picasso

Akcja przeprowadzona pomyślnie. Zakończ sprawy: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń wszystkie stare Adobe / Java (jedna z przyczyn tej infekcji) i archaizm ACE Mega CoDecS Pack, zaktualizuj Firefox oraz cały Windows: KLIK. Log pokazuje krytyczny poziom aktualizacji XP oraz następujące wersje programów: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{32A3A4F4-B792-11D6-A78A-00B0D0170170}" = Java SE Development Kit 7 Update 17 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "{FFFF6D5C-E2F1-4B40-BC89-8923312E89EB}}_is1" = ACE Mega CoDecS Pack "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) .

Brak oznak infekcji. Tylko mała drobnostka, usuń puste wpisy startowe: O4 - HKLM..\Run: [Aimersoft Helper Compact.exe] C:\Program Files (x86)\Common Files\Aimersoft\Aimersoft Helper Compact\ASHelper.exe File not found O4 - HKLM..\Run: [browserPlugInHelper] C:\Program Files (x86)\Aimersoft\Video Converter Ultimate\BrowserPlugInHelper.exe File not found O4 - HKU\S-1-5-21-3129749323-3213680375-2284605331-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found Uruchom Autoruns i w karcie Logon skasuj wpisy mające taką samą nazwę jak cytowane wyżej [w klamrach]. Temat przenoszę do działu Sieci. - Na początek sprawdź podstawową rzecz: odinstaluj firewalla ZoneAlarm i jego paski (na liście zainstalowanych są widzialne pozycje: ZoneAlarm Free Firewall, ZoneAlarm Security Toolbar, ZoneAlarm Firewall, ZoneAlarm Security, ZoneAlarm LTD Toolbar). - Jeśli nie będzie poprawy, dostarcz raporty wymagane działem Sieci: KLIK. .

Oceniając logi: infekcji w rozumieniu trojanów brak, ale jest adware. M.in. niejaki Wincert i kto wie czy on tu nie gra roli w efekcie czarnego ekranu. Adware powinno zostać odinstalowane w poprawny sposób, ale w związku z tym, że tylko Tryb awaryjny jest w pełni sprawny, wstępnie w punkcie 1 zrób usuwanie punktów startowych adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=400&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=6199334936194654&q={searchTerms} IE - HKLM\..\SearchScopes\{3450FFE8-A177-487B-B809-A2E2DDF75171}: "URL" = http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&gct=ds&appid=400&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=6199334936194654&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKLM\..\SearchScopes\{CCA229D6-A9C4-4CB6-98D9-10F3769325A0}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3a50cd9e-cdb8-11e0-bbe0-fe14247b5e7f&q={searchTerms} IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\URLSearchHook: {90eee664-34b1-422a-a782-779af65cdf6d} - No CLSID value found IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{11A4C28B-1DDE-428D-9FF8-0F7B166903B4}: "URL" = http://startsear.ch/?aff=1&q={searchTerms} IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{3450FFE8-A177-487B-B809-A2E2DDF75171}: "URL" = http://www.searchqu.com/web?src=ieb&systemid=403&q={searchTerms} IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7403}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=3a50cd9e-cdb8-11e0-bbe0-fe14247b5e7f&q={searchTerms} IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={EAFCFB05-CB33-4331-9CE1-F3A7BB3B6FB5}&mid=dc8d92870d6347d0ba9b3c6aac5b974c-944b213c7063cb960a216afd75b0281e5e731407&lang=pl&ds=xn011&pr=sa&d=2012-10-21 11:21:25&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{CCA229D6-A9C4-4CB6-98D9-10F3769325A0}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=3a50cd9e-cdb8-11e0-bbe0-fe14247b5e7f&q={searchTerms} IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92823150601386329 IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{D96851B4-D2F1-411C-B071-D41B7FA7BF46}: "URL" = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo IE - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\SearchScopes\{F38552CB-81C9-407B-A166-D2405FC87702}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=571B5C07-50A2-42A5-89FB-3402362DCD6E&apn_sauid=C69023A1-18E9-4897-B2C8-A5571E212A87 FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\15.3.0\\npsitesafety.dll () FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\15.3.0.11 [2013-07-02 06:24:16 | 000,000,000 | ---D | M] O2:64bit: - BHO: (DataMngr) - {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} - C:\Program Files (x86)\Search Results Toolbar\Datamngr\x64\BrowserConnection.dll (Bandoo Media Inc) O2 - BHO: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~2\WIA6EB~1\ToolBar\SearchquDx.dll File not found O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\15.3.0.11\AVG Secure Search_toolbar.dll (AVG Secure Search) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {7FF99715-3016-4381-84CE-E4E4C9673020} - C:\PROGRA~2\WIA6EB~1\ToolBar\SearchquDx.dll File not found O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\15.3.0.11\AVG Secure Search_toolbar.dll (AVG Secure Search) O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found. O3 - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ApnUpdater] C:\Program Files (x86)\Ask.com\Updater\Updater.exe (Ask) O4 - HKLM..\Run: [DATAMNGR] C:\Program Files (x86)\Search Results Toolbar\Datamngr\datamngrUI.exe (Bandoo Media Inc) O4 - HKLM..\Run: [vProt] C:\Program Files (x86)\AVG Secure Search\vprot.exe () O4 - HKU\S-1-5-21-4254807363-1815976319-3163921110-1001..\RunOnce: [Application Restart #0] C:\Windows\System32\ctfmon.exe ctfmon.exe File not found O16:64bit: - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16:64bit: - DPF: {9E2CD2C3-4DDA-4473-B904-B8E6D0DBAB86} http://consumersupport.lenovo.com/ot/en/SmartDownloading/cab/npdueng.cab (Reg Error: Key error.) O16:64bit: - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 10.17.2) O18:64bit: - Protocol\Handler\viprotocol - No CLSID value found O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\15.3.0\ViProtocol.dll (AVG Secure Search) O20:64bit: - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN64C~1.DLL) - C:\ProgramData\Wincert\win64cert.dll () O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\Program Files (x86)\Search Results Toolbar\Datamngr\x64\datamngr.dll (Bandoo Media Inc) O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll) - C:\Program Files (x86)\Search Results Toolbar\Datamngr\x64\IEBHO.dll (Bandoo Media Inc) O20 - AppInit_DLLs: (C:\PROGRA~3\Wincert\WIN32C~1.DLL) - C:\ProgramData\Wincert\win32cert.dll () O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files (x86)\Search Results Toolbar\Datamngr\datamngr.dll (Bandoo Media Inc) O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files (x86)\Search Results Toolbar\Datamngr\IEBHO.dll (Bandoo Media Inc) SRV - [2013-07-01 04:03:00 | 001,598,128 | ---- | M] (AVG Secure Search) [Auto | Stopped] -- C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe -- (vToolbarUpdater15.3.0) DRV:64bit: - [2013-07-01 04:03:02 | 000,045,856 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\avgtpx64.sys -- (avgtp) :Files C:\Users\Zuzia\AppData\Roaming\BabSolution C:\Users\Zuzia\AppData\Roaming\Babylon C:\Users\Zuzia\AppData\Roaming\PerformerSoft C:\Program Files (x86)\PC Performer C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml C:\Program Files (x86)\mozilla firefox\searchplugins\SearchquWebSearch.xml C:\Program Files (x86)\Mozilla Firefox\extensions\{CA*} C:\Program Files (x86)\Mozilla Firefox\updated C:\ProgramData\Babylon C:\ProgramData\BrowserDefender C:\ProgramData\Wincert C:\windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job C:\windows\SysNative\aswBoot.exe C:\windows\SysNative\drivers\aswVmm.sys.sum C:\windows\SysNative\drivers\aswSP.sys.sum C:\windows\SysNative\drivers\aswSnx.sys.sum C:\Program Files\AVAST Software C:\ProgramData\AVAST Software C:\found.000 netsh advfirewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Application Restart #1"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Sprawdź czy jesteś w stanie zalogować się normalnie do Windows. Jeśli tak, zabierz się za deinstalacje: - Przez Panel sterowania odinstaluj: APN Updater, Ask Toolbar, AVG Security Toolbar, iLivid, LiveVDO plugin 1.3, Search-Results Toolbar oraz wszystkie pozycje Java (to starocie). - Google Chrome: Wejdź do zarządzania wyszukiwarkami, jako domyślną ustaw Google, następnie skasuj z listy śmiecia Web Search. W Rozszerzeniach odinstaluj AVG Security Toolbar, LiveVDO plugin. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz FRST (ale dołącz tylko plik Addition.txt). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. .

1. Czy akcję wykonałeś na wszystkich pendrive po kolei? Co do tego G, który widzę w skanie USBFix, to uwagę przyciągają te obiekty: [26/03/2010 - 11:07:22 | D ] G:\driver [11/03/2010 - 11:26:42 | D ] G:\DRUGIM [20/05/2010 - 10:25:42 | D ] G:\ljepa [31/10/1999 - 08:28:56 | D ] G:\Recycled [29/05/2008 - 11:08:48 | D ] G:\RECYCLER [26/06/2013 - 11:19:22 | ASH | 126] G:\desktop (2).ini Sprawdź co jest w pierwszych trzech folderach, a ostatnie trzy pozycje przez SHIFT+DEL skasuj. 2. Nie odinstalowałeś Spybota. Jak mówiłam: program jest przestarzały i ma dziś słabą skuteczność, a w systemie jest Avast. Dodatkowo, odinstaluj jeszcze Pandora Service, to zbędnik instalowany z KMPLayer. 3. Drobna poprawka na wpisy szczątkowe. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM..\Run: [] File not found O4:64bit: - HKLM..\RunOnce: [000_TmTdiUninstall] C:\Windows\TmNSCIns.dll (Trend Micro Inc.) O4 - HKLM..\RunOnce: [] File not found [2013-07-02 22:00:42 | 000,001,740 | ---- | C] () -- C:\Windows\TmTdi.inf [2012-02-19 18:22:50 | 000,000,000 | ---D | M] -- C:\Users\Tom\AppData\Roaming\ASUS WebStorage :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. Wklej jego zawartość do posta. .

Nie wypowiadasz się nic na temat transferu dysku, czy było PIO. Nie dodałeś raportu z wynikami usuwania OTL, aczkolwiek to już możemy sobie darować, gdyż widać zmiany w nowym skanie OTL. Kolejne działania: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (lredbooo) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. W OTL uruchom Sprzątanie, co usunie z dysku OTL i jego kwarantannę. 3. Skoro były tu ślady Brontok, należy przeskanować wszystkie dyski pod kątem jego plików. Wykonaj to za pomocą Kaspersky Virus Removal Tool. Domyślnie skaner robi ekspresowe szukanie. W konfiguracji zmień na skan wszystkich dysków. To będzie trwać o wiele dłużej, ale da większą pewność. Aczkolwiek, dysków jest tu sporo: Drive C: | 19,53 Gb Total Space | 7,95 Gb Free Space | 40,69% Space Free | Partition Type: NTFS Drive E: | 78,13 Gb Total Space | 12,71 Gb Free Space | 16,27% Space Free | Partition Type: NTFS Drive F: | 156,25 Gb Total Space | 4,26 Gb Free Space | 2,73% Space Free | Partition Type: NTFS Drive G: | 44,17 Gb Total Space | 10,39 Gb Free Space | 23,53% Space Free | Partition Type: NTFS Drive K: | 1397,26 Gb Total Space | 47,64 Gb Free Space | 3,41% Space Free | Partition Type: NTFS By uniknąć problemów przy skanie, rozbij zadania: skanuj każdy dysk po kolei z osobna a nie hurtem wszystkie. Jeśli skaner coś wykryje, przeklej do oceny wyniki typu "Detected", inne typy mnie nie interesują. .

