picasso

Jeszcze drobne poprawki wymagane: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Akamai NetSession Interface"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{742E70CF-7770-412D-86CB-230B322E807C}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Na pendrive nadal są te dwa pliki, mimo że były planowane do usuwania: [03/07/2013 - 12:27:55 | A | 0] F:\autorun.inf [03/07/2013 - 12:27:55 | A | 126] F:\desktop.ini Ten plik autorun.inf jest prawdopodobnie zablokowany. Wejdź w Tryb awaryjny Windows i spróbuj z urządzenia skasować oba pliki przez SHIFT+DEL. 3. Dokasuj też ten plik po pasku AVG: [2013-07-03 23:03:05 | 000,000,350 | ---- | M] () -- C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job .

1. Wyniki skanu: ten pierwszy Trojan-Downloader.Win32.Brontok.c to pozostałość omawianej tu infekcji i usunięcie słuszne. Natomiast ventriloMIX.exe w Firefox nie do końca jasny, nie wiem czy to był obiekt pobierany z oficjalnego źródła, przy niepewności lepiej usunąć. 2. Na koniec zaktualizuj Firefox oraz OpenOffice.org (obecna tu wersja nie umie korzystać z najnowszej Java 7 Update 25): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) .

Wszystko zrobione. Drobne poprawki i kończymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\jmdp C:\Windows\SysWow64\ARFC C:\Windows\SysNative\dmwu.exe C:\Windows\SysNative\ImHttpComm.dll C:\found.000 Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A4C9C1D8-861E-4AB8-95A9-59AD51C82204}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A4C9C1D8-861E-4AB8-95A9-59AD51C82204}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A4C9C1D8-861E-4AB8-95A9-59AD51C82204}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Odinstaluj stare produkty Adobe i Java, zastąp najnowszymi (o ile potrzebne): KLIK. Wg raportu posiadasz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416015FF}" = Java™ 6 Update 15 (64-bit) "{64A3A4F4-B792-11D6-A78A-00B0D0160150}" = Java™ SE Development Kit 6 Update 15 (64-bit) "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java™ 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla innych przeglądarek, korzysta z niej też GG10) Dodatkowa uwaga: jest tu Gadu-Gadu 10. Program jest już stary, będzie też przywracał ten archaiczny Adobe Flash Player 10 Plugin. Zainteresuj się albo najnowszym GG11 (jest lepsze), albo alternatywnymi programami (WTW, Kadu, Miranda NG, AQQ). Wszystkie opisy tu: KLIK. .

Log z MBAM jest "pusty", więc go usuwam. Wystarczy tylko krótka notatka, że nic nie znalazł. Nie wypowiadasz się nic na temat czy problem z internetem nadal występuje. Akcje wykonane. Na zakończenie: 1. Prewencyjnie zmień hasła logowania w serwisach. 2. Zaktulizuj te dwa wyliczone poniżej programy: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish .

Wykonaj końcowe kroki: 1. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na koniec aktualizacje. Usuń wszystkie stare Java, zaktualizuj Microsoft SQL Server 2005 (KB913089): ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417005FF}" = Java™ 7 Update 5 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 37 "{26A24AE4-039D-4CA4-87B4-2F83217021FF}" = Java 7 Update 21 "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 Jeśli nie proszę o logi = są zbędne. Tu podane nic nowego nie wnoszą do sprawy, wszystko już wiadome z poprzednich, dlatego je usuwam. I licz się z tym, że każdy załącznik to miejsce na serwerze w tył i ja staram się nie gromadzić zbędnych / powielonych danych. .

FalcoN, proszę przedstawić w jaki sposób / co było robione.

Ta treść sugeruje infekcję w rodzaju Sality (wirus w wykonywalnych niszczący wszystkie pliki tego rodzaju na wszystkich dyskach), mimo że GMER nie pokazuje sterownika Sality. To są charakterystyczne polityki tworzone przez tego wirusa. Dodatkowo, jeszcze Tryb awaryjny powinien nie ładować się (BSOD). Poproszę o log zrobiony z poziomu środowiska zewnętrznego: OTLPE. .

- Na temat używania ComboFix: KLIK. - Zasady działu: KLIK. Brak wyjaśnień po co zakładasz temat, czy jest jakiś określony problem / infekcja. Brak obowiązkowych logów. Proszę uzupełnić wymagane dane. .

Aux, taka funkcja jest (w temacie Aktualizacji opisana), ale jest wyłączona i tak zostało: Po pierwsze: nikt nie zareagował wtedy w temacie Aktualizacji na treść "Na razie funkcja "Najlepsza odpowiedź" nie jest tu włączona. Sprawa ewentualnej aktywacji w konkretnych działach do omówienia...", co odczytuję jako brak realnego zainteresowania / potrzeby. Opisałam funkcję forum 3 miesiące temu. Po drugie: ja sama po zastanowieniu postanowiłam zostawić jak jest obecnie, a dlatego że w mojej opinii są pewne trudności merytoryczne z tą funkcją: - temat może być "rozwiązany" na różne sposoby. Np. użytkownik mówi tylko "Problem rozwiązany" i nie wyjaśnia jak oraz znika, użytkownik robi reinstalację systemu (w ten sposób to prawie wszystko będzie "rozwiązane"), użytkownik skorzystał z określonej porady w temacie i mu pomogło. Wszystkie trzy przypadki kwalifikują się na oznaczenie tematu jako "Rozwiązany", ale tylko jeden z nich ma wartościową informację i etykieta "Rozwiązany" pełni jakąś funkcję. Co z tego, że ktoś zobaczy taki napis, gdy wejdzie do tematu a tam sytuacja inna niż numer 3. - omawiana funkcja wymaga oznaczenia jednej określonej odpowiedzi w temacie jako "najlepszej", a temat może mieć kilka takich lub do rozwiązania dochodzi się stopniowo i nie ma jednej "najlepszej" odpowiedzi. W takiej sytuacji zaczęłoby się zaznaczanie byle czego w temacie, by tylko osiągnąć etykietę "Rozwiązany", a oznaczony post tak dramatycznie wyróżniony graficznie niekoniecznie jest zasadniczym. I muszę też przyznać, że na innych forach zaczyna mnie to drażnić z w/w powodów. Etykietka jest, wchodzę w temat a tam lipa. - Po trzecie (ale to już dyskusyjny szczegół kosmetyczny): zielone prefiksy "Rozwiązany" od góry do dołu = zaczyna się robić kolorowo na widoku forum, a zielone prefiksy Ankieta i Podpięty nie są już tak zaakcentowane. Z wymienionych powodów działam w starym systemie, tzn. zamykam temat.

Zasady działu jakie raporty umieszcza się tu obowiązkowo: KLIK. Tak więc proszę o te raporty, o ile da się uruchomić narzędzia OTL/FRST i GMER. .

Logi zrobione z poziomu innego użytkownika nie pokazują wpisów zainfekowanego konta (czyli i wpisu uruchamiającego System Care). Wejdź w Tryb awaryjny Windows (w tym stadium fałszywy skaner się nie uruchamia), zaloguj się na zainfekowane konto i zrób nowe raporty OTL. .

1. Przez Panel sterowania odinstaluj: Bundled software uninstaller, McAfee Security Scan Plus. 2. W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Dopiero po w/w uruchom AdwCleaner i zastosuj opcję Usuń. 4. Zrób nowy log OTL z opcji Skanuj (bez Extras), zaznacz opcję Pomiń pliki Microsoftu. Dołącz log utworzony podczas usuwania AdwCleaner. .

