Local\Temp\tbch.crx Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v Default_Page_URL /t REG_SZ /d http://go.microsoft.com/fwlink/?LinkId=69157 /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f 2013-07-21 09:24 - 2013-06-18 20:24 - 00000000 ____D C:\Program Files\WinZipper Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .