picasso

Tak jest. Możemy przejść do finalizacji tematu: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio uruchamiałaś z poziomu plików tymczasowych (c:\users\Marta\AppData\Local\Opera\Opera\temporary_downloads\ComboFix.exe). Pobierz ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Marta\Desktop\ComboFix.exe /uninstall 2. Gdy komenda ukończy działanie, usuń pozostałe narzędzia. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Windows\erdnt W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Na koniec aktualizacje. Usuń wszystkie stare Java, Adobe Reader i Safari (przeglądarka jest stara, od dawna nieaktualizowana), zaktualizuj Operę: ==================== Installed Programs ======================= Adobe Reader X (10.1.7) MUI (x32 Version: 10.1.7) Java™ 7 Update 1 (64-bit) (Version: 7.0.10) Java™ 7 Update 1 (x32 Version: 7.0.10) Opera 12.15 (x32 Version: 12.15.1748) Safari (x32 Version: 5.34.57.2) Szczegóły aktualizacyjne: KLIK. .

Nie ma oznak czynnej infekcji. Moim zdaniem Ty mi cały czas pokazujesz nieświeży plik. Jeszcze raz, ale innym sposobem, od razu też będą prowadzone inne korekty: 1. Otwórz Notatnik i wklej w nim: Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File HKCU\...\Run: [Tiny download manager] "C:\Users\Szymi\AppData\Local\DM\TinyDM.exe" /M [x] Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 08 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 08 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" S3 usb6xxxk; \??\C:\Windows\system32\drivers\usb6xxxkl.sys [x] Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v BootExecute /t REG_EXPAND_SZ /d "autocheck autochk *" /f Task: {11723D06-A64F-4511-A19E-3347DD9F4AD0} - System32\Tasks\ParetoLogic Registration3 => C:\Windows\system32\rundll32.exe [2009-07-14] (Microsoft Corporation) Task: {16649B9C-8DF4-4C59-AD87-576D5626DB59} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe No File Task: {4B323CBC-DF26-40CA-A356-44EE6200844F} - System32\Tasks\ParetoLogic Update Version3 Startup Task => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2012-06-27] () Task: {59641C54-932B-4E5A-8EF3-EFF4218E8F4D} - System32\Tasks\EasyBatteryManager => %ProgramFiles(x86)%\Samsung\EasyBatteryManager\EasyBatteryMgr4.exe No File Task: {7006712D-D3EB-430C-9527-6499F7CC5D03} - System32\Tasks\EasySpeedUpManager => %programfiles(x86)%\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe No File Task: {AFC8B635-6D67-4D55-AA4E-FC65851D69A0} - System32\Tasks\RegCure Pro => C:\Program Files (x86)\ParetoLogic\RegCure Pro\RegCurePro.exe [2012-10-22] (ParetoLogic, Inc.) Task: {C7DC0662-F3C0-4A3B-B9F1-C232B1605111} - System32\Tasks\ParetoLogic Update Version3 => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe [2012-06-27] () Task: {CAF471C0-A49F-41CE-9D2C-2C4C02B5E79E} - System32\Tasks\WifiManager => %programfiles(x86)%\Samsung\Easy Display Manager\WifiManager.exe No File Task: {CCAFA887-4094-4409-9601-07FE736B9D21} - System32\Tasks\SamsungSupportCenter => %programfiles(x86)%\Samsung\Samsung Support Center\SSCKbdHk.exe No File Task: {E32BD0C3-E731-4BB4-88B0-B59AD4F61638} - System32\Tasks\SUPBackground => %ProgramFiles(x86)%\Samsung\Samsung Update Plus\SUPBackground.exe No File Task: C:\Windows\Tasks\ParetoLogic Registration3.job => C:\Windows\system32\rundll32.exe Task: C:\Windows\Tasks\ParetoLogic Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe Task: C:\Windows\Tasks\ParetoLogic Update Version3.job => C:\Program Files (x86)\Common Files\ParetoLogic\UUS3\Pareto_Update3.exe Task: C:\Windows\Tasks\RegCure Pro.job => C:\Program Files (x86)\ParetoLogic\RegCure Pro\RegCurePro.exe 2013-07-01 14:26 - 2013-07-01 14:26 - 00000098 ____A C:\Windows\DeleteOnReboot.bat 2013-06-25 11:01 - 2013-06-25 11:01 - 00208216 ____A (Kaspersky Lab, GERT) C:\Windows\System32\Drivers\89193606.sys 2013-06-22 12:35 - 2012-12-10 23:43 - 00000000 ____D C:\Program Files (x86)\Google 2013-06-22 12:33 - 2012-12-10 23:43 - 00000000 ____D C:\Users\Szymi\AppData\Local\Google 2013-06-22 12:14 - 2013-06-22 12:14 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox 2013-06-22 12:14 - 2013-06-22 12:14 - 00000000 ____D C:\Windows\SysWOW64\searchplugins 2013-06-22 12:14 - 2013-06-22 12:14 - 00000000 ____D C:\Windows\SysWOW64\Extensions 2013-06-21 13:49 - 2013-06-21 13:49 - 00000000 ____D C:\ProgramData\Kaspersky Lab CMD: del /q "\\?\C:\Windows\System32\ " CMD: del /q C:\log.txt CMD: dir /s "C:\Program Files\Windows Defender" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij Fix. Powstanie plik fixlog.txt. 2. Odinstaluj wątpliwy program RegCure Pro oraz usuń z dysku instalki programów Paretologic. 3. Zrób nowy log FRST (bez Addition) oraz dołącz pliki fixlog.txt i C:\log.txt. .

