picasso

Finalizujemy sprawy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj te programy (KLIK): ==================== Installed Programs ======================= Adobe Reader X MUI (x32 Version: 10.0.0) Google Chrome (x32 Version: 27.0.1453.116) Microsoft Office Professional Plus 2013 (Version: 15.0.4420.1017) Skype™ 5.10 (x32 Version: 5.10.116) .

MBAM nie wykrył nic szczególnego, tylko instalator zawierający adware (5_VeohWebPlayerSetup_eng.exe). Usuń ten plik. Na zakończenie: 1. W Dzienniku zdarzeń masz błąd WMI numer 10: Error: (07/11/2013 07:06:25 PM) (Source: WinMgmt) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Instrukcje naprawy: KB950375. W skrócie: wklej do Notatnika skrypt podany na stronie i zapisz plik pod nazwą FIX.VBS. Plik umieść na C:\, następnie Start > w polu szukania cmd > z prawokliku Uruchom jako Administrator > wklep C:\FIX.VBS i ENTER. 2. Zaktualizuj cały system (krytyczny poziom aktualizacji Vista!) i wyliczone poniżej programy: KLIK. Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Polish Internet Explorer Version 7 Adobe Flash Player 10 ActiveX (Version: 10.0.12.36) Adobe Flash Player 11 Plugin (Version: 11.7.700.224) Adobe Reader 9.1 - Polish (Version: 9.1.0) Adobe Shockwave Player 11.5 (Version: 11.5.6.606) Google Chrome (HKCU Version: 27.0.1453.116) Java™ 6 Update 15 (Version: 6.0.150) Microsoft Silverlight (Version: 5.1.20125.0) Mozilla Firefox 14.0.1 (x86 pl) (Version: 14.0.1) OpenOffice.org 3.1 (Version: 3.1.9399) Skype™ 5.10 (Version: 5.10.116) .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\NATALIA-PC\AppData\Roaming\cache.dat C:\Users\NATALIA-PC\AppData\Roaming\cache.ini C:\Users\NATALIA-PC\AppData\Roaming\BabSolution C:\Users\NATALIA-PC\AppData\Roaming\Babylon C:\ProgramData\Babylon C:\Windows\System32\searchplugins C:\Windows\System32\Extensions :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] :Services ASUSProcObsrv :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, system powinien zostać odblokowany. 2. Usuń adware: - Przez Panel sterowania odinstaluj: BrowserDefender, Delta toolbar, Delta Chrome Toolbar, WebCake 3.00. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu. Dołącz log utworzony przez AdwCleaner. .

Nie widzę tu oznak czynnej infekcji. Są tylko historyczne nagrania podpinania zarażonych urządzeń USB w kluczu MountPoints2 i kilka pustych wpisów. Wykonaj kosmetykę pod tym kątem. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL IE - HKU\S-1-5-21-57989841-1604221776-1606980848-1004\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found [2011-12-04 13:23:25 | 000,000,000 | -H-D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Common Files DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Filip\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Przedstaw go. Nowy skan nie jest potrzebny. Wyniki z miejsc C:\Qoobox\Quarantine (kwarantanna ComboFix) + System Volume Information (Przywracanie systemu) nie miały zbyt dużego znaczenia. Wyniki nieczynne. Po ich odrzuceniu zostają właściwie tylko pliki muzyczne wykryte jako zainfekowane. A to jak mówisz skaner załatwił. Tam nie ma potrzeby wchodzić ręcznie. Foldery Przywracania systemu czyści się w taki sposób: KLIK. To zrobisz na końcu. To już nic szczególnego: - Crack aktywacji XP i jego kopia w Przywracaniu systemu - Instalator adware - Uszkodzone archiwa RAR .

Opcję "Tylko do odczytu" miała ściągnąć rekursywna komenda na kopii folderu. Komenda się niby wykonała... Skoro Ty mówisz, że odznaczałeś ten atrybut ręcznie, to albo komenda jednak nie wykonana, albo atrybuty zostały ponownie nałożone. Z czego konkretnie ściągałeś ten atrybut? Wg skanu SystemLok był on na wszystkich plikach urządzenia, w tym muzycznych. I może tu jest jednak wariant z uszkodzoną bazą iPod. Wykonaj sprawdzanie dysku J checkdiskiem jak podane w linku (KLIK). .

