picasso

MBAM nic nie wykrył, więc log zbędny (usuwam). Na zakończenie: 1. Prewencyjnie zmień hasła logowania w serwisach. 2. Do aktualizacji wszystkie produkty Adobe: KLIK. 1. Jeśli po czyszczeniu zostanie utworzony nowy punkt Przywracania (ręcznie lub automatycznie przez system), tak. Ale ten punkt Przywracania systemu nie wytrzyma długo. System ma limitowany magazyn na punkty i po pewnym okresie czasu i tak usuwa starsze. 2. Tu już to załatwmy, bo tu mam log z listą zainstalowanych. I lista nie jest wcale długa (widziałam na forum trzy razy dłuższe): Pomijając adware których części już nie powinno być (Delta toolbar, Delta Chrome Toolbar, Update for Video Converter, Mipony Download Manager Packages) i Adobe wyliczone w sekcji aktualizacyjnej, o co Ci konkretnie chodzi? .

Wyniki skanera: - Nie wiem co to jest, co robi ten setup.exe: C:\Users\ASUS\Downloads\setup.exe - To wyglądana fałszywy alarm na pliku Avast: C:\Program Files\AVAST Software\Avast\defs\13071900\aswAR.dll - Te do usunięcia, gdyż oceniając po nazwie nie są to prawdziwe instalatory programów lecz adware (Asystent pobierania dobrychprogramów): C:\Users\ASUS\Downloads\ArcaMicroScan(13230).exe C:\Users\ASUS\Downloads\CCleaner(13061).exe - Keygeny to wiadomo i to zawsze usuwać: D:\Keygen.rar:Keygen.exe D:\Pobieranie M_F\Keygen(1).rar:Keygen.exe D:\Pobieranie M_F\Keygen.rar:Keygen.exe Natomiast w logach widać adware i trzeba się tym zająć. Nie wykluczam, że adware zostało nabyte właśnie przez Asystent Pobierania wymienionego powyżej portalu. Prócz adware, będę też usuwać szczątki Firefox, który wygląda na odinstalowany. Akcja: 1. Na początek deinstalacje: - Przez Panel sterowania odinstaluj: BrowserDefender, Delta toolbar, Delta Chrome Toolbar, Norton Security Scan, WinZipper. - Google Chrome ma uszkodzone preferencje. Wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, skasuj z listy podejrzane dodane wyszukiwarki. W Rozszerzeniach odinstaluj wszystko czego nie znasz. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS542525K9SA00_071112BB0F00WDGSL26CX&ts=1371012710 IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS542525K9SA00_071112BB0F00WDGSL26CX&ts=6881399 IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=FE6A001E8C522192&affID=119357&tsp=4948 IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://www.bing.com/search?FORM=UP97DF&PC=UP97&dt=071013&q={searchTerms}&src=IE-SearchBox IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://safesearchr.lavasoft.com/?source=3336ca5f&tbp=rbox&toolbarid=adawaretb&u=B8D0D73223BC2C794FA0875047876CE4&q={searchTerms} IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{63324202-4DA7-488D-8518-F6990DBCF542}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AWR&o=1955&src=kw&q={searchTerms}&locale=&apn_ptnrs=^A17&apn_dtid=^YYYYYY^YY^PL&apn_uid=609af6c2-3552-4720-97d4-8ad6431bb316&apn_sauid=A01BB66E-00D1-4FC9-85A6-D7708177E7F5 IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076 IE - HKU\S-1-5-21-3498400293-3895247739-514159581-1000\..\SearchScopes\E88A9BB4D6F74932A81ABBBD59C535BB: "URL" = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS542525K9SA00_071112BB0F00WDGSL26CX&ts=6881399 O4 - HKU\S-1-5-21-3498400293-3895247739-514159581-1000..\Run: [] File not found O4 - HKU\S-1-5-21-3498400293-3895247739-514159581-1000..\Run: [LG LinkAir] File not found O4 - HKU\S-1-5-18..\RunOnce: [adawarebp] reg.exe delete "HKCU\Software\AppDataLow\Software\adawarebp" /f File not found O4 - HKU\S-1-5-18..\RunOnce: [adawarebp_XP] reg.exe delete "HKCU\Software\adawarebp" /f File not found :Files C:\Windows\tasks\AmiUpdXp.job C:\Users\ASUS\AppData\Roaming\337 C:\Users\ASUS\AppData\Roaming\BabSolution C:\Users\ASUS\AppData\Roaming\Babylon C:\Users\ASUS\AppData\Roaming\Desk 365 C:\Users\ASUS\AppData\Roaming\DSite C:\Users\ASUS\AppData\Roaming\eDownload C:\Users\ASUS\AppData\Roaming\eIntaller C:\Users\ASUS\AppData\Roaming\Omiga Plus C:\Users\ASUS\AppData\Roaming\Systweak C:\Users\ASUS\AppData\Roaming\WinZipper C:\Users\ASUS\AppData\Roaming\mozilla C:\Program Files\mozilla firefox C:\Windows\System32\rp_stats.dat C:\Windows\System32\rp_rules.dat :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST. Dołącz log utworzony przez AdwCleaner. .