Punkty 1 i 2 pomyślnie wykonane. Co do punktu 3, to aktualnie odczyt braku pliku: Hosts file not found Pewnie próbujesz zapisywać plik od razu w tej lokalizacji. To się nie uda bez podniesienia uprawnień. Wykonaj co następuje: - Start > w polu szukania wpisz notepad > z prawokliku na wynik Uruchom jako Administrator. - Wklej do Notatnika domyślną treść i zapisz plik w katalogu C:\Windows\system32\Drivers\etc pod nazwą: Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Uwaga: by widzić rozszerzenia plików i uzyskać pewność, że plik zapisał się bez rozszerzenia *.TXT, musisz mieć tę opcję odznaczoną: w eksploratorze Windows > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia znanych typów plików. .

Skoro nie przypominasz sobie takiej edycji, to usuń tę politykę. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. W kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer Skasuj wartość HideSCAHealth i zresetuj system. .

OK. To jeszcze usuń adware (w tle działa śmieć Yontoo, są też odpadki B1Toolbar / Funmoods / OpenCandy): 1. Wyczyść przeglądarki: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: ma uszkodzone preferencje. Wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, skasuj z listy podejrzane wyszukiwarki. W Rozszerzeniach odinstaluj wszystko czego nie znasz. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. AdwCleaner wyzeruje domyślne wyszukiwarki. Poprawka na to i inne drobnostki. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins\@pandonetworks.com/PandoWebPlugin] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Log z OTL nie jest precyzyjny i nie podaje stanu aktualizacji Microsoft SQL Server 2005. Skoro już masz SP4 (najnowszy dostępny dla tej edycji) zainstalowany, to nic więcej nie robisz. Tylko przypadkiem nie usuwaj logów już obecnych w temacie. W przeciwnym wypadku temat się popsuje, dane brane z powietrza. .

Wszystko zrobione jak należy. Tylko drobne poprawki do wykonania: 1. W konfiguracji Google Chrome są martwe wtyczki: Chrome: ======= CHR Plugin: (McAfee SiteAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\npmcffplg32.dll No File CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll No File CHR Plugin: (McAfee SecurityCenter) - c:\progra~2\mcafee\msc\npmcsn~1.dll No File Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Plik HOSTS nie ma zawartości idealnie zgodnej z Windows 7 (to pewnie skutek resetu w ComboFix). Zastosuj to narzędzie Fix-it: KB972034. 4. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. .

