picasso

Wykonałeś skrypt przed moją poprawką, ale część AdwCleaner zrobił z tego. Poza tym: odinstaluj SmartView for IE.

Albo przestawiłaś kolejność działań, albo skrypt w ogóle nie wykonany. Po pierwsze: w skrypcie OTL importowałam wpisy korygujące pracę AdwCleaner, a tu zero zmian. Po drugie: usuwanie Brontok nieudane, działa w tle. Kolejna powtórka:

1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Anna\AppData\Local\*.exe
C:\Users\Anna\AppData\Local\*Bron*
C:\Users\Anna\AppData\Local\funmoods_2.0.1.crx
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{484C784D-5019-44A2-A2A4-29553CF9D34F}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Ania\AppData\Roaming\skype.dat
C:\Users\Ania\AppData\Roaming\skype.ini
C:\ProgramData\dsgsdgdsgdsgw.pad
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. Blokada zniknie.

2. Przez Panel sterowania odinstaluj szczątek LiveUpdate Notice (Symantec Corporation).

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Po uruchomieniu instalki sp1 dla office wyświetla się komunikat "w tym systemie brak produktów , których dotyczy ta poprawka" - nie kupowałem office właściwie jest mi nieznanego pochodzenia (zainstalowany przez kumpla) może to przyczyna?

Czy pobrałeś instalator we właściwej wersji językowej?

.

Skan z SystemLook nie podaje nic ciekawego.

1. Internet Explorer: wg SystemLook jest jeszcze modyfikacja komendy uruchomieniowej na 22find.com. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
""="C:\Program Files\Internet Explorer\iexplore.exe"

Klik w Wykonaj skrypt.

2. Firefox: sprawdź czy te strony się ładują, gdy uruchomisz przeglądarkę wprost z pliku C:\Program Files\Mozilla Firefox\firefox.exe a nie ze skrótów.

.

Jak mówię, ja tu nie widzę żadnej infekcji, a problemy z skanerem to w mojej opinii inna sprawa i sugerowałam sprawdzenie jak to wygląda po uziemieniu COMODO.

Sprawdź jeszcze czy ComboFix wariuje, jeśli zostanie uruchomiony "na świeżo", po uprzednim usunięciu jego danych:

1. Start > Uruchom > regedit i skasuj klucz:

HKEY_LOCAL_MACHINE\SOFTWARE\Swearware

2. W OTL uruchom Sprzątanie, co usunie zarówno OTL z kwarantanną, jak i ewentualne pliki ComboFix.

.

Zmiana ikon na niezgodne z faktycznymi to prawdopodobnie naruszone bądź przestarzałe cache ikon. Zresetuj cache:

1. Start > w polu szukania wpisz cmd > zostaw okno otwarte. Uruchom menedżer zadań i zabij proces explorer.exe.

2. W otwartym oknie cmd wklep te dwie komendy, każdą zatwierdzając via ENTER:

cd %userprofile%\AppData\Local

del /a:h IconCache.db

3. W menedżerze zadań z menu Plik > Nowe zadanie uruchom explorer.exe.

.

ComboFix bez zmian - melduje rootkita

TDSSKiller nie widzi tej infekcji, w logach z OTL + GMER żadnych jej śladów. Moim zdaniem nie ma tu czego szukać.

SPtDinst nie widzi steronwnika

1. Uruchom MiniRegTool i w oknie wklej:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd

Zaznacz opcję Delete Keys/Values including Locked/Null embedded i klik w Go.

2. Następnie przez SHIFT+DEL skasuj z dysku plik C:\WINDOWS\system32\drivers\sptd.sys.

.

Skoro był używany AdwCleaner i JRT = pokaż raporty które utworzyły te narzędzia podczas usuwania. W raporcie OTL mało co widać, tylko subtelne ślady adware 22find.com.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Program Files\mozilla firefox\searchplugins\22find.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Uruchom SystemLook i do okna wklej:

:regfind

22find
vialeads
 
:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /s
HKEY_CURRENT_USER\Software\Clients\StartMenuInternet /s

Klik w Look.

.

Ten plik del.bat nie wydaje się istotny, ale dla porządku go usuń.

3.Niestety nie zwróciłem uwagi czy były to aplikacje czy raczej inne pliki. Na pewno zauważyłem brak skrótu do Mojego Komputera. Z poziomu Windows Explorer są widoczne dokładnie te same ikony co na pulpicie.

Nie mogę więc nic więcej powiedzieć na ten temat, bo nie wiem nawet czego brakuje. A co do skrótu Mój komputer, to mogły się po prostu omyłkowo przestawić opcje: prawoklik na Pulpit > Personalizuj > Zmień ikony Pulpitu > zaznacz co chcesz.

4.Z tym, że ilość miejsca na dysku zmienia się na partycji niesystemowej, więc nie wiem czy to na pewno to. W tej chwili od jakichś dwóch dni staram się to monitorować i nie zauważyłem zmian.

To się nadal nie wyklucza. Z D są uruchamiane określone programy i one też mogą wykonywać jakieś procesy np. tworzenie/usuwanie plików tymczasowych.

.

To nie są objawy infekcji policyjnej, dzieje się tu co innego. Podejrzane oprogramowanie zabezpieczające. W Trybie awaryjnym usuń ESET (przy okazji i PC Tools = kolejna usługa odpadnie), w razie problemów skorzystaj z ESET Uninstaller. I zobaczymy.

Ten ComboFix z systemu Vista owszem pokazuje pewne usunięcia plików infekcji. W dostarczonym tu logu OTL brak oznak infekcji. Czy na pewno problem nadal istnieje? Czy na pewno konto Maciek to konto, które jest zainfekowane?

Computer Name: MACIEK-PC | User Name: Maciek | Logged in as Administrator.

.

Temat przenoszę do działu Windows 7. Nic tu nie wskazuje na czynną infekcję. Tylko dwie uwagi:

1. Przez SHIFT+DEL skasuj z dysku te foldery (to owszem wygląda na stare szczątki infekcji):

[2012-09-13 16:45:30 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\Yfkyzo
[2012-09-13 16:45:24 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\Yhogn
[2012-09-13 16:45:24 | 000,000,000 | ---D | M] -- C:\Users\Łukasz\AppData\Roaming\Ypna

2. Jest tu podejrzany plik o nieznanej zawartości:

[2012-09-17 17:27:58 | 000,000,234 | ---- | C] () -- C:\Users\Łukasz\AppData\Roaming\del.bat

Otwórz ten plik BAT w Notatniku i przeklej co tam jest.

Parę dniu temu po włączeniu komputera zorientowałem się, że na pulpicie brakuje kilkunastu ikon.

Jaki to rodzaj ikon był? Czy tych ikon nie widać także, jeśli otworzysz folder Pulpitu z poziomu Windows Explorer: C:\Users\Łukasz\Desktop?

W ciągu paru dni zauważyłem też niespowodowane moją obecnością wahania ilości wolnego miejsca na dysku - raz było 15 GB wolnego, potem 16, następnie z kolei 14.

O niczym to nie świadczy. Same procesy w systemie (np. cieniowanie woluminu od Przywracania systemu, autoaktualizacje, czyszczenie logów) mogą wykonywać pewne operacje skutkujące fluktuacjami miejsca na dysku, bez interwencji użytkownika. Do analityki miejsca na dysku skorzystaj z darmowego programu SpaceSniffer (wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space).

.

Na temat używania ComboFix: KLIK. A zane z tu dostarczonych raportów nie pokazują żadnej infekcji. Wnioski: raporty pochodzą z inego konta niż zainfekowane. Konta mają inny układ rejestru i folderów i nie widzą między sobą zawartości. Co więcej, logi są zrobione z ... dwóch różnych systemów (!):

Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.2038.1807 [GMT 1:00]

Uruchomiony z: c:\documents and settings\Administrator\Pulpit\ComboFix.exe

OTL by OldTimer - Version 3.2.69.0 Folder = J:\

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

Działa tylko tryb awaryjny na koncie użytkownika na którym dotychczas pracowano.

Zastartuj do Trybu awaryjnego z Wierszem polecenia (a nie tryb graficzny), zaloguj się na właściwe konto i zrób nowe logi OTL.

.

Podaj skan na moduły skryptowe w rejestrze. Uruchom SystemLook x64 i w oknie wklej:

:reg
HKEY_CLASSES_ROOT\.js /s
HKEY_CLASSES_ROOT\.vbs /s
HKEY_CLASSES_ROOT\ECMAScript /s
HKEY_CLASSES_ROOT\ECMAScript Author /s
HKEY_CLASSES_ROOT\LiveScript /s
HKEY_CLASSES_ROOT\LiveScript Author /s
HKEY_CLASSES_ROOT\JavaScript /s
HKEY_CLASSES_ROOT\JavaScript Author /s
HKEY_CLASSES_ROOT\JavaScript1.1 /s
HKEY_CLASSES_ROOT\JavaScript1.1 Author /s
HKEY_CLASSES_ROOT\JavaScript1.2 /s
HKEY_CLASSES_ROOT\JavaScript1.2 Author /s
HKEY_CLASSES_ROOT\JavaScript1.3 /s
HKEY_CLASSES_ROOT\JavaScript1.3 Author /s
HKEY_CLASSES_ROOT\JScript /s
HKEY_CLASSES_ROOT\JScript Author /s
HKEY_CLASSES_ROOT\JScript.Compact /s
HKEY_CLASSES_ROOT\JScript.Compact Author /s
HKEY_CLASSES_ROOT\JScript.Encode /s
HKEY_CLASSES_ROOT\JSEFile /s
HKEY_CLASSES_ROOT\JSFile /s
HKEY_CLASSES_ROOT\JSFile.HostEncode /s
HKEY_CLASSES_ROOT\VBEFile /s
HKEY_CLASSES_ROOT\VBS /s
HKEY_CLASSES_ROOT\VBS Author /s
HKEY_CLASSES_ROOT\VBScript /s
HKEY_CLASSES_ROOT\VBScript Author /s
HKEY_CLASSES_ROOT\VBScript.Encode /s
HKEY_CLASSES_ROOT\VBScript.RegExp /s
HKEY_CLASSES_ROOT\VBSFile /s
HKEY_CLASSES_ROOT\VBSFile.HostEncode /s
HKEY_CLASSES_ROOT\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} /s
HKEY_CLASSES_ROOT\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9} /s
HKEY_CLASSES_ROOT\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} /s
HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} /s
HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8} /s
HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8} /s
HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed} /s
HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58} /s
HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58} /s
HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{16d51579-a30b-4c8b-a276-0ff4dc41e755} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{34a13fc7-86ab-42e6-a32c-b50666f04ff9} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows Script Host /s

Klik w Look.

.

3. Być może za niedługo kupię sobie nowy komputer, więc i tak nie opłaca mi się tutaj nic ruszać. Co sądzisz o tych zestawach?

Pytanie do działu Hardware, z dokładnym sprecyzowaniem jakie przeznaczenie ma mieć komputer (gry czy działania lżejsze). Ja nie zajmuję się sprzętem.

3. Co to jest?

Załadowane moduły .NET Framework.

Nie możliwe

Możliwe, to jest w pliku Preferences w Google Chrome. Uruchom Google Chrome, wejdź do wtyczek i sprawdź co widzisz i czy się da robić aktualizację z poziomu tej przeglądarki.

.

Strona została na nowo postawiona (ludzie którzy się zajmują strona wyczyścili wirusa ze strony)

Zmieniono hasła do FTP?

I nie wiemy też jak zrobić skan serwera bo stoi on na linuxie.

Nie mamy dostępnych narzędzi logów na platformę Linux, takich jak dla Windows tu oczekujemy. Tu już musisz polegać na skanerach antywirusowych kompatybilnych z tą platformą i niestety ręcznie sprawdzić na serwerze ostatnio modyfikowane / tworzone pliki.

.

Suzuno, ja tu widzę robotę bez końca. Wprawdzie AVG wycięte z Google Chrome, ale mamy kolejne adware, czyli pasek Ask Toolbar oraz regenerację Brontok.

1. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toobar Updater. Następnie w Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom AdwCleaner i zastosuj Usuń.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Anna\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
C:\Users\Anna\AppData\Local\*.exe
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{484C784D-5019-44A2-A2A4-29553CF9D34F}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart.

4. Zrób nowy log OTL z opcji Skanuj na standardowych ustawieniach. Dołącz log utworzony przez AdwCleaner.

.

To teraz masz do wykonania zaległe czynności z posta numer #14, od punktu 2 do 5. Punkt 1 już nieaktualny, bo to załatwiłam w pierwszym ze skryptów FRST podanych dzisiaj. Nie zaniedbaj tego, a aktualizacja Java krytyczna, to m.in. przez jej luki wchodzą te blokady policyjne.

.

Temat doklejam do poprzedniego, by zamknąć to wszystko hurtem. Żadnych oznak infekcji.

ale od 03.02.2013 zaczęły się problemy tj internet zaczął chodzić bardzo powoli tak jak wszystko co z nim związane

Pierwszy podejrzany: Kaspersky Internet Security 2013. Zaznaczałam w poprzednim wątku: "Jeśli w systemie nie notujesz spadku wydajności przy obecności KIS 2013, to nie widzę przeciwskazań." Pełny test: deinstalacja KIS i sprawdź jak chodzi sieć.

