picasso

Jest lepiej, ale niestety infekcja nadal się uruchamia. Kolejne podejście: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives C:\Documents and Settings\User\Dane aplikacji\*.* :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Taskman"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Fgfk"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER + USBFix z opcji Listing. Dołącz log z wynikami usuwania OTL powstały w punkcie 1. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files attrib /d /s -s -h H:\* /C H:\desktop.ini H:\Thumbs.db H:\Removable Disk (4GB).lnk H:\autorun.inf H:\crashreporterUpdUpdUpdUpdUpdUpdUpdUpdUpd.exe C:\ProgramData\Ask C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de C:\Program Files (x86)\mozilla firefox\components\Scriptff.dll C:\Program Files (x86)\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk :OTL O2:64bit: - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL File not found O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbho.dll File not found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKU\S-1-5-21-969439456-2313338805-3434874610-1001..\Run: [AdobeBridge] File not found IE - HKU\S-1-5-21-969439456-2313338805-3434874610-1001\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKU\S-1-5-21-969439456-2313338805-3434874610-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541824877799421 SRV - [2013-01-30 21:24:20 | 000,833,616 | ---- | M] (McAfee, Inc.) [Auto | Stopped] -- C:\Users\Martita\AppData\Local\Temp\016263~1.EXE -- (0162631373638715mcinstcleanup) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wejdź na dysk H. Tam jest folder "bez nazwy", w którym infekcja umieściła wszystkie dane z urządzenia. Przenieś dane z tego folderu poziom wyżej, po tym skasuj przez SHIFT+DEL folder "bez nazwy". 3. Operacje w przeglądarkach: - Firefox: wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: W Rozszerzeniach odinstaluj odpadkowy SiteAdvisor po McAfee. Zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. .

Ja nie widzę po stronie systemu oznak czynnej infekcji. Urządzenia owszem zainfekowane. 1. Odinstaluj adware: - Przez Panel sterowania: BabylonObjectInstaller, Browsers Protector, Contextual Tool Extrafind, facemoods, free-downloads.net Toolbar, McAfee Security Scan Plus, Norton Security Scan, StartSearch Toolbar 1.3, uTorrentControl_v2 Toolbar. - W Google Chrome w Rozszerzeniach powtórz deinstalację tego co powtarza się z w/w listy. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Przy podpiętych urządzeniach uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\kamil\AppData\Roaming\OpenCandy C:\Users\kamil\AppData\Roaming\mozilla C:\Program Files (x86)\mozilla firefox C:\Users\kamil\Local Settings C:\MSI H:\autorun.inf H:\4#QNWZFSMZPA.ini H:\desktop.ini H:\Thumbs.db J:\autorun.inf J:\Thumbs.db J:\Removable Disk (4GB).lnk attrib /d /s -s -h H:\* /C attrib /d /s -s -h J:\* /C :OTL IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1c041487-b4c1-11e1-86b5-88ae1d0f3153&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 IE - HKU\S-1-5-21-996039625-2918249784-1359685941-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-996039625-2918249784-1359685941-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=1c041487-b4c1-11e1-86b5-88ae1d0f3153&q={searchTerms} IE - HKU\S-1-5-21-996039625-2918249784-1359685941-1001\..\SearchScopes\{43328058-6371-4EB1-B8D9-B223D2F43FA9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110819&babsrc=SP_ss&mntrId=f48804fc00000000000078e400fbce64 IE - HKU\S-1-5-21-996039625-2918249784-1359685941-1001\..\SearchScopes\{76935AE8-B936-4D3F-9AA5-CEBB7AACB479}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=41EAE299-CC79-48EB-9DD6-9A5C96050413&apn_sauid=271219C5-40DC-4947-A5E1-60149C460757 IE - HKU\S-1-5-21-996039625-2918249784-1359685941-1001\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = http://badoo.com/startpage/?source=bsb&q={searchTerms} IE - HKU\S-1-5-21-996039625-2918249784-1359685941-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 O2 - BHO: (YouTube To ALLPlayer) - {61DB16C5-B733-43F4-872E-B20DC9E72740} - C:\PROGRA~2\ALLPLA~1\YOUTUB~1.DLL File not found O3 - HKLM\..\Toolbar: (@msdxmLC.dll,-1@1033,&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files (x86)\No1 Video Converter\msdxm.ocx (Microsoft Corporation) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Wejdź po kolei na dyski H i J. Na nich są foldery "bez nazwy" do których infekcja przesunęła wszystkie dane. Przenieś z tych folderów pliki poziom wyżej, a foldery "bez nazwy" przez SHIFT+DEL skasuj. 5. Zrób nowe logi: log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. .

Ten komunikat może oznaczać obecność infekcji w systemie (m.in. ZeroAccess) i naruszenie systemowego Windows Defender. Proszę dostarczyć raporty z OTL / FRST.

Daniel2000, proszę podaj wymagane raporty OTL / FRST. A skoro użyłeś AdwCleaner, proszę też o log który program utworzył na dysku C. Temat przenoszę do działu diagnostyki Malware. .

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Skasuj ten klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore Zresetuj system. .

Plik pomyślnie wyleczony. To był początek. Lecimy dalej: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://startsear.ch/?aff=1&src=sp&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms} SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKLM-x32 - {6FE7C79D-6222-46DE-8DBA-5517BD8419A5} URL = http://startsear.ch/?aff=1&src=sp&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms} SearchScopes: HKLM-x32 - {FAFC0A94-E931-4A00-BC3B-AE055D0FEA34} URL = http://startsear.ch/?q={searchTerms} SearchScopes: HKCU - {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2A5E2A8158F4ED76&affID=119781&tt=300613_dltp&tsp=4929 SearchScopes: HKCU - {1645A33F-0A96-4315-904E-29E188E7720E} URL = http://startsear.ch/?aff=2&src=sp&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms} SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://startsear.ch/?src=sp&aff=51&cf=98f69c5d-d28e-11e0-ba40-506313e0b9ed&q={searchTerms} SearchScopes: HKCU - {416DE39D-BABC-4D6B-AAD7-17820B179B54} URL = http://startsear.ch/?aff=1&q={searchTerms} SearchScopes: HKCU - {62BFB7D3-C2DE-4670-9276-878860C9DC4A} URL = http://search.babylon.com/?q={searchTerms}&AF=110000&tt=090212_noffx&babsrc=SP_ss&mntrId=2a5ed81b000000000000506313e0b9ed SearchScopes: HKCU - {7219660F-EBBB-BDCF-159B-1D09FC0C20C8} URL = http://flv.asksearch.com/s/?q={searchTerms}&iesrc={referrer:source?}&cfg=2-58-0-9gA4 SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKCU - {C14C088A-5B85-4949-ACD4-0E0B950C7490} URL = http://search.v9.com/web/?q={searchTerms} BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File BHO-x32: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File BHO-x32: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll No File HKCU\...\Run: [cacaoweb] - "C:\Users\Bartek\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer [451584 2013-07-10] () HKCU\...\Run: [GameXN GO] - "C:\ProgramData\GameXN\GameXNGO.exe" /startup [x] Toolbar: HKCU - No Name - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No File Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File Handler: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - No File Handler: vsharechrome - {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - No File U3 ack5yy99; C:\Windows\System32\Drivers\ack5yy99.sys [0 ] (Microsoft Corporation) Task: {2C5B7700-37C8-4A25-AEF3-6673B14BE8A8} - System32\Tasks\{F8E81509-3ABF-4C93-923F-633DE600BE87} => C:\Program Files (x86)\Team17\Worms World Party\wcp.exe No File Task: {2F771B9E-2F6D-4C44-91E5-F3310611E1AD} - System32\Tasks\{320B3754-8D12-44C8-AB74-C21B42FF2126} => C:\Program Files (x86)\Team17\Worms World Party\wcp.exe No File Task: {8DC90FCF-2879-4B17-B6C8-7052F1D4A261} - System32\Tasks\{AACDA1AE-9E49-4E6A-8A2F-C862B01DBFE9} => C:\Install.exe [2007-11-07] (Microsoft Corporation) Task: {A8D12BA9-FD7F-4E5E-A3BA-4E7662CD43F4} - System32\Tasks\{97D6A386-32DF-4FAB-A320-27A26A7C84DF} => C:\Install\setup.exe No File Task: {E97D234D-4375-4B66-9A3F-3C659C22982B} - System32\Tasks\{CEB1C827-19B4-4450-ADCD-69BA88CDDC07} => C:\Install.exe [2007-11-07] (Microsoft Corporation) Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" CMD: netsh winsock reset DeleteJunctionsIndirectory: C:\Program Files\Windows Defender C:\Windows\Installer\{d871a7f8-7cdd-28b8-cc09-37d316d2ce8f} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\Bartek\SetupReg.exe C:\Users\Bartek\SpideyPC.exe C:\Users\Bartek\stvplye.exe C:\Users\Bartek\AppData\Local\PutLockerDownloader C:\Users\Bartek\AppData\Roaming\cacaoweb C:\Users\Bartek\AppData\Roaming\BabSolution C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Program Files (x86)\Mega Codec Pack C:\Program Files (x86)\Mozilla Firefox\extensions\ffxtlbr@babylon.com C:\Program Files (x86)\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} C:\Program Files (x86)\mozilla firefox\plugins\npfflivevdoplg.dll C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Zresetuj system. 2. Uruchom ServicesRepair i zresetuj system. 3. Odinstaluj adware i wyczyść preferencje przeglądarek: - Przez Panel sterowania: Complitly, FoxTab Music Converter, FTDownloader, LiveVDO, LiveVDO plugin 1.3, vShare Plugin, vShare.tv plugin 1.3 - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: W Rozszerzeniach odinstaluj Complitly plugin for chrome, FT Downloader, LiveVDO plugin, vshare plugin. Zresetuj cache wtyczek, co usunie martwe wpisy: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST + Farbar Service Scanner. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. .

Ścieżki brałam z logów, może niektóre pliki już poznikały? Wytnij jeszcze te, najwyżej potem usuniemy w drugim podejściu inną metodą: "C:\Documents and Settings\User\Dane aplikacji\5.exe.gonewiththewings" "C:\Documents and Settings\User\Dane aplikacji\4.exe.gonewiththewings" .

Usuń te dwie linie ze skryptu: "C:\Documents and Settings\User\Dane aplikacji\4.exe" "C:\Documents and Settings\User\Dane aplikacji\5.exe"

Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik na "Dostawca kopiowania w tle oprogramowania firmy Microsoft" i Typ uruchomienia zmień na Ręcznie. Zweryfikuj czy nadal występuje błąd 0x81000203. .

Poprawiam formatowanie posta, a log idzie do spoilera. Temat przenoszę do działu Hardware, gdyż objawy wręcz narzucają problem sprzętowy lub sterownikowy. Proszę wdrożyć zasady działu: KLIK. Na temat używania ComboFix: KLIK. Jego uruchomienie było całkowicie zbędne, działanie w ogóle nie dopasowane do problemu, a log bezużyteczny. Na przyszłość: proszę nie uruchamiać w ciemno tego programu, ten program ma tylko jeden cel: usunięcie określonych infekcji, a nie diagnostykę kompleksową systemu i sprzętu! .

W ogóle nie objaśniłeś na czym to polega. Proszę o więcej szczegółów, jak to się objawia, czy występuje jakiś konkretny błąd (proszę dokładnie przepisać)?

Poproszę o inny rodzaj skanu USBFix: z opcji Listing przy wszystkich podpiętych urządzeniach.

Infekcja blokuje pobieranie. Tu masz link zastępczy: KLIK.

Myślę, że to dobry pomysł i nie ma co żałować decyzji. Na zakończenie jeszcze: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, odinstaluj USBFix, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starszą Java 7 Update 9 (64-bit), zaktualizuj Google Chrome i Silverlight. .

Log z GMER zrobiłeś w złych warunkach, przy czynnym emulatorze DAEMON Tools. Infekcja nie wygląda na aktywną, są tylko jej szczątki. Poza tym trochę adware. Doczyść to wszystko: 1. Na początek poprawne deinstalacje: - Przez Dodaj/Usuń programy odinstaluj Splashtop Connect for Firefox. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="F:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ""=- "cdoosoft"=- "EXPLORER.EXE"=- "wsctf.exe"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions] "{91c612bf-2a7a-48b8-8c8c-6de28589b7a1}"=- "{91c612bf-2a7a-48b8-8c8c-6de28589b7a0}"=- "{d9284e50-81fc-11da-a72b-0800200c9a66}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2013-06-19 13:09:31 | 000,000,000 | ---D | M] -- F:\Documents and Settings\All Users\Dane aplikacji\InstallMate [2013-06-19 12:46:14 | 000,000,000 | ---D | M] -- F:\Documents and Settings\All Users\Dane aplikacji\StarApp [2013-03-04 18:16:16 | 000,000,000 | ---D | M] -- F:\Documents and Settings\Edek\Dane aplikacji\OpenCandy DRV - File not found [Kernel | On_Demand | Stopped] -- F:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku F powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Mogą, jeśli są aktywne. Tu nie ma takich śladów. Równie dobrze to COMODO Internet Security może mieć negatywny wpływ. .

Skrypt wykonany, czyli działania końcowe: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji poniższe pozycje: KLIK. Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Mozilla Thunderbird 14.0 (x86 pl)" = Mozilla Thunderbird 14.0 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll () Tu nie został wykryty crack zainstalowany w systemie lecz zachomikowany instalator tegoż cracka w kopii zapasowej (D:\kopia dok\Pulpit\ANTIWPA-V3.4.6 FOR X64 AND X86). .

Są tu dwie sprawy: - Na urządzeniu infekcja wykonała manipulację: właściwe dane zostały przeniesione do folderu "bez nazwy", folder został ukryty przez atrybuty HS (ukryty systemowy) i jest widzialny tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego, a jako widoczny element infekcja utworzyła skrót o nazwie urządzenia, który jest pułapką i uruchamia infekcję. Niestety nabrałeś się na to, nie mając odznaczonej opcji "Ukryj chronione pliki systemu operacyjnego" i myśląc że skrót otwiera dane zaraziłeś system: - System jest zainfekowany i każdy podpinany dysk będzie przerabiany na taką postać: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 8462 = C:\ProgramData\LOCALS~1\Temp\ccawaazvz.pif Poza tym, jeszcze śmietnisko adware. Przeprowadź następujące działania: 1. Odinstaluj adware i zbędne aplikacje: - Przez Panel sterowania odinstaluj: BrowserDefender, Hoolapp For Android, IObit Apps Toolbar v7.2, MixiDJ Toolbar, MixiDJ chrome Toolbar. Proponuję też od razu pozbyć się takiego sobie IObit Malware Fighter. - Google Chrome: ma uszkodzone preferencje. Wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, a z listy skasuj podejrzane. W Rozszerzeniach odinstaluj to co się powtarza z w/w listy i to czego nie znasz. Wyczyść Historię. 2. Pobierz FRST. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Infinite_Screen /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D778FDC-FAD7-4B1D-AB88-7A76A562D65C}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5C37612D-B6FD-4987-9263-DECCB7540B19}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f C:\ProgramData\LOCALS~1\Temp\ccawaazvz.pif C:\Program Files\Instair C:\Program Files\Mozilla Firefox C:\Users\Admin\AppData\Roaming\mozilla C:\MSI C:\search.sqlite C:\prefs.js F:\desktop.ini F:\autorun.inf F:\4#EVXRWIGUCSMAGT.ini F:\Thumbs.db F:\KINGSTON (4GB).lnk CMD: attrib /d /s -s -h F:\* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Wejdź na urządzenie F. Powinien być widoczny folder "bez nazwy". Przenieś z niego wszystkie dane poziom wyżej, a folder przez SHIFT+DEL skasuj. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + logi z FRST + USBFix z opcji Listing. Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. .

Pytałam tylko na wszelki wypadek, bo już tu były historie, że ktoś opacznie zrozumiał link w połączeniu z cytatem i chciał pobierać nie ten SP co należy. A co do "lewości" Office, to nie znam detali, ale wydaje mi się, że aktualizacje Office nie powinny stanowić problemu. .

Tylko się upewnię: mówimy oczywiście o SP dla Office a nie dla Windows? .

Temat przenoszę do działu Windows na razie. Oznak infekcji brak. Doczyść tylko adware (to nie ma nic wspólnego ze zgłaszanym problemem): I Windows kompletnie nieaktualizowany, brak SP1 + IE10 + reszty łat: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) W jakim stanie laptop był zostawiony (Hibernacja / Uśpienie)? Takie samowłączanie zwykłe jest związane z: - Sygnałami sprzętowymi / aktywnością sieciową. Nasuwa się, by sprawdzić opcje Menedżera urządzeń i BIOS pod kątem ustawień zasilania oraz sieciowych czy nie ma tam czegoś typu wybudzającego (Wakeup on LAN, Power on Keyboard/Mouse etc). Przykładowy topik z opcjami poziomu systemu: KLIK. - Możliwe i jakieś planowane operacje z poziomu Windows, program wykonujący automatyczne czynności. Widzę też zainstalowany CWK (Czasowy Wyłącznik Komputera). Co w nim jest konkretnie skonfigurowane? .

Log z AdwCleaner twierdzi coś przeciwnego, wykrywa dwa pliki na dysku: ************************* AdwCleaner[s1].txt - [5063 octets] - [12/07/2013 14:47:01] AdwCleaner[s2].txt - [1039 octets] - [12/07/2013 14:52:07] ########## EOF - C:\AdwCleaner[s2].txt - [1099 octets] ########## Nie szukaj plików przez wyszukiwarkę, wejdź wprost na dysak C:\. A jeśli tam rzeczywiście nie będzie pierwszego pliku, to sprawdź jeszcze dysk G:\ z którego uruchamiałeś AdwCleaner. .

Albo odznaczasz atrybut na składniku który dziedziczy atrybut z poziomu wyżej, albo jest coś nie tak z danymi. Czy zaczynasz zdejmować atrybuty "od samej góry"?

Ten log z AdwCleaner nie wygląda na zasadniczy, to już drugi przebieg. Proszę o plik numer 1: C:\AdwCleaner[s1].txt. W skanie OTL widać ślady resetu. Na przyszłość: proszę nie przestawiać kolejności, kolejność jest ścisła. Reset Firefox przed AdwCleaner a nie po ma określone znaczenie. .

"Tylko do odczytu" było zdejmowane na kopii folderu, skoro po przeniesieniu na urządzenie znów są te atrybuty, zostały dodane. Odznaczałeś je dla każdego pliku po kolei? Obawiam się, że tu więcej nie zdziałam. Po prostu wygląda na to, że coś jest nie tak z tą kopią folderu iPod_Control. Urządzenie jej nie akceptuje i usuwa dane. Czy możesz sprawdzić jak sprawy wyglądają "na czysto", tzn. skopiowanie na iPod muzyki z innego źródła niż ta kopia zapasowa? .