picasso

Mnie się wydaje, że tu występuje takie zjawisko: folder F:\RECYCLER w ogóle nie został skasowany, a pozornie "znika" z widoku, bo przestawia się opcja Ukryj chronione pliki systemu operacyjnego (skan OTL odznacza tę opcję w ramach pomocy dla prowadzących pomoc, by użytkownik widział wszystkie pliki wdrażając instrukcje + Sprzątanie w OTL z powrotem opcję zaznacza). Prawdopodobnie folder jest zablokowany przez uprawnienia, dlatego ani ręcznie, ani skanerem nie da się załatwić go na dobre. Podaj mi precyzyjny skan co jest we wszystkich folderach RECYCLER. Uruchom SystemLook i do okna wklej: :dir C:\RECYCLER /s D:\RECYCLER /s F:\RECYCLER /s Klik w Look. Przedstaw wynikowy skan. Start > Uruchom > cmd, wklej komendę i ENTER: attrib +S +H "F:\System Volume Information" Katastrofy nie ma. .

Na zakończenie: 1. Odinstaluj starą Javę i produkty Adobe, zastąp najnowszymi (o ile potrzebne): KLIK. Wg raportu są tu zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 24 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll () Dodatkowe uwagi: - Proponuję pozbyć się też firmowego ASUS WebStorage, by zapobiec takim cyrkom: KLIK. - Nie ma sensu się męczyć na Gadu-Gadu 7.7. Program stary, niezdolny obsłużyć własną sieć i słabo zabezpieczony (brak szyfrowania). Obejrzyj nowoczesne alternatywy: WTW (polecam), Kadu, AQQ, Miranda NG. Wszystkie opisy tu: KLIK. 2. Prewencyjnie zmień hasła logowania w serwisach. Javę omawiam wyżej ("o ile potrzebne"). O co Ci chodzi ze "złymi" plikami? Te alfanumeryczne foldery tworzone w głównym katalogu dysku z największą ilością wolnego miejsca (czyli niekoniecznie na dysku systemowym) to produkty aktualizacji systemu. Łaty przed instalacją zasadniczą są ekstraktowane do tymczasowego folderu omawianej tu postaci. Oceniając zawartość tego konkretnego katalogu (plik MpMiniSigStub) = jest to odpadek po instalacji aktualizacji definicji Windows Defender. Foldery tego rodzaju po pomyślnym zainstalowaniu aktualizacji można usunąć, ale nie uda się to "od ręki", gdyż foldery mają tak ustawione uprawnienia, by Administratorzy nie mieli dostępu. Przed próbą usuwania należy zresetować uprawnienia tym folderom przejmując je Własność + przypisując sobie Pełną kontrolę w oparciu o instrukcje: KLIK. .

Zadanie wykonane. Usunięty katalog Mozilla się zregenerował, nie będę więc już ponawiać jego usuwania. Przejdź do czynności końcowych: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

Zaprezentuj mi obrazki z komunikatami błędów, z obu deinstalacji.

Wystarczy tylko log GMER ze skanu dysku C, reszta nie podaje dodatkowych ważnych informacji (usuwam). W żadnych raportach nie notuję jawnej infekcji. Komentując szerzej: 1. Do tego co mówiłam na PW na temat regeneracji infekcji: GMER nie był sprawdzony, a tu jednak wychodzi na to, że był ukryty wpis metodą rootkit. Świadczy o tym obrazek numer 2 z KingSoft pokazujący uruchamianie w starcie wpisu Qaocos: KLIK. Obecny skan GMER nie pokazuje nic ukrytego, tak więc czy antywirus nadal wykrywa w kluczu Run coś? Jeśli nie, to wygląda na to, że usunął to na dobre, zwłaszcza, że foldery nie zmieniły swojego stanu. 2. Reszta detekcji: Czy kasowałaś foldery RECYCLER wg zadanej instrukcji w poście #11? Jeśli nie, to je skasuj teraz przez SHIFT+DEL. Sądzę, że to fałszywe alarmy. Podobnie fałszywym alarmem zdaje się być ten z ostatniego obrazka KingSoft wskazujący otcsercb.sys w driver.cab (oba to pliki systemowe). 3. Pliki desktop.ini: Pliki desktop.ini są naturalną częścią systemu, przede wszystkim są w katalogach rodzaju Moje dokumenty / Menu Start i podobne. Ich rolą jest przypisywanie określonej nazwy i ikony danemu folderowi. Pliki te są z natury ukryte (atrybuty HS = ukryty systemowy) i przy domyślnej konfiguracji systemu nie powinnaś ich nawet widzieć. Widać je dopiero po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. To co jest jednak nienormalne tu na obrazku, to stan ikony pliku (nie jest "blada") poświadczający, że pliki przestały być ukryte (utraciły atrybuty HS). Pliki należy ukryć. Na razie z obrazka wiem o dwóch w Menu start, w związku z tym adresuję wszystkie desktop.ini w Menu Start: Start > Uruchom > cmd i po kolei wklej te komendy (po każdej ENTER): attrib +S +H "C:\Documents and Settings\All Users\Menu Start\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Komunikacja\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Narzędzia systemowe\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Rozrywka\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Akcesoria\Ułatwienia dostępu\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Gry\desktop.ini" attrib +S +H "C:\Documents and Settings\All Users\Menu Start\Programy\Narzędzia administracyjne\desktop.ini" attrib +S +H "C:\Documents and Settings\Konto\Menu Start\desktop.ini" attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\desktop.ini" attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Akcesoria\desktop.ini" attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Autostart\desktop.ini" attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Akcesoria\Rozrywka\desktop.ini" attrib +S +H "C:\Documents and Settings\Konto\Menu Start\Programy\Akcesoria\Ułatwienia dostępu\desktop.ini" (pod "Konto" podstaw nazwę właściwą) Podaj mi gdzie jeszcze widzisz pliki desktop.ini, które nie są ukryte (oceniając po ikonie). .