Przypominam zasady działu na temat prawidłowego tytułowania tematów. Zmieniłam. Log z GMER zrobiłeś w złym środowisku, nie odinstalowałeś emulatora napędów wirtualnym / sterownika SPTD, ale zostaw to już. Temat przenoszę do działu Windows, gdyż nie ma oznak infekcji. Tylko szybko sobie sprzątnij drobne szczątki adware / wpisy puste (to nie ma jednak związku z problemem głównym). W spoilerze instrukcje. Dodatkowa uwaga, w Dzienniku zdarzeń są takie błędy: [ Application Events ] Error - 2013-07-04 02:53:21 | Computer Name = DARHMA-D0652A9B | Source = Userenv | ID = 1041 Description = Windows cannot query DllName registry entry for {7B849a69-220F-451E-B3FE-2CB811AF94AE} and it will not be loaded. This is most likely caused by a faulty registration. Error - 2013-07-04 02:53:21 | Computer Name = DARHMA-D0652A9B | Source = Userenv | ID = 1041 Description = Windows cannot query DllName registry entry for {CF7639F3-ABA2-41DB-97F2-81E2C5DBFC5D} and it will not be loaded. This is most likely caused by a faulty registration. To skutek niedokładnej deinstalacji IE8. Nie będziemy tego korygować, gdyż Internet Explorer i tak trzeba zaktualizować (KLIK), bo stan fatalny: Internet Explorer (Version = 6.0.2900.5512) Cóż, tu się nasuwa ESET jako przyczyna. I chyba to wynalazek instalowany bądź aktualizowany niedawno, bo w raporcie elementy ESET są oznaczone jako utworzone 25 czerwca. Wiarygodny test: pełna deinstalacja. Mam pytanie, co kombinowałeś i jaka jest zawartość tego pliku BAT: [2013-07-01 09:44:11 | 000,003,038 | ---- | M] () -- C:\fix_svchost.bat Wielokrotność svchost.exe nie jest dowodem na infekcję. Ilość wystąpień też nie jest stała, to zależy od tego jakie usługi się uruchamiają oraz czy doinstalowane programy zarejestrowały w grupie svchost swoje własne usługi. I cytuję co kiedyś mówiłam: .

Usuwam jeden z logów AdwCleaner, wystarczy ten z usuwania. Miałeś dodać log z wynikami usuwania OTL, ale to już pomińmy (widzę pożądane zmiany w nowym skanie). Końcowe czynności: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Services adiusbaw Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu są tu zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java™ 6 Update 23 "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5 "{32A3A4F4-B792-11D6-A78A-00B0D0160050}" = Java™ SE Development Kit 6 Update 5 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) Czyli: odinstaluj wszystkie Java i Adobe Reader (to ich luki są jedną z przyczyn infekcji), zaktualizuj Firefox oraz Microsoft SQL Server 2005 (KB913089). .

Otwórz Notatnik i wklej w nim: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Eset NOD32 v3.0.642 FiX1.2 by TemDono_is1" /f sc delete NOD32FiXTemDono pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Patrz uważnie, czy w oknie nie pojawił się jakiś błąd. .

1. Nie szkodzi. Tym się zajmie spółka FRST + AdwCleaner. 2. Oj, zapomniałam, a zgłaszałam to nawet jako propozycję do skanu FRST (i czeka nadal na wdrożenie). To szczególne adware blokuje swoją deinstalację w Google Chrome. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj te klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Google Zresetuj system, otwórz Google Chrome, rozszerzenie będzie miało odblokowaną deinstalację. Po wykonaniu tego lecisz dalej z instrukcjami jak mówiłam. .