Infekcja pomyślnie usunięta. Tylko drobne poprawki: 1. Nie odinstalowałeś Logitech Desktop Messenger i to do wdrożenia. To jest zbędna aplikacja do "newsów" producenta i nie ma wpływu na pracę sprzętu. Ze sprzętem jest zwizany Logitech SetPoint a nie Logitech Desktop Messenger. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "E:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe"=- "E:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe"=- :OTL O4 - HKCU..\Run: [Akamai NetSession Interface] "E:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found O4 - HKCU..\Run: [GG] "E:\Documents and Settings\Kasia\Ustawienia lokalne\Dane aplikacji\GG\Application\gghub.exe" File not found O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - File not found O20 - Winlogon\Notify\LBTWlgn: DllName - (e:\program files\common files\logishrd\bluetooth\LBTWlgn.dll) - File not found Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Jeżeli pliki były wcześniej usuwane, a są nadal, to mogą być dwa warianty wydarzeń: pliki były pozornie usuwane lub pliki zostały odtworzone po usunięciu (to tak ma być). Skoro Dziennik jest nadal kaput, zrób jeszcze jedną próbę: 1. Na początek zrób sprawdzanie dysku pod kątem błędów. F8 > Napraw komputer > Wiersz polecenia > wpisz komendę chkdsk /f /r i ENTER. Zanotuj czy widzisz naprawianie jakiś błędów. 2. Gdy skan się ukończy, zbootuj płytę Kaspersky. Wejdź do folderu C:\Windows\System32\winevt\Logs. CTRL+A, by zaznaczyć wszystko, następnie SHIFT+DEL. 3. Wejdź do Windows i sprawdź co się dzieje z usługą Dziennik zdarzeń. .

Czy Kaspersky został zamknięty po przeprowadzonym skanie? W opcjach skanera nie widzisz żadnych adnotacji o wykrytych zagrożeniach? Jest wiele czynników wpływających na długość skanu, nie tylko wielkość dysku: - Szybkość sprzętowa dysku / ogólna komputera - Ilość obiektów (mniejszy dysk nie jest tautologiczny z mniejszą liczbą plików/folderów) - Rodzaj obiektów (archiwa, o ile nie zabezpieczone hasłem, są skanowane wewnątrz) .

Log z OTL został źle skonfigurowany, opcja Rejestr ustawiona na Wszystko, a powinno być Użyj filtrowania. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-3487295600-611899922-66824338-1000..\Run: [Desktop® Graphics Driver] C:\Users\Izz\AppData\Roaming\Windows\Desktop.exe (Desktop® Corporation) O4 - HKU\S-1-5-21-3487295600-611899922-66824338-1000..\Run: [Desktop® Graphics Driver Controller] C:\Users\Izz\AppData\Roaming\Windows\Desktop.exe (Desktop® Corporation) O4 - HKU\S-1-5-21-3487295600-611899922-66824338-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\Izz\AppData\Roaming\csrss.exe (pmokiuytadcnuirg) O4 - Startup: C:\Users\Izz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Desktop.exe (Desktop® Corporation) F3 - HKU\S-1-5-21-3487295600-611899922-66824338-1000 WinNT: Load - (c:\users\izz\dxejfo.exe) - c:\users\izz\dxejfo.exe (Cottonwood Software) DRV - [2013-05-21 21:53:22 | 000,037,664 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\System32\drivers\avgtpx86.sys -- (avgtp) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.2.0\ToolbarUpdater.exe -- (vToolbarUpdater15.2.0) :Files C:\Users\Izz\*.exe C:\Users\Izz\AppData\Roaming\*.exe C:\Users\Izz\AppData\Roaming\System32 C:\Users\Izz\AppData\Roaming\Windows C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job C:\Windows\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras, ale przypominam o "Użyj filtrowania") oraz zaległy GMER. Dołącz log z usuwania OTL z punktu 1. .