W Koszu są odpadkowe obiekty ZeroAccess. Wymagane też poprawki na śmieci. Kolejne akcje: 1. Otwórz Google Chrome, wejdź do ustawień, w zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym usuń z listy WebSearch. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin /R /A /D T icacls C:\$Recycle.Bin /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin del /q C:\ProgramData\lsass.exe rd /s /q C:\ProgramData\StarApp rd /s /q "C:\Program Files (x86)\Solibo Ltd" rd /s /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solibo Ltd" reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{A678CF04-D3ED-4FDD-FBDB-D93EC4280189}" /f reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{B1E7F456-8BC6-2C16-3846-0683C9AFA076}" /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Zważ, że tym razem tworzysz plik FIX.BAT a nie FIX.REG. Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. Patrz uważnie, czy w oknie nie pokaże się jakiś błąd. 3. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę ręcznie dokasuj. 4. Wyczyść foldery Przywracania systemu: KLIK. ---------------------------------------------------------------------------- Po deinstalacjach i czyszczeniu Temp komendą OTL ciut więcej miejsca na C, ale to ciągle za mało do komfortowej pracy: %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 40,09 Gb Total Space | 2,20 Gb Free Space | 5,49% Space Free | Partition Type: NTFS Przeprowadź analizę miejsca na dysku za poocą darmowego programu SpaceSniffer. Program zastartuj z prawokliku przez Uruchom jako Administrator, by obliczył też foldery System Volume Informatyion od Przywracania systemu. Na podstawie danych z programu powyrzucaj zbędne pliki / programy. Przydałoby się uszarpać kilka dodatkowych GB. Po zwolnieniu miejscu na dysku przeprowadź pełną defragmentację (w tym tzw. "Boot Time"). Propozycje darmowych programów: PerfectDisk Free Defrag, Puran Defrag. Uwaga: Perfect Disk jest pobierany z Cnet, który ładuje adware, nie klikaj tam w Download Now, ale na spodzie w Direct Download Link. .

Mówisz o OTLPE? Jeśli podczas bootowania pojawia się BSOD jawnie punktujący dysk twardy, to problemem jest brak sterowników do kontrolera dysku. OTLPE to stara sfatygowana płyta (OTL w niej też archaiczny i mocno odstaje od OTL w wersji pod Windows, ogólnie też OTL już nierozwijany) i ma liczne braki w zakresie zintegrowanych sterowników... W takiej sytuacji należałoby przerobić OTLPE i zintegrować sterowniki. .

Spróbuj na razie podstawić plik intelide.sys i zobaczymy czy system w ogóle ruszy... Na razie nie ruszam innych rzeczy. Przygotuj w Notatniku kolejny fixlist.txt dla FRST: CMD: copy C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\intelide.sys C:\Windows\system32\drivers\intelide.sys Tak jak poprzednio: połóż obok FRST, uruchom FRST i klik w Fix. Próba startu Windows... .