Może rzeczywiście wpis startowy został usunięty, w nowych logach go nadal nie widzę. Ale jest folder infekcji i należy też doczyścić wpisy szczątkowe oraz podjąć inne działania. 1. Jest tu zainstalowany strasznie stary i scrackowany ESET. Odinstaluj ESET NOD32 Antivirus, NOD32 v3.0.642 FiX1.2 by TemDono, a przy okazji także przestarzały Spybot - Search & Destroy oraz zbędny McAfee Security Scan Plus. 2. Plik HOSTS jest silnie zmodyfikowany przez Spybot Search & Destroy, a to może mieć skutki uboczne (wolniejsza sieć / system). Zastosuj narzędzie Fix-it resetujące plik do postaci domyślnej: KLIK. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\135a3498fe3022564d1bebf59360bcd658fdd177 C:\Documents and Settings\All Users\Dane aplikacji\49B90DD5B1E13073000049B8C42437BD C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Temp C:\Documents and Settings\karolina\Dane aplikacji\135a3498fe3022564d1bebf59360bcd658fdd177 C:\Documents and Settings\karolina\Dane aplikacji\OpenCandy :OTL O3 - HKU\S-1-5-21-606747145-764733703-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-606747145-764733703-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-606747145-764733703-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O4 - HKU\S-1-5-21-606747145-764733703-1417001333-1004..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized File not found O4 - HKU\S-1-5-21-606747145-764733703-1417001333-1004..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found O4 - HKLM..\Run: [bDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Fas0xtm2b-) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\efavdrv.sys -- (efavdrv) DRV - File not found [Kernel | Disabled | Unknown] -- C:\WINDOWS\System32\drivers\dwshd.sys -- (dwshd) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Niestety to była zła porada. Po pierwsze: to nie jest wirus tylko drobniejsze adware i ComboFix całkowicie zbędny. Po drugie: ComboFix nie usuwa tego w prawidłowy sposób, na chama usuwa folder, zostają w rejestrze odpadki. Po trzecie: są lepsze programy do tego celu. O których konkretnie pozycjach mówisz, jaki błąd się pokazywał? 1. Przez Panel sterowania odinstaluj adware: BrowserProtect, BrowseToSave 1.74, Complitly, SelectionLinks, Search Assistant WebSearch 1.74, Yontoo 2.053. Niektóre pozycje są uszkodzone (z powodu ComboFix) i Windows powinien zadać pytanie czy usunąć pusty wpis. Jeśli coś stawi opór, nie szkodzi, i leć dalej: 2. Otwórz Google Chrome i wejdź do ustawień. Kliknij w zarządzanie wyszukiwarkami, ustaw Google jako domyślną, skasuj z listy podejrzane wyszukiwarki. Wejdź do Rozszerzeń i odinstaluj Select Links App. 3. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/02/22&hid=420275175&lg=EN&cc=PL SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=121845&babsrc=SP_ss_gin2g&mntrId=2AD1A64BF5C886AF SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.pu-results.info/?l=1&q={searchTerms}&pid=34&r=2013/02/22&hid=420275175&lg=EN&cc=PL BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\ScriptSn.20121012191417.dll No File BHO-x32: Browse2save - {776339FC-C55F-E3A8-67CD-1F793A747BA6} - C:\ProgramData\Browse2save\5127616505498.dll No File BHO-x32: SelectionLinks - {7825CFB6-490A-436B-9F26-4A7B5CFC01A9} - C:\Program Files (x86)\OApps\SelectionLinks.dll No File BHO-x32: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\ScriptSn.20121012191418.dll No File BHO-x32: Yontoo - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll No File HKCU\...\Run: [Yontoo Desktop] "C:\Users\Marta\AppData\Roaming\Yontoo\YontooDesktop.exe" [42784 2013-05-01] (Yontoo LLC) S4 Yontoo Desktop Updater; C:\Program Files (x86)\Yontoo\Y2Desktop.Updater.exe [23552 2013-05-01] (Microsoft) S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [x] S2 SpyHunter 4 Service; C:\PROGRA~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [x] S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] Task: {05B8D652-6EEF-4276-9789-863DD537E504} - System32\Tasks\Sony Corporation\VAIO Smart Network\VSN Logon Start => C:\Windows\System32\net No File Task: {21CD3934-8A32-491F-BEA1-1027E5776751} - System32\Tasks\EPUpdater => C:\Users\Marta\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe [2013-06-06] () Task: {25C886B3-0463-46D0-97E5-A8730DD79401} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe No File Task: {52B5D090-68B3-454A-BA00-3DAA44438D85} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe No File Task: {6301EBBB-F931-4D6F-ADD0-6C6747CEBCC7} - System32\Tasks\VHDInformationCheck => %ProgramFiles(x86)%\Sony\VAIO Recovery\plugins\InformationCheck.exe No File Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "bProtector Start Page" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v bProtectorDefaultScope /f Reg: reg delete "HKCU\Software\Mozilla" /f Reg: reg delete "HKCU\Software\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\MozillaPlugins" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Mozilla" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\mozilla.org" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\MozillaPlugins" /f CMD: netsh advfirewall reset C:\Program Files\Enigma Software Group C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Yontoo C:\ProgramData\BrowserProtect C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Users\Marta\AppData\Roaming\BabSolution C:\Users\Marta\AppData\Roaming\Babylon C:\Users\Marta\AppData\Roaming\Complitly C:\Users\Marta\AppData\Roaming\File Scout C:\Users\Marta\AppData\Roaming\GoforFiles C:\Users\Marta\AppData\Roaming\mozilla C:\Users\Marta\AppData\Roaming\SendSpace C:\Users\Marta\AppData\Roaming\Yontoo C:\Users\Marta\AppData\Roaming\YourFileDownloader C:\Users\Marta\Downloads\Safari(13196).exe C:\Users\Marta\Downloads\1.3.2 (1) (2).crx C:\Users\Marta\Downloads\Niepotwierdzony 684217.crdownload C:\Users\Marta\Downloads\1.3.2 (1) (1).crx C:\Users\Marta\Downloads\1.3.2.crx C:\Users\Marta\Downloads\1370615499_359.data C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (bez Addition). Dołącz log utworzony przez AdwCleaner oraz fixlog.txt. .