Prócz zainfekowanego urządzenia w systemie jest śmietnik adware. 1. Odinstaluj adware i zbędniki: - Przez Panel sterowania: Akamai NetSession Interface / Akamai NetSession Interface Service, AVG Security Toolbar, Deinstalator Strony V9, Facemoods Toolbar, McAfee Security Scan Plus, Version Checker for Funmoods. - W Firefox w Dodatkach: V9Toolbar. - W Google Chrome w Rozszerzeniach: AVG Security Toolbar, Facemoods, Try It! (ten ostatni wygląda na zamaskowany pasek v9). 2. Przy podpiętym pendrive uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files F:\4#GTUJJI.ini F:\autorun.inf F:\desktop.ini F:\Removable Disk (4GB).lnk attrib /d /s -s -h F:\* /C C:\MSI C:\Users\marta\AppData\Roaming\Babylon C:\Users\marta\AppData\Roaming\cYo C:\Users\marta\AppData\Roaming\mozilla\Firefox\Profiles\c8k2kec2.default\extensions\ffxtlbr@Facemoods.com C:\Users\marta\AppData\Roaming\mozilla\firefox\profiles\c8k2kec2.default\searchplugins\startsear.xml C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :OTL IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = http://startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-2833629811-2120190963-75656838-1000\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKU\S-1-5-21-2833629811-2120190963-75656838-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4 IE - HKU\S-1-5-21-2833629811-2120190963-75656838-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://pl.v9.com/s#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 IE - HKU\S-1-5-21-2833629811-2120190963-75656838-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={4076CFCB-26A8-4980-A936-5F3490367321}&mid=e67da4e7e84d42d485280f33f1b44740-7e5eac30fd3082d8b03a737f3e6c0491f5f3a105&lang=pl&ds=ax011&pr=&d=2012-11-28 16:04:45&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} O3 - HKU\S-1-5-21-2833629811-2120190963-75656838-1000\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found. O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files (x86)\Freecorder\FLVSrvc.exe" /run File not found O4 - HKU\S-1-5-21-2833629811-2120190963-75656838-1000..\Run: [AdobeBridge] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Search Bar"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Następnie wejdź na pendrive. Powinieneś ujrzeć folder "bez nazwy". Tam są Twoje dane. Wejdź do tego folderu i przenieś wszystkie dane poziom wyżej, a folder przez SHIFT+DEL skasuj. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner. .

Zasady działu: KLIK. - Proszę się nie dopisywać do cudzych tematów. Temat wydzielony w osobny. - Wymagane są raporty. Proszę dostarcz obowiązkowe tu logi (OTL + GMER), a dodatkowo USBFix z opcji Listing zrobiony przy podpiętym pendrive. .

ShellMenuNew Strona domowa Platforma: Windows XP do Windows 7 Licencja: freeware ShellMenuNew - Narzędzie umożliwiające operacje na menu kontekstowym "Nowy". Po uruchomieniu wyświetla zestawienia wszystkich wykrytych w rejestrze pozycji. Wybrane mogą zostać zdeaktywowane bezpośrednio, natomiast ich ręczna edycja czy całkowite usunięcie tylko pośrednio przez opcję "Open In RegEdit" otwierającą już zwykły edytor rejestru. W związku z naturą menu po w(y)łączeniu danego wpisu natychmiastowe otworzenie menu kontekstowego nie pokaże zmian, dopiero powtórne jego wywołanie będzie mieć efekty. Dodatkowa uwaga dla systemu Windows XP: by zmiany były widoczne, musi być zaznaczona opcja "Automatic Desktop Refresh", w przeciwnym wypadku modyfikacja ujawni się tylko po restartowaniu systemu. Ten aspekt nie dotyczy Windows Vista i nowszych, które nie wymagają tej opcji. Zestaw obiektów menu można zapisać do raportu formatu HTML. Program jest mini i nie wymaga instalacji. Występuje także jako składowa pakietu NirLauncher. Ze strony autora można pobrać spolszczenie aplikacji.

Jaki błąd się pokazuje przy deinstalacji "NOD32 v3.0.642 FiX1.2 by TemDono..."? Prawdopodobnie fake. .

W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\booniek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup W środku powinien być plik Kasperskiego, prawdopodobnie mający w nazwie "uninst". Skasuj go. .

Spybot to sfatygowany program i ma niską skuteczność. Lepszym skanerem jest Malwarebytes Anti-Malware. Tak, to błąd po infekcji "policyjnej". Infekcja nie została usunięta i nadal w starcie się uruchamia: O4 - Startup: C:\Documents and Settings\MiG\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation) Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\MiG\Menu Start\Programy\Autostart\ctfmon.lnk C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\MiG\uz.dat C:\Documents and Settings\MiG\uidsave.dat C:\Documents and Settings\MiG\Dane aplikacji\PriceGong :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKU\S-1-5-18\..\SearchScopes\{2F2D66EF-62D7-4036-9CD2-21B2EEFE4128}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=90a87694-da7a-442a-9cbf-9eecebb4b37f&apn_sauid=D13B9C99-26B6-41E4-8167-0C3E71FCDEBE IE - HKU\S-1-5-21-1224244222-1599758108-3880035166-1009\..\SearchScopes\{1E7A9DDF-0235-4EE3-B5BD-BFFD57176C27}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=AVR-4&o=APN10267&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^AGY&apn_dtid=^YYYYYY^YY^PL&apn_uid=90a87694-da7a-442a-9cbf-9eecebb4b37f&apn_sauid=D13B9C99-26B6-41E4-8167-0C3E71FCDEBE O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKU\S-1-5-21-1224244222-1599758108-3880035166-1009\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O8 - Extra context menu item: &Download All using 4shared Desktop - C:\Program Files\4shared Desktop\down_all.htm File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Wyczyść Firefox z adware i starych preferencji: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. .