"Problem z załączeniem pliku": objaśnia to Pomoc forum (link na spodzie strony), załączniki akceptują tylko rozszerzenie *.TXT a nie *.LOG, wystarczy zmienić nazwę pliku lub zapisać do nowego pliku. Zadanie wykonane, przechodzimy do wykończeń: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę i pliki BAT dokasuj przez SHIFT+DEL ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj ten mierny skaner Spybot - Search & Destroy. Za to wykonaj pełny skan za pomocą Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Ale w którym momencie występuje ten błąd, przy próbie deinstalacji którego programu?

Kończąc sprawy czyszczenia systemu: 1. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: s:\instalki\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie oraz przez SHIFT+DEL dokasuj folder C:\Windows\erdnt. 2. Odinstaluj stare wersje Java i Adobe Reader oraz zaktualizuj Adobe Flash i Operę: KLIK. Wg raportu masz zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416023FF}" = Java™ 6 Update 23 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 37 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.7) MUI "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtycka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "Opera 12.11.1661" = Opera 12.11 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll () A co do "Nowe Gadu-Gadu", to obejrzyj jak wygląda najnowsze GG11 lub alternatywy (WTW, Kadu, Miranda NG, AQQ): KLIK. Ostatecznie, jeśli ten ESET nie sprawia aktualnie problemów, to może go zostaw na jakiś czas, ale jak mówię pakiet nie za świeży i w końcu trzeba będzie spuścić na nim lagę. Każdy komercyjny pakiet IS ("Internet Security") jest "sensowną alternatywą" dla starego pakietu. Z darmowych odpowiednik IS to COMODO Internet Security (zapora, AV, HIPS, Sandbox). Skany na żądanie swoją drogą, to jest działanie "post factum", zbyt późno (podstawowe znaczenie ma ochrona w czasie rzeczywistym). .

Wynik MBAM mało istotny. Hijack.ControlPanelStyle to polityka wymuszająca klasyczny wygląd Panelu sterowania. Takie modyfikacje mogą pochodzić z różnych źródeł (akcje użytkownika, automatyczny tweaker, infekcja), a skaner nie jest w stanie rzecz jasna sprecyzować pochodzenia. Jeśli to Twoje celowe zagranie, wynik do zignorowania. Skoro skaner ESET się uspokoił, to kończymy sprawy: 1. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\uzytkownik\Downloads\ComboFix.exe /uninstall Gdy komenda ukończy, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj z dysku te obiekty: C:\Windows\erdnt C:\Windows\system32\drivers\etc\hosts.old 2. Odinstaluj wszystkie stare Java 6 (zostawiając najnowsze 7) oraz zaktualizuj Adobe Flash. Wg raportu masz obecnie zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java™ 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F86417021FF}" = Java 7 Update 21 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java™ 6 Update 20 "{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 35 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll () .

1. Wyniki MBAM: usuń ten plik za pomocą programu. 2. Stare softy były już wywalane, ale jeszcze te pozycje do aktualizacji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9 "ffdshow_is1" = ffdshow [rev 780] [2007-01-15] "FileZilla Client" = FileZilla Client 3.3.3 To tyle z mojej strony. .

Na zakończenie: 1. Aktualizacje. Odinstaluj wszysatkie wersje Adobe + Java + Silverlight, zastąp najnowszymi, zaktualizuj pakiet Office 2010 (instalacja SP1): KLIK. Wg raportu posiadasz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Foxit Reader_is1" = Foxit Reader "Office14.PROPLUS" = Microsoft Office Professional Plus 2010 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_202.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60310.0\npctrl.dll ( Microsoft Corporation) 2. Dla bezpieczeństwa zmień hasła logowania w serwisach (poczta / bank / serwisy społecznościowe / gry etc.). Były tu trojany zdolne ciągnąć te dane. .