PS. Nie wygląda byś wykonał poprzednie zalecenia aktualizacyjne. Od pierwszego kopa, w systemie nadal zainstalowane niebezpieczne wersje Java + skierowanie na stare wersje Adobe Flash:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417010FF}" = Java 7 Update 10 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 29
 
 
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()

Reszta wcześniej punktowanych też bez zmian.

.

Przejdź do finalizacji:

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Obowiązkowe aktualizacje: KLIK. Wg raportu Twój system ma krytyczny poziom zabezpieczeń (brak SP3 + IE8 + reszty łat wydanych po) oraz zainstalowane stare wersje programów mogące naruszać bezpieczeństwo (to m.in. dziurawa Java jest powodem infekcji "policjantami"):

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Foxit Reader_is1" = Foxit Reader
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

Czyli do wykonania: deistalacja wszystkich starych wersji Adobe + Java i zastąpienie ich najnowszymi wersjami, aktualizacja Firefox, sprawdzenie czy Foxit najnowszy oraz pełna aktualizacja Windows XP.

.

Plik services.exe w ogóle nie wyleczony, dlatego nie możesz przejść dalej. Cytuję co masz wykonać:

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

sfc /scanfile=C:\Windows\system32\services.exe

Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum.

W związku z tym, że coś tu poszło nie tak, po wykonaniu tej komendy przeklej z okna co ona zwróciła. A po restarcie systemu zrób nowy log SystemLook na ten sam warunek co poprzednio.



.

no i akurat dziś moja stronka którą obsługuję filezillą, złapała JS:Redirector-ACH ale czy to może być przyczyną, bo raczej chyba nie ?

I sądzę, że to Twoja zainfekowana strona robi wyniki w systemie. Wg Avasta wyniki HTML:Agent-DJ są w Tymczasowych plikach internetowych, czyli wizytowano szkodliwą stronę. Swoją stronę musisz wyczyścić ze złego kodu oraz zmienić wszystkie hasała do FTP.

Ten ostatni wynik win32:MalOb-IP to nie wiadomo co to jest i czy prawdziwa infekcja. To rekord z System Volume Information (folder Przywracania systemu), plik ma zmienioną nazwę i jest kopią innego pliku. Wyczyść foldery Przywracania systemu: KLIK.

.

Raportu z GMER tu nie ma, podałeś link do ... Facebooka. Dalsze czyszczenie śmieci:

1. Nie został odinstalowany stary antywirus AVG. Mam też wątpliwości czy wszystkie Java też zostały usunięte. Powtórz zadania. Następnie użyj te narzędzia: AVG Remover + JavaRA.

2. W Google Chrome nadal adware. Wejdź do ustawień. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym Privitize VPN usuń z listy. W Rozszerzeniach odinstaluj Click2Save.

3. Poprawki na pozostałe wpisy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: D:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: D:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://search.localstrike.com.ar/"
O2 - BHO: (Zoomex) - {F57B9967-C1C7-E059-A7F0-65FC67CA2242} - D:\Documents and Settings\All Users\Dane aplikacji\Zoomex\50ede4fd0b429.dll File not found
O3 - HKU\S-1-5-21-57989841-1303643608-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O4 - HKLM..\Run: [sunJavaUpdateSched] "D:\Program Files\Java\jre6\bin\jusched.exe" File not found
O8 - Extra context menu item: &Download All using 4shared Desktop - D:\Program Files\4shared Desktop\down_all.htm File not found
O8 - Extra context menu item: &Winamp Search - D:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found
O8 - Extra context menu item: Ściągnij przez IDM - D:\Program Files\Internet Download Manager\IEExt.htm File not found
O8 - Extra context menu item: Ściągnij wszystkie linki przez IDM - D:\Program Files\Internet Download Manager\IEGetAll.htm File not found
O8 - Extra context menu item: Ściągnij zawartość wideo FLV przez IDM - D:\Program Files\Internet Download Manager\IEGetVL.htm File not found
[2013-02-03 18:37:36 | 000,000,000 | ---D | M] -- D:\Documents and Settings\All Users\Dane aplikacji\Click2Save
[2013-02-01 18:35:14 | 000,000,482 | -H-- | M] () -- D:\WINDOWS\tasks\Norton Security Scan for fanderscy.job
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{CF13EEF7-92AC-4251-B820-3C5695EEB0E4}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) i podaj zaległy GMER.

.

Jest problem, obiekt nadal siedzi. Wklej w cmd Uruchomionym jako Administrator tę komendę:

icacls C:\$Recycle.Bin\S-1-5-21-4137318519-2198754348-3624511956-1000\$3d72859218d05528bf18d8a8468c647a /grant Wszyscy:F /T

Przeklej z okna co Ci się pokazuje.

.