- Wszystko się zgadza. Tak jak mówiłam, to plik o rozszerzeniu REG. Nie widzisz rozszerzenia, bo w Opcjach folderów masz zaznaczone "Ukrywaj rozszerzenia znanych typów plików". Jednak to tylko poziom wizualny ukrywania nazwy pliku i nie zmienia natury pliku. - Plik REG pomyślnie zaimportowany, czego znakiem jest powrót do życia Internetu. - Punkt trzy ma zostać wykonany. Dopiero po tym robisz nowy log OTL z opcji Skanuj. .

Usuwanie pomyślnie wykonane. Przeprowadź kroki końcowe: 1. W OTL uruchom Sprzątanie, co zlikwiduje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) 4. Wymień antywirusa. Ten F-Secure Internet Security 2010 jest stary (silnik z roku 2009). .

System jest w fatalnym stanie i zainfekowany. Po pierwsze, są tu ślady okropnego wirusa Sality, który infekuje wszystkie wykonywalne na wszystkich dyskach. Obecność Sality oznajmia ten sterownik oraz mnóstwo autoryzacji w Zaporze systemowej z opisem "ipsec": DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtsif.sys -- (amsint32) Jest tu także trojan btcl.exe oraz pliki JAR wskazujące na obecność trojana kradnącego hasła (wszystko prawdopodobnie nabyłeś z lewej paczki do którejś gry): O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [btcl] C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9\btcl.exe () [2013-01-14 19:27:06 | 001,335,014 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Dane aplikacji\sqlite.jar [2013-01-14 19:27:02 | 000,800,787 | ---- | C] () -- C:\Documents and Settings\Krzysiek\Dane aplikacji\java_u.jar Poza tym, są i śmieci adware. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.filebulldog.com/results/1/vmn/DA0608D875C7691481350C513A624401?q={searchTerms} IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{A4C79C43-F733-47EE-BE8A-39E278E4453E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=5A7150FA-CF20-452A-8191-CEE6E74E51A6&apn_sauid=9E2CD728-E09B-4716-9E32-A0EF2C153FC8 IE - HKU\S-1-5-21-682003330-1897051121-1417001333-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2031308 O3 - HKLM\..\Toolbar: (StylerToolBar) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programy i gry\Styler\TB\StylerTB.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [vProt] "C:\Programy i gry\AVG Secure Search\vprot.exe" File not found O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [btcl] C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9\btcl.exe () O4 - HKU\S-1-5-21-682003330-1897051121-1417001333-1004..\Run: [PCSpeedUp] C:\Programy i gry\Przyspiesz Komputer\PCSpeedUp.lnk () O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mtsif.sys -- (amsint32) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\Krzysiek\USTAWI~1\Temp\5689.sys -- (5689) DRV - File not found [File_System | On_Demand | Stopped] -- C:\Programy i gry\IObit\Game Booster 3\Driver\WinRing0.sys -- (WinRing0_1_2_0) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igxpmp32.sys -- (ialm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - [2013-02-11 14:47:06 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) SRV - [2013-02-11 14:47:06 | 000,965,296 | ---- | M] () [Auto | Running] -- C:\Programy i gry\Common Files\AVG Secure Search\vToolbarUpdater\14.1.7\ToolbarUpdater.exe -- (vToolbarUpdater14.1.7) :Files C:\WINDOWS\kb680802.exe C:\WINDOWS\kb210068.exe C:\WINDOWS\kb763382.exe C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\WINDOWS\tasks\ROC_JAN2013_TB_rmv.job C:\WINDOWS\tasks\Game_Booster_AutoUpdate.job C:\WINDOWS\tasks\Your File Updater.job C:\WINDOWS\tasks\BearShareNAG.job C:\WINDOWS\System32\theowl.dll C:\Programy i gry\wisptis.exe C:\Programy i gry\trustedinstaller.exe C:\Programy i gry\ntvdm.exe C:\Programy i gry\install.exe C:\Programy i gry\dwm.exe C:\Programy i gry\webscanx.exe C:\Programy i gry\terraria.exe C:\Programy i gry\igfxtray.exe C:\Programy i gry\spoolsv.exe C:\Programy i gry\edit.exe C:\Programy i gry\start.exe C:\Programy i gry\ielowutil.exe C:\Programy i gry\Przyspiesz Komputer C:\Programy i gry\mozilla firefox\searchplugins\fcmdSrchstonicla.xml C:\Programy i gry\mozilla firefox\searchplugins\filebulldogtb.xml C:\Programy i gry\mozilla firefox\searchplugins\Search the web.src C:\Programy i gry\Common Files\AVG Secure Search C:\Documents and Settings\Krzysiek\Dane aplikacji\sqlite.jar C:\Documents and Settings\Krzysiek\Dane aplikacji\java_u.jar C:\Documents and Settings\Krzysiek\Dane aplikacji\BHOTS C:\Documents and Settings\Krzysiek\Dane aplikacji\Chrome_manager C:\Documents and Settings\Krzysiek\Dane aplikacji\dist9 C:\Documents and Settings\Krzysiek\Dane aplikacji\Lob C:\Documents and Settings\Krzysiek\Dane aplikacji\PriceGong C:\Documents and Settings\Krzysiek\Dane aplikacji\Uninstal.exe C:\Documents and Settings\Krzysiek\dsetup.dll C:\Documents and Settings\Krzysiek\artpclnt.dll C:\Documents and Settings\All Users\Dane aplikacji\Common Files :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Uruchom SalityKiller. Jeśli program wykryje Sality, skan masz wykonywać skan do skutku, dopóki nie uzyskasz zwrotu zero zainfekowanych. 3. Odinstaluj adware i inne: - Przez Dodaj/Usuń programy: Ask Toolbar, Ask Toolbar Updater, DigitalPowered Toolbar, File Bulldog Anti-phishing Domain Advisor, File Bulldog Toolbar, McAfee Security Scan Plus, Tibia MULTI-ip changer, toolplugin. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (ma powstać po raz drugi plik Extras) oraz zaległy GMER. Przed uruchomieniem GMER masz odinstalować programy emulujące napędy oraz sterownik SPTD: KLIK. DRV - File not found [Kernel | On_Demand | Unknown] -- -- (av1w33s2) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (agb6a4zl) DRV - [2012-12-19 16:21:11 | 000,466,008 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller, podaj mi też czy działa Tryb awaryjny (Sality go kasuje). .

Log z OTL zrobiony na nieprawidłowym ustawieniu, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. To ciekawe: nie ma wpisu startowego System Care Antivirus, choć w procesach ewidentnie działa ten fałszywiec. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\DEDDAD9D745E47F00000DEDCCEC64D98 :OTL SRV - File not found [Auto | Stopped] -- C:\ComboFix\pev.3XE EXEC /i C:\ComboFix\HIDEC.3XE C:\ComboFix\SWREG.3XE ACL HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_Beep /RESET /Q -- (PEVSystemStart) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: disableregistrytools = 0 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Odinstaluj zbędny McAfee Security Scan Plus. To prawdopodobnie instalacja niecelowa, sponsor paczek Adobe. 3. Zrób nowy log OTL z opcji Skanuj. Przypominam: wszystkie opcje ustawione na "Użyj filtrowania". Pliku Extras po raz drugi nie dołączaj. .

Skoro tak, to wykonaj drobne kroki końcowe: 1. Wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj wyliczone poniżej aplikacje: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{60B2F25C-22CB-4CD9-9168-8C63708DC1A1}" = LibreOffice 3.6 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "ENTERPRISE" = Microsoft Office Enterprise 2007 "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) "Opera 12.15.1748" = Opera 12.15 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation) .

Ta wersja Kasperskiego zachowuje się w następujący sposób: zamknięcie okna skanera równa się jego deinstalacji... Tak więc, to że nie możesz go znaleźć, jest wytłumaczalne. I w związku z tym ja nie mogę ocenić co Kaspersky robił, brak danych. .

Skrypt pomyślnie wykonany. Sprawdź co jest w G:\driver\usb, natomiast dwa pozostałe przez SHIFT+DEL skasuj, skoro widać w nich tylko pliki "desktop.ini". Moim zdaniem Avast w zupełności wystarczy. Dobry program. .