Upatruj problemu spowolnienia w kryzysowej proporcji wolnego miejsca na dysku, poprzeczka dramatyczna, niecały 1GB został: %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 40,09 Gb Total Space | 0,81 Gb Free Space | 2,02% Space Free | Partition Type: NTFS I jeśli ten skraweczek jeszcze jest w fatalnym stanie fragmentacji, tym gorzej. Tu musi powstać "szpara" conajmniej kilka GB zapasu. Ale to nie wszystko. System zanieczyszczony mocno: odpadki rootkita ZeroAccess i innych infekcji oraz multum adware. To pogarsza stan systemu jeszcze bardziej. Przechodząc do czyszczenia śmietnika: 1. Na pocztek poprawne deinstalacje adware: - Przez Panel sterowania odinstaluj: caOntuinueattousavve, ContinueToSave 1.74, Delta toolbar, Delta Chrome Toolbar, Download and Sa, NCDownloader, Optimizer Pro v3.0, OptimizerPro, PC Performer, SaEEarrch-aNewTTaib, Search Assistant WebSearch 1.74, Search Assistant MocaFlix 1.66. - Google Chrome: wejdź do Rozszerzeń i odinstaluj wszystko czego nie znasz. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="about:blank" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678 IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-result.info/?l=1&q={searchTerms}&pid=724&r=2013/05/25&hid=2604064094&lg=EN&cc=PL IE - HKU\S-1-5-21-1751451117-4207112011-2180288902-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=44BC000074040A00 IE - HKU\S-1-5-21-1751451117-4207112011-2180288902-1003\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = http://websearch.pu-result.info/?l=1&q={searchTerms}&pid=724&r=2013/05/25&hid=2604064094&lg=EN&cc=PL FF - HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin: File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\1.bin [2012-10-27 11:31:52 | 000,000,000 | ---D | M] O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Value error. File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found O2 - BHO: (smartdownloader Class) - {F1AF26F8-1828-4279-ABCE-074EF3235BD7} - C:\Program Files (x86)\PutLockerDownloader\smarterdownloader.dll (TODO: ) O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - Reg Error: Value error. File not found [2013-06-07 18:23:24 | 000,845,824 | ---- | C] (The PHP Group) -- C:\Users\Michał 2\AppData\Roaming\itdefender.exe [2012-10-27 08:12:02 | 000,044,544 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\lsass.exe [2012-10-27 10:47:10 | 083,023,306 | ---- | C] () -- C:\ProgramData\dsgsdgdsgdsgw.pad :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom Autoruns jako Administrator, wejdź do karty Scheduled Tasks i skasuj wszystkie zadania związane z adware (powinny być conajmniej: Optimizer Pro i PC Performer), DLL-files.com, Norton Security Scan oraz te o stanie "not found". 5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go. 6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dodatkowo, jeszcze skan na to co jest w Koszu, czy aby ZeroAccess tam nadal nie rezyduje. Uruchom SystemLook x64 i w oknie wklej: :dir C:\$Recycle.Bin /s Klik w Look. .

Po prostu wchodzisz w Panel sterowania do apletu deinstalacji programów i usuwasz: Java 7 Update 7 (64-bit) + Adobe Reader X (10.1.7).

Patka91 na przyszłość, nie ma sensu prowadzić tematu w dwóch miejscach, bo tylko wprowadzasz w błąd prowadzących pomoc: KLIK. A moje instrukcje były dokładniejsze (nie zauważono adware WebCake, nie sprawdzają raportu AdwCleaner = należy wiedzieć co i skąd usuwał). I moim zdaniem w pierwszej kolejności wykonałaś tamte instrukcje a nie tutejsze, gdyż AdwCleaner usuwał zbyt dużo obiektów WebCake, w tym jego wpis deinstalacyjny, jak na stan "po" deinstalacji. Na przyszłość: AdwCleaner nie zastępuje normalnej deinstalacji, najpierw należy wykonać naturalne procesy, a po tym dopiero poprawić AdwCleaner. Zadania wykonane. Poprawki i finalizacja: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Badoo Desktop"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Patka\Local Settings C:\Windows\SysNative\roboot64.exe C:\Windows\DeleteOnReboot.bat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Odinstaluj stare wersje Adobe Reader i Java, zastąp najnowszymi: KLIK. Wg raportu są tu zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java™ 7 Update 1 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217001FF}" = Java™ 7 Update 1 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.7) MUI .

Na temat używania ComboFix: KLIK. To nie jest narzędzie "na wszystkie kłopoty". Uruchomione niepotrzebnie. Widać też, że uruchamiany wiele razy i nigdy w prawidłowy sposób nie odinstalowany: Czas ukończenia: 2013-06-12 14:27:22 ComboFix-quarantined-files.txt 2013-06-12 12:27 ComboFix2.txt 2013-04-23 06:17 ComboFix3.txt 2013-02-05 15:25 Zasady działu jakie raporty tu się dostarcza: KLIK. Tego raportu ComboFix nie usuwaj, by było wiadome co robił / czego nie robił. .