Hmmm, może pokaż mi nowe logi z OTL i GMER jak wygląda sytuacja po przeprowadzonych działaniach.

Skaner wątpliwej reputacji. Czy masz log z tego skanera co on usuwał? Po pierwsze: infekcja nie jest usunięta do końca, jest też adware. Po drugie: nie wiem jak do tego doprowadziłaś, ale masa usług wg OTL jest w stanie wyłączonym. Wg Farbar Service Scanner objęło to również podstawowe usługi sieciowe, co tłumaczy brak sieci. To wszystko wygląda jakby użyto msconfig i w karcie Usługi wyłączono wszystko... 1. Krok jeden to usunięcie infekcji i wpisów szczątkowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\misiek\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2772587311-2516842105-1303025530-1000..\Run: [dfeefbdbbddgfdgfdgdfg] C:\ProgramData\dfeefbdbbddgfdgfdgdfg.exe () O7 - HKU\S-1-5-21-2772587311-2516842105-1303025530-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 [2013-06-25 18:28:16 | 000,000,355 | ---- | M] () -- C:\ProgramData\dfeefbdbbddgfdgfdgdfg.cfg [2013-06-25 18:22:13 | 000,197,120 | ---- | M] () -- C:\ProgramData\bbscmvsexposrxp [2013-06-25 18:19:12 | 000,000,000 | ---- | M] () -- C:\ProgramData\pdtvcoihlnmmqyc [2013-06-24 16:49:52 | 000,028,160 | ---- | M] () -- C:\ProgramData\uiglvuixppryqfg [2012-08-05 21:05:55 | 000,314,804 | ---- | C] () -- C:\Users\misiek\AppData\Local\tmpP7140187.JPG [2012-08-05 21:05:54 | 000,799,752 | ---- | C] () -- C:\Users\misiek\AppData\Local\tmpP7140187.0 [2010-12-26 20:57:22 | 000,506,704 | ---- | C] () -- C:\Users\misiek\AppData\Local\tmpPC250187.JPG [2010-12-26 20:56:54 | 000,517,434 | ---- | C] () -- C:\Users\misiek\AppData\Local\tmpPC250188.JPG [2010-12-26 20:56:53 | 001,031,658 | ---- | C] () -- C:\Users\misiek\AppData\Local\tmpPC250188.0 [2010-12-26 20:56:24 | 001,015,278 | ---- | C] () -- C:\Users\misiek\AppData\Local\tmpPC250187.0 [2011-02-20 19:38:23 | 000,000,000 | ---D | M] -- C:\Users\misiek\AppData\Roaming\_MDLogs :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Krok dwa to włączenie usług: - Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako Administrator > w karcie Usługi zaznacz to co jest odznaczome. - Pobierz plik Default W7 Home Premium 64 SP1 Start v1.00.zip z tej strony: KLIK. Rozpakuj pobrany ZIP. W środku jest plik REG. Kliknij na niego prawym i wybierz opcję Scal. - Zresetuj system. Sieć powinna wrócić. 3. Krok trzy to usunięcie adware: - Przez Panel sterowania odinstaluj Internet Explorer Toolbar 4.6 by SweetPacks, Update Manager for SweetPacks 1.1. - Następnie uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3. .

Tak jest, dlatego wpis nie chciał się usunąć. Poprawka: 1. Skasuj obecny FRST z dysku. Pobierz ponownie najnowszą wersję (ma poprawkę na skan Firefox). 2. Zrób nowy fixlist.txt o zawartości: Unlock: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f W FRST opcja Fix. 3. Zrób (mam nadzieję, że) ostatni log z FRST (bez Addition). Dołącz fixlog.txt. .