Nie. Wszystko jest OK. Czerwone, bo brak sygnatury producenta: DRV:64bit: - [2011-07-29 14:54:56 | 000,016,776 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\epmntdrv.sys -- (epmntdrv) DRV:64bit: - [2011-07-29 14:54:56 | 000,009,096 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\EuGdiDrv.sys -- (EuGdiDrv) W przypadku tych sterowników to normalne (w innych logach też tak to widać). Sterowniki należą do EASEUS Partition Master 9.1.0 Professional, który widać na Twojej liście zainstalowanych. .

Te logi są zbyt ogromne, mają mnóstwo bezużytecznych danych (spis wszystkich skanowanych plików), a ich otworzenie skatowało pamięć mojego biednego komputera (ponad 100MB w Notatniku otworzyć...). Mnie interesują tylko wyniki typu "Detected". Wycięłam stosowne dane i umieściłam w Twoim poście. Ze spisu wynika, że obiekty Brontok zostały pomyślnie skasowane. Na zakończenie, na obu komputerach: 1. Prewencyjnie zmień hasła logowania w serwisach / pocztowe. 2. Porównaj co wymaga aktualizacji: KLIK. .

Ta ikona jest zaszarzona jeśli: to nie jest laptop, brak podłączonej baterii UPS lub brak stosownego sterownika Power Management Driver. Pomijam scenariusze typu uszkodzone dane obszaru powiadomień czy celowa deaktywacja ikony za pomocą polityki HideSCAPower. Tak więc z jakim sprzętem tu mamy do czynienia, jakie sterowniki są zainstalowane? .

Logów z OTL nie ma co dręczyć. Usuwam. One tylko jeden wpis (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{54848076-14D0-45E7-851E-CAF7EF0125F1}) mogą wykazać jako usunięty, reszta operacji w rejestrze nie będzie mieć potwierdzenia (OTL nie widzi tych danych). Jeśli uruchomiłeś regedit na uprawnieniu konta SYSTEM, to oczywiście nie. Kontekst uprawnień był już zemulowany. 1. Zrób ręcznie punkt Przywracania systemu, by w razie wpadki odkręcić stan. 2. Skasuj klucze: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B} HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{E2272475-3128-40DE-B567-AC79362DBC4B} 3. Zresetuj system, sprawdź czy połączenie sieciowe jest sprawne. Nie wiem dlaczego, ale w dialogach Otwórz/Zapisz zdarzają się niezgodności z widokiem tego samego w pełnym eksploratorze. Spróbuj ponownie ustawić widok, robiąc to jednak przy otwartym dialogu, czyli: wywołaj ten dialog i w nim klik w Organizuj > Opcje folderów i wyszukiwania > Widok > przestaw opcję i zatwierdź, przestaw ponownie i zatwierdź. .

Rozumiem, że Firefox już działa? Chodzi mi o to, że w systemie jest polityka blokująca wyświetlanie ikony Centrum Akcji w obszarze powiadomień: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 Moim pytaniem jest: czy celowo to wprowadziłeś? .

Proszę nie dopisuj się do cudzych tematów. Wydzieliłam w osobny. Dostarcz konkretne materiały: Skopiuj na Pulpit folder i plik: C:\Windows\Logs\CBS C:\Windows\inf\setupapi.dev.log Spakuj wszystko do ZIP, shostuj gdzieś paczkę i podaj do niej link. .

Skoro po usunięciu McAfee problem się nie ujawnia, owszem, McAfee jawi się jako sprawca. .

Jeszcze drobne działania: 1. W OTL uruchom Sprzątanie, co skasuje z dysku OTL wraz z kwarantanną. 2. W Dzienniku zdarzeń pojawia się błąd WMI numer 10. Zastuj narzędzie Fix-it: KB2545227. 3. Wyczyść foldery Przywracania systemu: KLIK. Już posiadasz antywirusa Avast. To dobry antywirus i w tym kierunku bym nie drążyła sprawy. Natomiast możesz się zainteresować całkiem innym typem zabezpieczenia, czyli wirtualizacją za pomocą SandBoxie. Jest to komercyjny program. Nie jestem pewna czy nadal się tak da, ale po 30 dniach dalej można było korzystać z programu, tylko pojawiał się komunikat przypominający o zakupach. Oczywiście to jest niezgodne z licencją... .

Nie wypowiadasz się nic na temat pracy systemu. Czy jest jakaś poprawa po przeprowadzonych tu działaniach? I kolejne akcje: 1. Zrekonstruuj Tryb awaryjny skasowany przez Sality. Z paczki Sality_RegKeys uruchom plik SafeBootWinXP.reg i potwierdź import do rejestru. Zresetuj system i sprawdź czy Tryb awaryjny się ładuje. 2. Nie były tu czyszczone Tempy, więc skrypt wykonasz w Trybie awaryjnym. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Krzysiek\Dane aplikacji\support@mozilla.com C:\Documents and Settings\Mama\Dane aplikacji\filebulldogtb :Reg [HKEY_CURRENT_USER\Software\mozilla\Firefox\Extensions] "support@mozilla.com"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. W Google Chrome nadal strona startowa adware + adnotacja o uszkodzonych preferencjach: ========== Chrome ========== CHR - homepage: http://search.filebulldog.com/vmn/DA0608D875C7691481350C513A624401 CHR - plugin: Error reading preferences file Zamknij Google Chrome. W pasku adresów eksploratora Windows wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Krzysiek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default Przenieś z tego folderu plik Preferences na Pulpit. Następnie uruchom Google Chrome, wejdź do ustawień i przestaw cokolwiek (to ma zregenerować plik Preferences). 4. Plik HOSTS jest w podejrzanym stanie (ukryty i zawartość odpowiadająca systemowi Vista a nie XP): O1 HOSTS File: ([2013-03-21 15:12:42 | 000,000,761 | RHS- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost Uruchom GrantPerms, w oknie wklej co poniżej i klik w Unlock: C:\WINDOWS\system32\drivers\etc\hosts Następnie zresetuj plik HOSTS narzędziem Fix-it: KB972034. 5. Zrób nowy log OTL z opcji Skanuj (bez Extras) + zaległy GMER (muszę go sprawdzić). Dołącz log z usuwania OTL z punktu 1. .

Temat przenoszę do działu Windows. Oznak infekcji brak. Tylko drobne uwagi: 1. Odinstaluj zbedny AVG Security Toolbar. 2. Uruchom Autoruns i w karcie Services usuń usługę .EsetTrialReset po cracku ESET, a w karcie Drivers sterownik Trufos po skanerze BitDefender. 3. Przez SHIFT+DEL dokasuj z dysku: C:\Windows\system32\drivers\trufos.sys C:\Users\Tomek\AppData\Roaming\ESET + w Dzienniku zdarzeń błędy: Error - 2013-07-03 16:40:26 | Computer Name = Tomek-Komputer | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie \Device\HarddiskVolume1. Dostosuj się do komunikatu i wykonaj sprawdzanie dysku: - Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę komendę chkdsk /f /r i zresetuj system. - Start > w polu szukania wpisz eventvwr.msc > w sekcji Aplikacja wyszukaj zdarzenie Wininit. Otwórz szczegóły, tam będą statystyki checkdiska. Przeklej je do posta. .