Usuń Kasperskiego i przejdź do tych czynności końcowych: 1. Wszystkie pendrivy zabiezpiecz za pomocą opcji USB Vaccination w Panda USB Vaccine. 2. Odinstaluj wszystkie stare wersje Adobe / Java / Silverlight i kodeki, zaktualizuj pozostałe wyliczone poniżej: KLIK / KLIK. Na Twojej liście zainstalowanych widać wersje: Internet Explorer (Version = 7.0.5730.11) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Gadu-Gadu" = Gadu-Gadu 7.7 "Gadu-Gadu 10" = Gadu-Gadu 10 "KLiteCodecPack_is1" = K-Lite Codec Pack 3.7.5 Full FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_268.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.51204.0\npctrl.dll ( Microsoft Corporation) 3. Z miejscem na dysku coś należy zrobić, bo ostatni odczyt kiepski: Drive C: | 50,89 Gb Total Space | 0,37 Gb Free Space | 0,72% Space Free | Partition Type: NTFS 4. Po uporaniu się z miejscem dobierz jakiegoś antywirusa. .

Wszystko zrobione. Kroki końcowe: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKLM\..\Toolbar: (no name) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O35 - HKU\S-1-5-19..exefile [open] -- "%1" %* O35 - HKU\S-1-5-20..exefile [open] -- "%1" %* O37 - HKU\S-1-5-18\...exe [@ = exefile] -- "%1" %* O37 - HKU\S-1-5-19\...exe [@ = exefile] -- "%1" %* O37 - HKU\S-1-5-20\...exe [@ = exefile] -- "%1" %* [2013-01-07 17:58:21 | 000,405,585 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat [2013-05-12 08:22:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2012-12-29 20:50:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\MFAData [2012-11-17 14:58:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Privacyware Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: przez SHIF+DEL skasuj z dysku folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń starą Java 6 oraz zaktualizuj Silverlight: KLIK. Wersje widziane w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java™ 6 Update 37 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) .

I wszystko wygląda OK. Tak więc: zamykamy temat?

Nie, to nie są "nowe" infekcje: - Dwa pierwsze rekordy mają inne znaczenie niż dosłowne usuwanie nowo wykrytej infekcji. SalityKiller uruchomiony ponownie będzie próbował przetwarzać to samo na poziomie rejestru i pliku system.ini. A Twój plik system.ini jest poprawny. - Ostatni wynik pochodzi z kwarantanny OTL, to plik już usunięty z urządzenia moim skryptem OTL. Kwarantannę OTL usuwam zawsze na końcu. Zadania wykonane. Kolejne kroki: 1. Usunięcie opornego wpisu BrowseToSave. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SP_48c708f2] Klik w Wykonaj skrypt. Sprawdź sobie czy wpis przetworzony. Logów nie potrzebuję. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Dla pewności zrób kompletny skan ogólnym skanerem antywirusowym. Poprzednio proponowałam Kaspersky Virus Removal Tool i tym razem też to zadaję. Przypominam: w opcjach ustaw skan wszystkiego. .