Hmmm, skrypt nie widzi wartości: HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\59796 => Value not found. A ten wpis nadal jest w logu: HKLM\...\Policies\Explorer\Run: [59796] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe No File 1. Przygotuj kolejny plik fixlist.txt o zawartości: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run /f Uruchom FRST i klik w Fix. 2. Zrób nowy log FRST (bez Addition). Dołącz wynikowy fixlog.txt. .

Te drobne zadania pomyślnie wykonane. Nie widzę nic niepokojącego w preferencjach Google Chrome. Na teraz wykonaj kroki finalizujące: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj systemowy IE (nawet jeśli nie używasz) oraz odinstaluj stare 64-bitowe Java: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416034FF}" = Java™ 6 Update 34 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F86417021FF}" = Java 7 Update 21 (64-bit) .

Teraz owszem USBFix twierdzi, że dyski są puste. Ale czy przed usunięciem wszystkiego z pendrive wszedłeś do folderów "bez nazwy" i wyciągnąłeś swoje dane?! No chyba, że nie miałeś wcale żadnych własnych danych na tych urządzeniach... I nadal sprawy nie dokończone, wpisy się nie usunęły. FRST miał też problem z przetworzeniem jednego z nich: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\\Load => Error setting value. =========== Result of Scheduled Files to move =========== C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com => Moved successfully. Plik niby usuwał, ale wpis w nowym logu nie ma markera "no file": HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com Jeszcze raz: 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: Unlock: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows HKLM\...\Policies\Explorer\Run: [59796] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe No File HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com HKLM-x32\...\Runonce: [] [x] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com C:\ProgramData\APN 2. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij Fix. 3. Przejdź w Tryb normalny Windows. Zrób nowy log z FRST (bez Addition) oraz przedstaw fixlog.txt. .

EDIT: Moment. Zrobiłeś po raz drugi skrypt. Proszę nie robić takich rzeczy, te skrypty są niepowtarzalne. Proszę o nowy log z FRST oraz USBFix z opcji Listing. Komentarze do poprzednich akcji: - Podczas pierwszego przetwarzania skryptu dyski F i G w ogóle chyba nie były podpięte podczas przetwarzania skryptu FRST, co nie miało sensu, bo przecież FRST wykonywał komendy na tych dyskach. Wszystkie odczyty są File/Directory not found. - Ty nie miałeś nic ręcznie robić z zakresu, który miał wykonać skrypt FRST. Ty miałeś dopiero po skrypcie FRST wejść na urządzenia i z folderów "bez nazwy" przenieś swoje dane poziom wyżej: .

Logi powinieneś dodać w drugim swoim poście. Edycja wsteczna nie trzyma kolejności zadanych akcji. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Runonce: [] [x] HKLM\...\Policies\Explorer\Run: [59796] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe [126134 2009-07-14] ( (Hause)) HKCU\...\CurrentVersion\Windows: [Load] C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com HKCU\...\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" [x] C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com C:\Windows\DeleteOnReboot.bat C:\Users\Alex\Documents\APNSetup1.exe C:\MSI F:\autorun.inf F:\4#BKMHXAELUTLKRO.ini F:\desktop.ini F:\Thumbs.db F:\USB DISK (4GB).lnk G:\autorun.inf G:\4#YEEGFHYX.ini G:\desktop.ini G:\Thumbs.db G:\TOSHIBA 8GB (8GB).lnk CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h G:\* Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v "Default Scope" /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v "Default Scope" /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v "Default Scope" /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Task: {1100182F-6956-4598-BB2D-5CC50155C194} - System32\Tasks\{81FB999B-6968-49E8-8C52-0BE2AF335D2B} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {561B61D4-F93A-414B-893D-810884567BEF} - System32\Tasks\{CEA9E291-502F-49BD-AFE0-F12EE721AB48} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {75F96ED6-B6A3-4DC9-BF56-6E66D745EB9D} - System32\Tasks\{DC1CA97C-2224-4C6D-AE9C-BF6A3DD21516} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {87674AC3-B446-428E-B924-BC2E94B726DD} - System32\Tasks\{A54AD1E6-8BCA-4170-B969-20D028B208E6} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {935FE923-AE40-4915-8CE6-D918143A957A} - System32\Tasks\{5E607AEF-ACD4-4D00-B9F4-BA6C2BB7B15F} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Task: {B4061C4B-6764-4CC7-8C13-8BDB9B2C2A6F} - \Microsoft\Windows\RVLKL\RVLKL No Task File Task: {C704AFA1-2044-4B1E-A9B1-C890B1CF486B} - System32\Tasks\{1F98F5EF-CD6C-481B-A1B6-1D98F43D39FF} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe No File Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij Fix. Powstanie plik fixlog.txt. 2. Następnie wejdź na dyski F: i G: do folderów "bez nazwy". Przenieś wszystkie dane z tych folderów poziom wyżej a foldery przez SHIFT+DEL skasuj. 3. Usuń drobne adware wprowadzone w system z instalacją KMPlayer. Przez Panel sterowania odinstaluj KMP Media Toolbar. Otwórz Firefox i w Rozszerzeniach powtórz deinstalację tego samego. 4. Zrób nowe logi: FRST (bez Addition) oraz USBFix z opcji Listing. Dołącz fixlog.txt. Oczywiście nowe logi umieszczasz w nowym poście. .

Niestety zainfekowałeś sobie system próbując otwierać ten "skrót". To był skrót uruchamiający infekcję. Twoje prawdziwe dane były na pendrive przesunięte przez infekcję do katalogu "bez nazwy" (na trzecim obrazku to widać = pierwsza pozycja opisana jako "folder plików"), a folder ten był ukryty = widzialny tylko po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. Infekcja ładuje się z tych wpisów, dlatego każde podpinane urządzenie jest przerabiane na skróty: F3:64bit: - HKU\S-1-5-21-555250695-1294936238-951627053-1000 WinNT: Load - (C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com) - C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com (Hause) F3 - HKU\S-1-5-21-555250695-1294936238-951627053-1000 WinNT: Load - (C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com) - C:\Users\Alex\LOCALS~1\Temp\ccbkyui.com (Hause) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 59796 = C:\PROGRA~3\LOCALS~1\Temp\ccvkga.exe (Hause) Zanim przejdziemy do usuwania, poproszę jeszcze o dodatkowe logi: 1. USBFix z opcji Listing zrobiony przy maksymalnej ilości podpiętych urządzeń USB. 2. Log z FRST. .

1. Sprawdź czy nie został filtr COMODO na urządzeniach sieciowych. Panel sterowania > Połączenia sieciowe > z prawokliku na każde obecne pobierz Właściwości > sprawdź w karcie Ogólne co widać w spisie komponentów używanych przez połączenie. Jeśli będzie tam filtr COMODO, odinstaluj i zresetuj system. Jeśli jednak filtra nie będzie: 2. Zresetuj ogólnie ustawienia sieci. Otwórz Notatnik i wklej w im: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh firewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik przez dwuklik. Zresetuj system. .

Ze skanu SystemLook wynika drobna sprawa, są odpadkowe klucze wyszukiwarek IE bez adresów URL. Dokasuj to sobie. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z prawokliku skasuj klucze: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A} To tyle z mojej strony. .