Akcje wykonane pomyślnie. Kolejna partia zadań: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj SUPERAntiSpyware. Zrób pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Z tego co widzę na urządzeniu folder iPod_Control i jego podfoldery są ukrywane, ale tylko przez atrybut H. Wg tego co czytam na temat iPoda ich ukrycie jest normalnym zjawiskiem, tak ma być: KLIK. Hmmm, może atrybuty R (Read-Only) lub uszkodzenie bazy iPod stanowią problem? Tak jak tu opisane: KLIK? Na początek wypróbuj tropu z atrybutami R: 1. Ściągnij atrybuty R na kopii folderu D:\iPod_Control. Zrób plik fixlist.txt o zawartości: CMD: attrib -r D:\iPod_Control CMD: attrib /d /s -r D:\iPod_Control\* Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Skopiuj folder D:\iPod_Control na urządzenie zasadnicze i powiedz co się dzieje. .

Procedura będzie wykonywana stopniowo, spora robota przed nami. Na początek tylko wyleczenie pliku services.exe, gdyż dopóki plik jest zainfekowany, czyszczenie pozostałych rzeczy i naprawy szkód nie mają sensu. Akcja: 1. Otwórz Notatnik i wklej w nim: Unlock: C:\Windows\System32\services.exe CMD: sfc /scanfile=C:\Windows\system32\services.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i ułóż obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Obowiązkowy reset systemu w celu wdrożenia naprawy pliku. Po restarcie zrób nowy log z SystemLook na ten sam warunek co poprzednio. Dołącz plik fixlog.txt. .

- Wersja instalowanej Java jest dyktowana przede wszystkim bitami określonej przeglądarki / programu, których używasz. Przykładowo: jeśli używasz Desktopowej wersji Firefox czy Google Chrome = instalujesz Java x86 (32-bit) a nie 64-bit. Java natywnie 64-bitowa nie działa w 32-bitowych przeglądarkach i vice versa. - A komunikat o tym, że Java będzie działać "tylko w zakresie Pulpitu" stąd, że określone przeglądarki w wersjach ModernUI nie mają w ogóle obsługi wtyczek typu Java. Tak więc: do czego konkretnie potrzebna Ci Java, jaką przeglądarkę używasz i w jakim środowisku (Desktop czy ModernUI). .

Ad "mówiłeś" = jestem kobietą. Akcje pomyślnie wykonane. Przejdź do poprawek: 1. Zrób nowy fixlist.txt o zawartości: SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKCU SearchScopes: DefaultScope {A77EB43F-B864-4159-93DA-D63151A8DCE0} URL = U0 Partizan; system32\drivers\Partizan.sys [x] C:\Windows\system32\Partizan.exe C:\Windows\SysWOW64\PARTIZAN.TXT C:\Windows\system32\TmInstall.log C:\Windows\SysWOW64\TmInstall.log C:\ProgramData\Trend Micro C:\ProgramData\RegRun C:\Program Files (x86)\UnHackMe C:\Users\Public\sdelevURL.tmp C:\Users\DELL\Downloads\SoftonicDownloader_dla_anki.exe C:\Users\DELL\Documents\RegRun2 Uruchom tak jak poprzednio. Przedstaw wynikowy fixlog.txt. 2. W Google Chrome jest martwa wtyczka: Chrome: ======= CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\4.0.50401.0\npctrl.dll No File Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. .

Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /ve /t REG_SZ /d "@SYS:DoesNotExist" /f reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Taskman /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Advanced HTTPL Enable" /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v "Microsoft Driver Setup" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v 2gbs29dd /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ca40229dd /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fgf /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fnfx /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Fvbk /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v games /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Hgcecl /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Igcecm /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jkqq /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ju7bd /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v jaqq /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Mgcecq /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Ogcecs /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v p4440229 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psysjo3 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psysjo32 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psys3 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy025 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy024 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy023 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy022 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v proxzy0229 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v psysnew3 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v sdjwe /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v "Screen Saver Pro 3.1" /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v t4q /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjpp1 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjmm71 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjii321 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tjpp2 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Tnaww /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Teswf /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Wgceca /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Xgcecb /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f netsh firewall reset sc delete pipialsh sc delete btkrnl attrib /d /s -s -h F:\* attrib /d /s -s -h H:\* del /q D:\*.lnk del /q F:\*.lnk del /q H:\*.lnk Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFile: C:\WINDOWS\ghdrive32.exe C:\WINDOWS\system32\tatki.dll "C:\Documents and Settings\User\Dane aplikacji\Microsoft\Igcecm.exe" "C:\Documents and Settings\User\Dane aplikacji\Microsoft\Wgceca.exe" "C:\Documents and Settings\User\Dane aplikacji\lvfolc.exe.gonewiththewings" "C:\Documents and Settings\User\Dane aplikacji\4.exe" "C:\Documents and Settings\User\Dane aplikacji\5.exe" "C:\Documents and Settings\User\Dane aplikacji\5.exe.gonewiththewings" "C:\Documents and Settings\User\Dane aplikacji\4.exe.gonewiththewings" "C:\Documents and Settings\User\Dane aplikacji\ScreenSaverPro.scr" "C:\Documents and Settings\User\Dane aplikacji\temp.bin" C:\date.bin C:\autorun.inf C:\`.vbs F:\`.vbs F:\autorun.inf F:\yjlWSDXjkIUwkeN.exe H:\autorun.inf H:\`.vbs H:\QNeeAWpXHgEYzgc.exe DeleteFolder: C:\RECYCLER D:\RECYCLER F:\RECYCLER H:\RECYCLER Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows pojawi się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. Wklej jego zawartość do posta. 3. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER + USBFix z opcji Listing. .

Tak, w GMER jest komunikat o rootkicie, ponieważ są ukryte wpisy infekcji w starcie, które przerabia wszystkie dyski na skróty. Zanim przejdę do usuwania: Poproszę jeszcze o log USBFix z opcji Listing zrobiony przy podpiętych wszystkich dyskach zewnętrznych. .

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL SRV - File not found [Auto] -- -- (WebCake Desktop Updater) O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - File not found O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\kamilek_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\kamilek_ON_C\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\kamilek_ON_C..\Run: [DirtyDecrypt] C:\Users\kamilek\AppData\Roaming\Dirty\DirtyDecrypt.exe () O4 - HKU\kamilek_ON_C..\Run: [WJxcBnxY] C:\Users\kamilek\AppData\Local\PMB Files\pFEuxHpr.exe (Google Inc.) O4 - Startup: C:\Users\kamilek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OZAWTIZT.exe (Google Inc.) O7 - HKU\kamilek_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O20 - HKLM Winlogon: UserInit - (C:\Program Files\DIsmdkfargpib\kLLhYkbx.exe) - C:\Program Files\DIsmdkfargpib\kLLhYkbx.exe (Google Inc.) :Files C:\Program Files\DIsmdkfargpib C:\Program Files\Dirty C:\Program Files\uik.dat C:\Program Files\is.dat C:\ProgramData\Babylon C:\Users\kamilek\AppData\Local\haCPULRr C:\Users\kamilek\AppData\Local\Dirty C:\Users\kamilek\AppData\Local\ZPbrZdCi C:\Users\kamilek\AppData\Roaming\BabSolution C:\Users\kamilek\AppData\Roaming\Babylon C:\Users\kamilek\AppData\Roaming\Dirty C:\Users\kamilek\AppData\Roaming\Mozilla\Firefox\Profiles\yqq467xr.default\prefs.js C:\Users\kamilek\AppData\Roaming\Mozilla\Firefox\Profiles\yqq467xr.default\extensions\{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} C:\Users\kamilek\AppData\Roaming\Mozilla\Firefox\Profiles\yqq467xr.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} C:\Users\kamilek\AppData\Roaming\Mozilla\Firefox\Profiles\yqq467xr.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} C:\Users\kamilek\AppData\Roaming\Mozilla\Firefox\Profiles\yqq467xr.default\extensions\ffxtlbr@delta.com C:\Users\kamilek\AppData\Roaming\Mozilla\Firefox\Profiles\yqq467xr.default\extensions\plugin@getwebcake.com C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml :Commands [emptytemp] (Uwaga: resetuję stary Firefox poprzez usunięcie pliku prefs.js. To będzie oznaczać utratę określonych ustawień w Firefox) Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. W katalogu C:\_OTL powstanie log z wynikami usuwania. System powinien zostać odblokowany i loguj się normalnie do Windows, by przeprowadzisz dalsze działania: 2. Przez Panel sterowania odinstaluj adware / zbędniki: AVG Security Toolbar, BrowserDefender, DealPly, Delta Toolbar, Logitech Desktop Messenger, PriceGong, SweetIM / SweetPacks, WebCake. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi: OTL z opcji Skanuj (nie OTLPE) + FRST. Dołącz log utworzony przez AdwCleaner oraz ten z wynikami usuwania OTL z punktu 1. .