Hmm, niby wygląda to dobrze. Może zrób tę akcję: - Plik fixlist.txt, który jest na Pulpicie zostaw, ale: - Usuń wszystkie pozostałe składniki FRST: FRST64.exe + log FRST.txt z Pulpitu, folder C:\FRST oraz wszystkie inne kopie narzędzia FRST (o ile są gdzieś na dysku w innych ścieżkach). - Następnie pobierz najnowszą 64-bitową wersję FRST i zapisz na Pulpicie. - Uruchom FRST i kliknij w Fix. Czy nadal zgłasza się komunikat "No fixlist.txt found."? .

Czy na pewno plik fixlist.txt i FRST są na Pulpicie obok siebie?

Nie wiem skąd ta zmiana. By usunąć to ograniczenie: Start > w polu szukania wpisz regedit > z prawokliku Urucxhom jako Administrator i skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate Zresetuj system. .

Daniel2000, nie mogę zostawić systemu w takim stanie. 1. Dokończ to czego nie zrobiłeś: 2. Po wykonaniu powyższych zaległości pobierz ten plik: fixlist.txt Zapisz go na Pulpicie, nazwy nie zmieniaj. Również na Pulpicie umieść program FRST. Uruchom z Pulpitu FRST i klik w Fix. Otworzy się log z wynikami usuwania, na Pulpicie powstanie plik fixlog.txt. Przedstaw go. 3. Zrób nowe skany OTL i FRST zgodnie z instrukcjami w przyklejonym: KLIK. Nie podawaj jednak plików Extras i Addition. .

No tak, ale dałeś mi nie ten log główny co należy, czyli Extras (usuwam), a miało być dokładnie na odwrót: A co do: Objaśnia to Pomoc forum (link na spodzie). W Załącznikach można dodawać tylko format *.TXT, a to jest *.LOG. Na przyszłość: albo ręczna zmiana nazwy pliku (przy wyłączonej opcji Ukrywaj rozszerzenia znanych typów plików), albo zapis do nowego pliku *,TXT. .

Instrukcje w poprzednim poście w punkcie 3: KLIK. Podaną tam tresć wklejasz do Notatnika, zapisujesz pod nazwą fixlist.txt. Plik fixlist.txt wstawiasz do tego samego folderu, w którym jest FRST. Uruchamiasz FRST i klik w Fix, plik fixlist.txt zostanie automatycznie przetworzony i usunięty, a narzędzie otworzy w Notatniku plik z wynikami usuwania o nazwie fixlog.txt. Ten plik pokazujesz. Następnie robisz skany OTL i FRST i te dwa logi też pokazujesz. .

Pomoc forum (link na spodzie strony) objaśnia, że załączniki dopuszczają tylko rozszerzenie *.TXT, a to jest format *.LOG. Na przyszłość: albo zmiana ręczna nazwy pliku, albo zapis do nowego pliku. Zresztą ja mówiłam, by wkleić zawartość loga do posta, problemu by nie było. Skrypt wykonany. Teraz: 1. Przez SHIFT+DEL skasuj foldery: C:\Documents and Settings\Marianu\Pulpit\Stare dane programu Firefox C:\FRST W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Dla pewności zrób jeszcze skan w Malwarebytes Anti-Malware (podczas instalacji wybierz wersję darmową). Jeżeli coś zostanie wykryte, przedstaw raport. .

Daniel2000, proszę skup się. W Twoim logu FRST widać plik w tej ścieżce: C:\Users\hp\Downloads\fixlist.txt. A jeśli go tam nie ma, to zrób po prostu nowy plik w Notatniku (instrukcje w punkcie 3 w poprzednim poście), wstaw do tego samego folderu co FRST i dalej jak mówiłam. .

Temat sklejam z poprzednim. A czy tu aby nie jest tak, że SalityKiller po prostu przetwarza plik systemowy, który wcale nie jest zainfekowany? Otwórz w Notatniku plik C:\Windows\system.ini i wklej tu jego zawartość. Ogólnie nie wygląda na to, by infekcja była czynna, ale pendrive H: owszem zainfekowany. Wykonaj te działania: 1. Odinstaluj BrowseToSave 1.74, McAfee Security Scan Plus, Update for Codec Package. 2. Przy podpiętym pendrive uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files H:\autorun.inf H:\jirpou.cmd C:\Program Files\Mozilla Firefox netsh firewall reset /C :OTL O4 - HKLM..\RunOnce: [] File not found O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk = File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. .

Masz położyć plik fixlist.txt obok narzędzia FRST. Skoro uruchamiasz FRST ze ścieżki C:\Users\hp\Downloads\Konserwacja, to i plik fixlist.txt też tam ma być. Gdy oba pliki będą w tym samym folderze, uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt i ten przedstawiasz. Następnie robisz nowe logi OTL + FRST. .

Teraz widzę, że ... w ogóle opcja Fix nie wykonana. Mówiłam: A u Ciebie FRST uruchomiony z tej ścieżki: Running from C:\Users\hp\Downloads\Konserwacja ... a plik naprawczy jest w innej: 2013-07-19 22:57 - 2013-07-19 22:57 - 00003012 _____ C:\Users\hp\Downloads\fixlist.txt Plik fixlist.txt ma być obok FRST w dokładnie tej samej ścieżce, w przeciwnym wypadku narzędzie nie uruchomi skryptu. Powtarzaj operację z opcją Fix, po tym zrób nowe logi OTL + FRST. .

Jeszcze dołącz fixlog.txt, który FRST utworzył podczas usuwania.

Dałeś mi dwa razy plik OTL Extras, a nie ma głównego raportu FRST... Wg moich spodziewań reklamodawcze adware nie zostało usunięte do końca. Kupa śmieci w Google Chrome, w innych częściach systemu też śmieci. Przeprowadź następujące działania: 1. Deinstalacje adware: - Przez Panel sterowania: Qtrax Player, VuuPC Packages, WinZipper. I czy przypadkiem MyPC Backup to także nie jest jakaś niecelowa instalacja? - W Google Chrome w Rozszerzeniach: Amazon Shopping Assistant by Spigot, Ebay Shopping Assistant by Spigot, DealPly Shopping, Domain Error Assistant, Lyrmix, Slick Savings, GoPhoto.it. Następnie wejdź do zarządzania wyszukiwarkami, ustaw Google jako domyślną, po tym usuń z listy qvo6. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Deinstalacje nadmiaru skanerów. Skoro masz Avast, to pozbądź się Ad-aware oraz niespecjalnie ciekawego IObit Malware Fighter. System mniej się będzie męczył. 3. Otwórz Notatnik i wklej w nim: Task: {03A035EC-AD78-4AD8-90A5-17BD8EA7EFE5} - System32\Tasks\DSite => C:\Users\hp\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE No File Task: {130E987C-C17E-45C2-A71F-1137D66EE3A2} - System32\Tasks\Funmoods => C:\Users\hp\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.EXE No File Task: {228029A1-3C45-4610-B8F0-56F7BA76A761} - \Program aktualizacji online firmy Adobe. No Task File Task: {690D186E-86D8-4487-B1CC-D87072E2EC8A} - System32\Tasks\RegClean Pro => C:\Program Files (x86)\RegClean Pro\RegCleanPro.exe No File Task: {EA9033EA-D02D-4B8B-A83A-4D4A3707BA02} - System32\Tasks\DealPlyUpdate => C:\Program No File Task: {FB466942-DC4C-4800-B884-56583AC78DB8} - System32\Tasks\EPUpdater => C:\Users\hp\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File CMD: sc delete WsysSvc CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\mozilla\Firefox\Extensions /v lyrmix@lyrmix.net /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00e71626-0bef-11dc-8314-0864264c9a64}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00e71626-0bef-11dc-8314-0864264c9a64}" /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {66E5AC80-0B66-4B14-AAC3-76A9A179698E} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {66E5AC80-0B66-4B14-AAC3-76A9A179698E} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {66E5AC80-0B66-4B14-AAC3-76A9A179698E} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{425ED333-6083-428a-92C9-0CFC28B9D1BF}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f C:\Users\hp\AppData\Local\Lollipop C:\Users\hp\AppData\Roaming\DownloaderGold C:\Users\hp\AppData\Roaming\iSafe C:\Users\hp\AppData\Roaming\eCyber C:\Users\hp\AppData\Roaming\WinZipper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\ProgramData\eSafe C:\Program Files (x86)\iSafe C:\Program Files (x86)\Przyspiesz C:\Program Files (x86)\WinZipper C:\Program Files (x86)\mozilla firefox\searchplugins\delta-homes.xml C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Users\hp\Documents\Chica Passwords C:\Windows\system32\%LocalAppData% C:\Windows\SysWow64\%LOCALAPPDATA% C:\Windows\DeleteOnReboot.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + FRST (bez Addition). Dołącz fixlog.txt. .

Czy ta deinstalacja MSSE na pewno doszła do skutku? Czy narzędzie Microsoftu pokazywało jakiś wpis relatywny do MSSE? W raporcie OTL zbyt dużo elementów jak na ten proces... Dokończ resztki MSSE (na tyle na ile może to przedstawić raport OTL). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services MsMpSvc MpKsl33407336 :Files C:\Program Files\Microsoft Security Client C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Microsoft Antimalware Klik w Wykonaj skrypt. W katalogu C:\_OTL powstanie log z wynikami usuwania. Wklej jego zawartość do posta. .

Zrób Przywracanie systemu z poziomu WinRE: KLIK. O ile to teraz możliwe, bo niestety wykonanie tego odbiera całkowicie szansę: Nie jest jednak jasne czy to zrobiłeś. Poza tym, powiedziałeś coś takiego: O czym Ty mówisz, o którym folderze? Mam nadzieję, że nie C:\System Volume Information! Tego folderu Przywracania systemu nie należy czyścić ręcznie, to zupełnie rozstroi magazyn. .

A wg dostarczonego obrazka oglądałeś niepełną listę, nie widząc nawet połowy procesów, bo nie uruchomiłeś Menedżera zadań na odpowiednich uprawnieniach (należało kliknąć "Pokaż procesy wszystkich użytkowników"), które pozwalają ujrzeć procesy serwisów Windows. Te instrukcje: KLIK? .

Trzeba będzie poprawić nieco uprawnienia na oryginalne. Ale to nie są usługi G-data tylko Kasperskiego! Czy na pewno komunikat mówi o usuwaniu tego? Narzędzie wyraźnie ma w opisie, że nie tyka innych antywirusów: "This tool does not remove any other antivirus packages other than G Data. " Czyściciel coś robił, bo wpis G-data jest teraz w stanie "not found". .

Wszystko zrobione. MSSE został uwolniony i można się podjąć jego deinstalacji: 1. Start > Uruchom > wklej komendę deinstalacji i ENTER: "C:\Program Files\Microsoft Security Client\Setup.exe" /x To uruchomi kreator deinstalacji programu. 2. Następnie zastosuj to narzędzie czyszczące: KLIK. Wybierz tryb nieautomatyczny i szukaj czy pokazuje się do usunięcia Microsoft Security Client. 3. Pozostałe poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0 O7 - HKU\S-1-5-21-1220945662-1417001333-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLogoff = 0 O7 - HKU\S-1-5-21-1220945662-1417001333-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O7 - HKU\S-1-5-21-1220945662-1417001333-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0 O7 - HKU\S-1-5-21-1220945662-1417001333-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0 O8 - Extra context menu item: Ściągaj z Mipony - file://C:\Program Files\MiPony\Browser\IEContext.htm File not found O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Reg Error: Key error.) [2013-07-19 15:37:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marianu\Qtrax [2013-07-19 15:35:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marianu\Dane aplikacji\Mipony [2013-07-15 22:16:21 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software [2013-07-15 22:16:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software [2013-07-15 13:19:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Marianu\Moje dokumenty\My Avast EasyPass Data [2013-07-15 13:12:22 | 000,229,648 | ---- | C] (AVAST Software) -- C:\WINDOWS\System32\aswBoot.exe [2013-07-15 13:12:47 | 000,000,175 | ---- | C] () -- C:\WINDOWS\System32\drivers\aswVmm.sys.sum [2013-07-15 13:12:47 | 000,000,175 | ---- | C] () -- C:\WINDOWS\System32\drivers\aswSP.sys.sum [2013-07-15 13:12:47 | 000,000,175 | ---- | C] () -- C:\WINDOWS\System32\drivers\aswSnx.sys.sum [2011-12-21 13:39:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marianu\Dane aplikacji\_MDLogs :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: opcje Pliki utworzone / zmodyfikowane w przeciągu ustaw na Żadne i klik w Skanuj. .

Czy to na pewno pełny log z GMER? Brak znacznika końca pliku tekstowego. Niestety są świeżo utworzone ukryte pliki infekcji sugerujące infekcję Sality oraz starszy ukryty plik autorun.inf pokazujący, że Twoje poprzednie czyszczenie było niedokładne: [2013-07-18 14:52:55 | 000,029,412 | RHS- | M] () -- C:\yijc.pif [2013-07-18 14:52:48 | 000,029,412 | RHS- | M] () -- C:\xykv.pif [2013-07-18 14:52:42 | 000,029,412 | RHS- | M] () -- C:\xyhp.pif [2013-07-18 14:52:35 | 000,029,412 | RHS- | M] () -- C:\xnbex.exe [2013-07-18 14:52:29 | 000,029,412 | RHS- | M] () -- C:\wskksd.pif [2013-07-18 14:52:22 | 000,029,412 | RHS- | M] () -- C:\wqeper.exe [2013-07-18 14:52:15 | 000,029,412 | RHS- | M] () -- C:\wpmtwp.pif [2013-07-18 14:33:07 | 000,029,412 | RHS- | M] () -- C:\wejdnh.pif [2013-07-18 14:33:01 | 000,029,412 | RHS- | M] () -- C:\vjjnl.pif [2013-07-18 14:32:56 | 000,029,412 | RHS- | M] () -- C:\utmquc.pif [2013-07-18 14:32:50 | 000,029,412 | RHS- | M] () -- C:\usukb.exe O32 - AutoRun File - [2013-01-31 21:26:41 | 000,000,307 | RHS- | M] () - C:\autorun.inf -- [ NTFS ] + masa autoryzacji Sality z opisem "ipsec" w Zaporze systemowej. System jest również zaśmiecony adware. Będę też usuwać szczątki archaicznego Firefox, który wygląda na odinstalowany. Przeprowadź następujące działania: 1. Zrób skan SalityKiller. Jeżeli coś wykryje, powtarzaj go do skutku. 2. Odinstaluj adware / zbędne aplikacje / szczątki: - Przez Panel sterowania: Akamai NetSession Interface, Babylon Chrome Toolbar, Conduit Engine, DealPly, Lyrmix, Smart File Advisor 1.1.1, VuuPC, You're Always a Click Away!, Qtrax Player, Yontoo 1.10.02', Update for Codec Pack, Windows Media Player Firefox Plugin. - W Google Chrome w Rozszerzeniach Improved Search. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\autorun.inf C:\yijc.pif C:\xykv.pif C:\xyhp.pif C:\xnbex.exe C:\wskksd.pif C:\wqeper.exe C:\wpmtwp.pif C:\wejdnh.pif C:\vjjnl.pif C:\utmquc.pif C:\usukb.exe C:\Users\zby\AppData\Local\{*} C:\Users\zby\AppData\Roaming\mozilla C:\Program Files\Mozilla Firefox C:\ProgramData\mtbjfghn.xbe netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" "Start Page Before"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.b1.org/?bsrc=4hixr&chid=c167991 IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682 IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120527194600287&tb_oid=27-05-2012&tb_mrud=27-05-2012 IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=119357&tt=gc_&babsrc=SP_ss_gin2g&mntrId=2C7000FF1B34581A IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=A60748B1-3F72-4109-8E50-0FC80617C32A&apn_sauid=A4D00273-AD96-4734-96A4-1376401DFEFF IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={4B54AD15-2D45-4E1A-A737-0F4E363BBFF1}&mid=5b7b2d484cf54d969b59393d739f7977-2654f86fba9c5fa0b224b163c5b4cdc8cbcb2431&lang=pl&ds=AVG&pr=pr&d=2013-01-31 11:39:44&v=14.0.2.14&pid=avg&sg=&sap=dsp&q={searchTerms} IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = http://www.bigseekpro.com/search/browser/hypercam/{2033310F-F5C0-4A6C-8DA9-58F643227394}?q={searchTerms} IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms} IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682 IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120527194600287&tb_oid=27-05-2012&tb_mrud=27-05-2012 O2 - BHO: (no name) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (ma powstać po raz kolejny plik Extras) + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. .