Czy coś Cię niepokoi konkretnie? Nie widzę tu nic ciekawego / niepożądanego. Tylko minimalne uwagi: 1. Przez SHIFT+DEL dokasuj ten szczątkowy folder adware: C:\Documents and Settings\palikot\Dane aplikacji\DealPly 2. Są nowsze wersje tych programów: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1033-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) "Google Chrome" = Google Chrome 27.0.1453.110 "Mozilla Firefox 18.0.1 (x86 pl)" = Mozilla Firefox 18.0.1 (x86 pl) "Opera 12.15.1748" = Opera 12.15 .

Do wykonania zostały drobne poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{D7B31F70-8DF2-4509-AC36-DBCE756544D8}: "URL" = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=solimmsd&cd=2XzuyEtN2Y1L1QzuyBzz0EyB0DtC0DyE0B0EyCyB0C0DtC0CtN0D0Tzu0CyDyEyBtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1B1F1I1L1H1H1B1Q&cr=1185888507&ir= IE - HKLM\..\SearchScopes\{D7B31F70-8DF2-4509-AC36-DBCE756544D8}: "URL" = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=solimmsd&cd=2XzuyEtN2Y1L1QzuyBzz0EyB0DtC0DyE0B0EyCyB0C0DtC0CtN0D0Tzu0CyDyEyBtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1B1F1I1L1H1H1B1Q&cr=1185888507&ir= IE - HKU\S-1-5-21-648744958-3155057360-2657300544-1001\..\SearchScopes\{D7B31F70-8DF2-4509-AC36-DBCE756544D8}: "URL" = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=solimmsd&cd=2XzuyEtN2Y1L1QzuyBzz0EyB0DtC0DyE0B0EyCyB0C0DtC0CtN0D0Tzu0CyDyEyBtN1L2XzutBtFtBtFyEtFyBtAtCtN1L1Czu1B1F1I1L1H1H1B1Q&cr=1185888507&ir= FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ocr@babylon.com: C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\ocr@babylon.com O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O4:64bit: - HKLM..\Run: [FullScreen] C:\BLOCK\CFG\flexbuild\FullScreen\launchFS.cmd File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [sPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: HideFastUserSwitching = 0 O7 - HKU\S-1-5-21-648744958-3155057360-2657300544-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableLockWorkstation = 0 O7 - HKU\S-1-5-21-648744958-3155057360-2657300544-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableChangePassword = 0 O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) [2013/07/03 09:58:12 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WinZipper [2013/07/03 09:46:21 | 000,000,000 | ---D | C] -- C:\Program Files\Uninstaller [2013/07/03 09:44:10 | 000,000,000 | ---D | C] -- C:\Users\Ania\AppData\Roaming\player [2013/07/03 09:41:24 | 000,000,000 | ---D | C] -- C:\Users\Ania\AppData\Local\Programs [2013/06/29 17:35:44 | 000,000,000 | ---D | C] -- C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WrapApp [2013/06/29 17:35:44 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\WrapApp [2013/06/28 22:28:56 | 000,000,000 | ---D | C] -- C:\Users\Ania\AppData\Local\WebPlayer [2013/06/28 22:27:16 | 000,019,632 | ---- | C] (PerformerSoft LLC) -- C:\Windows\SysNative\roboot64.exe [2013/06/30 22:48:27 | 000,423,709 | ---- | C] () -- C:\Users\Ania\AppData\Local\mysearchdial_speedial_v9.0.2.crx [2013/06/18 19:26:51 | 000,000,000 | ---D | C] -- C:\Users\Ania\AppData\Roaming\_MDLogs [2013/06/18 18:23:15 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{549F7808-D293-03CA-0F30-5ED28A46E741}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). .