Czy ta kopia iPod na pewno jest poprawna? Może rzeczywiście w kopii są wadliwe obiekty i urządzenie tego po prostu nie przyjmuje. Na wszelki wypadek podaj mi jeszcze DIR iPod (zakładam że jest nadal mapowany jako J) oraz tej kopii zapasowej: Uruchom SystemLook x64 i w oknie wklej: :dir J:\ /s X:\ścieżka do kopii folderu /s (pod "X:\ścieżka do kopii folderu" podstawiasz rzecz jasna wierną ścieżkę) Klik w Look. Przestaw wynikowy raport. .

Czy folder w kopii zapasowej nie jest aby ukryty (flagi HS)? Zrób na urządzeniu ręcznie strukturę folderów: J:\iPod_Control ---- Device ---- iTunes ---- Music I tylko pliki z kopii zapasowej skopiuj do korespondujących gałęzi. Podaj mi jakie są wyniki akcji. .

SFC nie wykryło żadnych błędów. W związku z tym spróbuj inny trop z martwą wyszukiwarką, polecałam to w innym temacie (KLIK): .

Jeszcze drobne poprawki: 1. Nie ma oznak wykonania resetu Firefox. 2. Otwórz Notatnik i wklej w nim: Task: {B7A5F019-6E3C-4ECA-B661-57365D843B41} - System32\Tasks\RunAsStdUser Task for VeohWebPlayer => C:\Program Files\Veoh Networks\VeohWebPlayer\veohwebplayer.exe No File Task: {E50B8399-BDC0-4069-B2E1-4135E680D594} - System32\Tasks\EPUpdater => C:\Users\antoni\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{483830EE-A4CD-4b71-B0A3-3D82E62A6909}" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f S3 NVHDA; system32\drivers\nvhda32v.sys [x] Plik zapisz pod nazwą fixlist.txt. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt i go przedstaw. Nie wiem z jakiej przyczyny. Moje operacje nie ruszały tej partii. Dla świętego spokoju jeszcze sprawdź wersję rozszerzoną, interesują mnie tylko wyniki inne niż z flagą "Unsigned". Być może ten tajemniczy ukryty proces w GMER był relatywny do aktywności instalacji DAEMON Tools. .

Na obejrzenie Dzienników potrzebuję czasu. To już raczej nie dziś. Aj, z przyzwyczajenia to napisałam. Kliknij prawym na plik C:\Windows\system32\cmd.exe i z menu wybierz Uruchom jako Administrator. .

Ale co to oznacza, jaki błąd widzisz?

Komentując co wyprawiali z Twoim systemem (i ja sądzę, że nikt z nich nie wie jak działa ta infekcja, bo błądzenie): - pcfoster.pl: Tylko tu liźnięto temat w ostatnim poście, tzn. zainteresowano się rzeczywistymi wpisami infekcji, ale tylko po stronie systemu (ładowanie cchbuzyt.com). Ale nie zaadresowano zasadniczej wady na urządzeniach. - idg.pl: głupoty. Nie zauważone wpisy infekcji w systemie. Za to usuwanie całego klucza SearchScopes (wyszukiwarki Internet Explorer) i to poprawnego (! systemowy Bing) oraz MountPoints2 (historia podpinanych USB, w obu raportach OTL+USBFix brak wykrytych infekcyjnych wpisów w tym kluczu). - komputerswiat.pl: już komentowałam skrypt. Akcje nie związane z problemem i nielogiczności w skrypcie. A że wpisy 64-bit zadali z błędem (tagi Bold forum), skrypt nie wykonał wszystkiego i niepotrzebne akcje samodzielnie się ograniczyły. Trzeba jednak odtworzyć to w co walnęło skryptem, czyli 32-bitowy wpis WebCheck: Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad] "WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. W USBFix widać było dyski H, I, J. Z tego zestawu dysk J wygląda na iPod i ostateczny stan tam osiągnięty to: [08/07/2013 - 15:10:08 | D ] J:\iPod_Control [09/07/2013 - 18:59:54 | A | 126] J:\desktop.ini Nie było nic więcej niż ten folder + plik desktop.ini (notabene: plik w ostatnim podejściu nie został usunięty, nie znaleziony, tak jakby urządzenie nie było podpięte). Czy folder J:\iPod_Control to jedyne co było wcześniej na urządzeniu? Co w nim jest? .