Wszystko zrobione. Problem przekierowań Google powinien ustąpić. Potwierdź to jednak. Przechodzimy do finalizacji: 1. Przez SHIFT+DEL skasuj z dysku te foldery po resecie Firefox i skanerach: C:\Users\Agata\Doctor Web C:\Users\Agata\CC Support naprawa plików ZAPORY sys C:\Users\Agata\Desktop\Stare dane programu Firefox C:\Program Files\Enigma Software Group C:\Program Files\SkanerOnline W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Odinstaluj starszą 64-bitową wersję Java i Adobe Reader, które poniżej zakreślam oraz zaktualizuj Skype: ========= HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.7) "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 Najnowszy Adobe Reader to wersja Adobe Reader XI (11.0.03): KLIK. Uwaga: przypobieraniu należy odznaczyć McAfee Security Scan Plus. .

Coś wyniki przetwarzania skryptu się nie zgadzają, w ogóle nie został znaleziony wpis Shell ładujący plik skype.dat, choć log FRST go pokazywał, zaś obecny log OTL nie wykazuje infekcji. Tylko drobne poprawki trzeba wprowadzić + usunięcie szczątków Firefox: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E7BDC26C-F654-4489-B739-A05994741BBB}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Files C:\Users\Kasia\AppData\Roaming\mozilla C:\Program Files\Mozilla Firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Temat przenoszę do działu Windows. Nie ma oznak infekcji. A wg raportu Farbar Service Scanner usługa jest po prostu wyłączona. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Zresetuj system. PS. Wykonaj drobne czynności usuwające adware i szczątki McAfee. Instrukcje w spoilerze. A zainstalowany MBAM jest stary i czas na jego aktualizację. .

No cóż, problemem zdaje się być właśnie ta instalacja i to może być nie do rozwiązania bez wymiany softu lub jego wersji. W Dzienniku zdarzeń są nagrane takie błędy: [ System Events ]Error - 2013-06-10 17:02:03 | Computer Name = Yegomosc-lenovo | Source = Service Control Manager | ID = 7024 Description = Usługa OracleDBConsoleorcl zakończyła działanie; wystąpił specyficzny dla niej błąd %%2. Error - 2013-06-11 10:15:15 | Computer Name = Yegomosc-lenovo | Source = Service Control Manager | ID = 7009 Description = Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą OracleMTSRecoveryService. Error - 2013-06-11 10:15:15 | Computer Name = Yegomosc-lenovo | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi OracleMTSRecoveryService z powodu następującego błędu: %%1053 Error - 2013-06-12 06:14:38 | Computer Name = Yegomosc-lenovo | Source = Service Control Manager | ID = 7023 Description = Usługa OracleMTSRecoveryService zakończyła działanie; wystąpił następujący błąd: %%258 I ta usługa, która nie odpowiada, ma następujący stan: SRV - [2010-03-12 05:59:36 | 000,081,408 | ---- | M] (Oracle Corporation) [Auto | Stopped] -- C:\oracle\product\11.2.0\dbhome_1\bin\omtsreco.exe -- (OracleMTSRecoveryService) Zrób test wstępny z jedną usługą Oracle. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > wyszukaj usługę OracleMTSRecoveryService, z dwukliku wejdź do właściwości i Typ uruchomienia przedstaw z Automatycznego na Ręczny. Zresetuj system. Czy notujesz jakąś zmianę? Jeśli nie, wykonaj test na pozostałych usługach Oracle wszystkie przestawiając na Ręczny. .

Proponuję jeszcze zrobić skan za pomocą Malwarebytes Anti-Malware. Jeżeli on coś wykryje, przedstaw raport. .

Ten log "po resecie" zbędny (usuwam): uruchamiałaś go dwa razy chyba, bo wszystkie wpisy są "not found". Teraz podany log z OTL wygląda inaczej niż poprzedni = w ogóle nie pokazuje już składników Google Chrome. Jest to dziwne, jeśli nic ręcznie nie usuwałaś pomiędzy tworzeniem obu raportów OTL. Mówisz, że SpyHunter odinstalowany, a na dysku nadal widać jego składniki, czy to na pewno log OTL po jego deinstalacji? Przechodzimy do akcji: 1. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\drivers\etc\hosts Klik w Unlock. Następnie zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files (x86)\mozilla firefox\components\Scriptff.dll C:\Program Files (x86)\mozilla firefox\searchplugins\McSiteAdvisor.xml C:\Users\Agata\AppData\Roaming\Smart Engine Klik w Wykonaj skrypt. 3. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{80c554b9-c7f8-4a21-9471-06d606da78a2}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log OTL z opcji Skanuj. Pliku Extras poraz kolejny nie dołączaj. .

To niepełny log OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Proszę dołącz brakujący plik. Dodatkowo, dodaj też log z Farbar Service Scanner. .