Zmienne środowiskowe ładnie odbudowane, zniknęły te adnotacje o brakach plików. Infekcji tu żadnej nie widać. Zrób tylko drobne korekty: 1. Mini-poprawka na zresetowane wyszukiwarki IE (wyzerował je AdwCleaner) oraz wpisy puste. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=3] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins\@tools.google.com/Google Update;version=9] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Przez SHIFT+DEL skasuj podejrzany folder: C:\Users\RK\AppData\Roaming\(6C-F3-73-BD-1B-EB) Google Chrome nie jest obecnie zainstalowane, więc nie jestem w stanie nic powiedzieć na jego temat na podstawie raportu OTL. Co do synchronizacji: o tak, wiele razy tu na forum był ten aspekt = po czyszczeniu z adware i wadliwych ustawień wszystkie śmieci były ponownie ładowane z serwera. Czyszczenie lokalnego Google Chrome mija się z celem, jeśli jest włączona synchronizacja. W pierwszej kolejności należy wyłączyć synchronizację, dopiero wtedy wyczyścić Google Chrome, nie włączać synchronizacji dopóki dane nie znikną całkowicie z serwera (o ile dobrze pamiętam, czyszczenie na serwerze trwa do kilkunastu godzin, a może i kilka dni?) + to co mówiłeś na tamtym forum: Wg WHOIS adres IP 217.149.251.13 = storage.gery.pl. Tak więc: czy w Google Chrome miałeś gdzieś zdefiniowany adres gery.pl? .

Akcja pomyślnie wykonana. Poprawki i kończymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files (x86)\v9Soft C:\Program Files (x86)\Rightdown Software SearchBar C:\Program Files (x86)\Common Files\ApnToolbarInstaller.exe C:\Program Files (x86)\Common Files\ApnStub.exe C:\Users\Robert\AppData\Local\{*} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0A1B6F81-49ED-422B-B86A-2C3A371341A1}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Aktualizacje softu: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.3 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "HijackThis" = HijackThis 2.0.2 - Odinstaluj stare wersje Adobe oraz HijackThis (program niezgodny z systemem 64-bit i pokazuje sfałszowane wyniki). - Dodatkowo: Gadu-Gadu 10 to już staroć i będzie przywracać też przestarzały Adobe Flash 10. Albo zamień najnowszym GG11 (jest lepsze: mniej reklam, nowe funkcje), albo alternatywą 9WTW, Kadu, Miranda NG, AQQ). Opisy: KLIK. .

Import rejestru wykonany, te klucze Firefox zniknęły. Na koniec: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Aktualizacje: KLIK. A konkretnie tu są do wyrzucenia stare Java i instalacja najnowszej, aktualizacja OpenOffice.org (by mógł używać najnowszej Java), aktualizacja Microsoft SQL Server 2005 (KB913089) oraz instalacja SP1 dla Windows 7: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java™ 6 Update 16 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21 "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 Dodatkowo: masz stare niesprawne i słabo zabezpieczone Gadu-Gadu 7.7. Zainteresuj się alternatywami np. WTW: KLIK. .

Ja jakoś wątpię, by to miało związek z opcją Sprzątanie w OTL, bo opcja nie ma zazębienia z siecią (nie modyfikuje tego obszaru wcale). Tu się wręcz nasuwa COMODO jako problem. Odinstaluj program COMODO, zresetuj system i podaj co z siecią. To było niepotrzebne. - Skoro importowałeś plik REG, to teraz musisz powtórzyć usuwanie klucza Mountpoints2 zadane wcześniej, bo pewnie odtworzyłeś wpisy infekcji. - Kopia rejestru nie chce się w całości przywrócić, bo tak się po prostu nie przywraca całego rejestru. Próbujesz przywrócić klucze, które są zablokowane przez czynne procesy, w tym COMODO. Na przyszłość jak się robi i jak przywraca prawdziwą pełną kopię rejestru: KLIK. Zupełnie inna technika, nie przez pliki REG. .

Coś tu się nie zgadza. FSS twierdzi: C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit A log.txt wręcz przeciwnie. Czy to na 100% nowy log? Prezez SHIFT+DEL skasuj obecny C:\log.txt i zrób od nowa komendę DIR, by powstał nowy plik. Poproszę też o dwa nowe logi: Farbar Service Scanner + FRST. .