Akcje wykonane = Temat ukończony.

Jeśli mowa o skrypcie do FRST, to było to usuwanie martwych wpisów w Harmonogramie zadań + w sterownikach oraz przywracanie zresetowanych czyszczeniem ustawień Internet Explorer do postaci domyślnej. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\48531I0 C:\Users\antoni\AppData\Local\48531I0 C:\Users\antoni\AppData\Roaming\skype.dat C:\Users\antoni\AppData\Roaming\skype.ini C:\Users\antoni\AppData\Roaming\BabMaint.exe C:\Users\antoni\AppData\Roaming\jasltw.dat C:\Users\antoni\AppData\Roaming\mainhst.zgh C:\Users\antoni\AppData\Roaming\BabSolution C:\Users\antoni\AppData\Roaming\Babylon C:\Users\antoni\AppData\Roaming\File Scout C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Services BrowserProtect :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012 IE - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=119816&babsrc=SP_ss_bay2g&mntrId=4EE30016EABB1544 IE - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2653012 O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" File not found O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" File not found O3 - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found. O4 - HKLM..\Run: [bEWINTERNET-PLSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" File not found O37 - HKU\S-1-5-21-1040673368-2128650150-2888634519-1004\...exe [@ = exefile] -- Reg Error: Key error. File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, gdyż system powinien zostać odblokowany. 2. Odinstaluj adware: - Przez Panel sterowania: BrowserProtect, Delta toolbar, Delta Chrome Toolbar, Qtrax Player, Veoh Web Player Toolbar. - Google Chrome: w Rozszerzeniach powtórz deinstalację Delta Toolbar, o ile będzie nadal widoczne. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go. 4. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST. Dodatkowo, w GMER jest jakiś podejrzany odczyt: ---- Processes - GMER 2.1 ---- Process (*** hidden *** ) [4] 853B3910 Sprawdź co widzi Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw Skip i tylko log przedstaw. Jeśli nic nie wykryje, raport zbędny. .

Zrobione. Tylko drobna poprawka. Zrób nowy plik fixlist.txt o zawartości: H:\desktop.ini I:\AutoRun.inf I:\desktop.ini J:\desktop.ini C:\ProgramData\Spybot - Search & Destroy Uruchom go w FRST opcją Fix. Przedstaw wynikowy fixlog.txt. Czytałeś tutejsze zasady działu? W zasadach działu jest napisane, że należy obowiązkowo podać link do tematu. Podaj go. Poza tym, ten skrypt nie miał nic wspólnego z naprawą problemu zasadniczego oraz zawiera rożne nielogiczności: usunięcie poprawnych wpisów systemu (WebCheck to pozorne "not found"), usuwanie napisu "FF - user.js - File not found". Lol, to jest informacja, że pliku user.js nie ma i tego się nie załącza w skrypcie, bo skrypt w ogóle nie robi z tym nic. Tego się po prostu nie naprawia, brak user.js to bardzo pożądana sytuacja (stan domyślny w Firefox). - chodzi tylko o dyski C do E - to nie są pliki tylko foldery - są obecne tylko ich nie widzisz (nie masz odznaczonej w Opcjach folderów pozycji Ukryj chronione pliki systemu operacyjnego) - nie masz tego robić ręcznie tylko narzędziem MKV, bo ręcznie i tak Ci się nie uda (te foldery mają specjalny "błąd" w nazwie uniemożliwiający standardowe usuwanie. .

Zrobione. Końcowe akcje: 1. Usuń narzędzia: przez SHIFT+DEL skasuj foldery C:\FRST + Stare dane programu Firefox z Pulpitu, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .