picasso

Brak oznak czynnej infekcji. Tylko plik jwgkvsq.vmx oraz adware i to wymaga interwencji: 1. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, DownloadnSave, Wincore MediaBar. Będzie przypuszczalny problem z pełną deinstalacją DownloadnSave, bo ComboFix go pociął już w niezbyt elegancki sposób. Od razu też pozbądź się zbędnego GeekBuddy od COMODO. 2. Otwórz Google Chrome (przez obejście z "no sandbox"). W sekcji "Po uruchomieniu" wymaż z listy stron startowych search.babylon.com + ustaw na "Otwórz stronę nowej karty". W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=1&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-1761227230-3511924643-2925020380-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112475&babsrc=SP_ss&mntrId=ec204dfc00000000000078dd08f970ff" IE - HKU\S-1-5-21-1761227230-3511924643-2925020380-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=1&sr=0&q={searchTerms}" O2 - BHO: (DownloadnSave Class) - {FA949095-EED4-433E-9390-F06F7B2497AA} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. [2011-12-16 01:10:53 | 000,000,072 | ---- | C] () -- C:\Users\Pasieka\jwgkvsq.vmx :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Jeśli czyszczenie Google Chrome z adware Babylon nie będzie mieć skutku, to nasuwa się: 1. Kolizja określonych rozszerzeń / wtyczek. Wg OTL tak jakby tylko wtyczki były a nie rozszerzenia: ========== Chrome ========== CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\23.0.1271.97\PepperFlash\pepflashplayer.dll CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\23.0.1271.97\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\23.0.1271.97\pdf.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: Java Deployment Toolkit 6.0.300.12 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll CHR - plugin: Java™ Platform SE 6 U30 (Enabled) = C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll CHR - plugin: Microsoft Office 2010 (Enabled) = C:\PROGRA~2\MICROS~1\Office14\NPSPWRAP.DLL CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll CHR - plugin: Windows Live\u0099 Photo Gallery (Enabled) = C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll CHR - plugin: Unity Player (Enabled) = C:\Users\Pasieka\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_5_502_135.dll CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\npctrl.dll W pasku adresów po kolei wklep adresy chrome://plugins + na wszelki wypadek i chrome://extensions (nie dowierzam zbyt OTL na temat poboru konfiguracji Google Chrome), wyłącz wszystko co dodane wtórnie i po tym sprawdź co się dzieje z uruchamianiem Google Chrome. 2. Problem może też tworzyć COMODO Internet Security i funkcja Defense+. .

Usuwanie się wykonało, tylko drobne korekty i kończymy: 1. Poprawka na zawartość głównych folderów dysków. Upewnij się, że masz włączone opcje Widoku w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Ręcznie skasuj z dysków skróty, pliki autorun.inf oraz obiekty których nie rozpoznajesz. Dodatkowo jeszcze ten szczątkowy folder: C:\ProgramData\SaveByclick 2. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Porównaj co wymaga aktualizacji: KLIK. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Aneta\wgsdgsdgdsgsd.dll C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\dsgsdgdsgdsgw.js C:\Users\Aneta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Aneta\AppData\Roaming\OpenCandy :OTL IE - HKU\S-1-5-21-606138750-3606273870-274665690-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=UTR&o=10148&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=A2&apn_dtid=YYYYYYYYPL&apn_uid=6D728A67-16AC-48FE-A3DA-8FAE97741002&apn_sauid=98387CB6-843F-4718-87EF-34EC3B97876D" IE - HKU\S-1-5-21-606138750-3606273870-274665690-1001\..\SearchScopes\{562B43F5-DB20-4AA7-83C0-A8135BFBF0A8}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Panel sterowania odinstaluj adware Ashampoo PO Toolbar, Ask Toolbar, McAfee Security Scan Plus oraz zbędny Yahoo! Software Update. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Jeszcze zostały do korekty drobne rzeczy po adware. Na razie to zostawiam. Wg raportu OTL skojarzenie główne EXE jest poprawne: O35 - HKLM\..comfile [open] -- "%1" %*O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* Roso, uściścij kiedy Ty widzisz ten komunikat (przy starcie systemu czy podczas jego normalnej pracy w losowych momentach) i jaka nazwa pliku na nim widnieje: Wg tego co zakreślone, Ty widzisz tam jakiś bardzo konkretny plik na komunikacie. .

Infekcja usunięta. 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_USERS\S-1-5-21-725345543-583907252-839522115-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-725345543-583907252-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :OTL IE - HKU\S-1-5-21-725345543-583907252-839522115-1003\..\SearchScopes\{3DED77DF-0F6B-49C1-A595-5EDFEE3FCE86}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=IMH6&o=2467&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^A45&apn_dtid=^YYYYYY^YY^PL&apn_uid=3f06820a-f331-4ef9-bb7d-646a8464a9b2&apn_sauid=A2D69605-ECAA-4BF0-98E6-0A61CB4AB3BC&atb=sysid%3D406%3Aappid%3D102%3Auc" O3 - HKU\S-1-5-21-725345543-583907252-839522115-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-725345543-583907252-839522115-1003..\Run: [GameTracker] C:\Program Files\GameTracker\GTLite.exe File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Porównaj co wymaga aktualizacji: KLIK. .

Nowy log jest zupełnie nieczytelny. Pobierz załącznik i sprawdź = wszystkie linii sklejone razem. Poproszę o nowy log OTL.

Infekcja policyjna nie została usunięta do końca, jest naruszona usługa Instrumentacji Windows oraz plik na dysku: ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\Users\PB\wgsdgsdgdsgsd.dll -- (Winmgmt) ========== Files/Folders - Created Within 30 Days ========== [2012-12-21 14:07:26 | 000,002,814 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.js 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.js :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Wypowiedz się też wyraźnie czy po korekcie usługi WMI Centrum zostało ożywione. .

Dla formalności podaj jaki. Poza tym, są w logu widoczne różne rzeczy wymagające korekty, czyli adware oraz zawieszanie usługi Hewlett-Packard (powinieneś widzieć też problem z długim startem systemu): Error - 2013-01-06 06:33:08 | Computer Name = ASUS-PC | Source = Service Control Manager | ID = 7022Description = Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. 1. Start > Uruchom > services.msc i na liście wyszukaj usługę HP CUE DeviceDiscovery. Z dwukliku wejdź do Właściwości i ustaw Typ uruchomienia na Wyłączony. 2. Odinstaluj adware TUTO4PC oraz Iminent, o ile to nie był właśnie ów "program" już usunięty. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Na zakończenie: 1. Korekta domyślnych wyszukiwarek Internet Explorer. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24DB7D2D-A426-4aa3-BC54-6B2F30566323}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{294899BB-0B77-44a3-9550-A7194D58448C}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{7AD08D66-BA5F-4DDD-A429-1994E98516D7}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B2A5487A-B72A-4CEA-B050-2DE8BC2EEEEB}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B7F4B9AF-D84A-4A0E-8EE9-57E309E0E2B5}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{38E5DF74-C1D8-46E9-A887-9494FA3D67EB}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: W OTL uruchom Sprzątanie. W AdwCleaner użyj Uninstall. Przy czym, AdwCleaner uruchamiałeś ze ścieżki i tę ponownie musisz zwizytować: C:\Users\Kamil2\AppData\Local\Opera\Opera x64\temporary_downloads\AdwCleaner.exe 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie w raporcie notowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416030FF}" = Java™ 6 Update 30 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F86417003FF}" = Java™ 7 Update 3 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 35 "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 Wszystkie Adobe i Java odinstaluj, następnie zainstaluj najnowsze. .

martha w ramach finalizacji tematu: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Porównaj co wymaga aktualizacji: KLIK. .

Nie rozumiem. Czy to oznacza że infekcja Qooqlle wróciła? Jeśli tak, wymagane nowe raporty. Dodaj raporty OTL z obu systemów. Format tamtego owszem można zrobić, choć na razie nie wiadomo co tam jest. Po pierwsze: infekcja Qooqlle (i inne notowane wcześniej u Ciebie) nie jest "przenośna" i uruchomienie drugiego systemu nie wpływa na jej objawienie na innym systemie. Infekcja Qooqlle ma źródło w paczkach pobranych z torrent (przede wszystkim lewe kodeki, ale ktoś mi mówił też o innych aplikacjach, podejrzewałam też kiedyś crack do Wiedźmina) i to uruchomienie określonej aplikacji inicjuje ją. Inne z kolei nabyte poprzez odwiedzenie określonego szkodliwego URL. Ogólnie: tu zdiagnozowane u Ciebie infekcje po uruchomieniu na jednym systemie powinny działać tylko na tymże bez wpływu na inny zainstalowany system operacyjny. Jest tu jednak możliwy wariant: w systemie poszkodowanym masz ciągle źródło infekcji, np. jakiś "instalator", którego uruchamianie w regularnych odstępach czasu przywraca Qooqlle. Po drugie: opisywane objawy z myszką nie powinny być związane z Qooqlle (to prymityw i nie ma związku z urządzeniami), również nikt tu nigdy czegoś takiego nie raportował. Jeśli chodzi Ci o błąd z VD_FileDisk, to jest to sterownik wtyczki VirtualDisk do Total Commander (KLIK): DRV - [2006-01-13 14:00:52 | 000,015,872 | ---- | M] (Flint Incorporation) [Kernel | System | Stopped] -- C:\Windows\SysWow64\drivers\vd_filedisk.sys -- (VD_FileDisk) Bardzo stary jak widać i 32-bitowy, niezgodny z x64 i Windows go blokuje. Serwis VD_FileDisk możesz usunąć posługując się Autoruns (karta Drivers), a po tym dokasuj plik C:\Windows\SysWow64\drivers\vd_filedisk.sys ręcznie z dysku. Linia ta nadal widoczna w ostatnim dostarczonym OTL. Wpis również możesz usunąć za pomocą Autoruns (karta Logon). Link do oficjalnego tutoriala OTL jest przecież w przyklejonym. Tutorial wyjaśnia tylko budowę narzędzia, reszta wiedzy to już wiedza o samym systemie. .

Zadania pomyślnie wykonane. Na zakończenie: 1. Korekta domyślnych wyszukiwarek Internet Explorer. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{230B9B3D-414A-4060-8829-8D1B2671CB4E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{230B9B3D-414A-4060-8829-8D1B2671CB4E}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{5EC16D9D-710C-4AC2-BE04-2A33B0A415DD}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{5EC16D9D-710C-4AC2-BE04-2A33B0A415DD}] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Porównaj co wymaga aktualizacji: KLIK. .

Nie podałeś obowiązkowego raportu z GMER. I jaki był powód wyboiru DDS zamiast obowiązkowego OTL? 1. Przez Panel sterowania odinstaluj adware StartNow Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives $RECYCLE.BIN /alldrives C:\Recycled C:\FOUND.000 F:\*.lnk G:\*.lnk H:\*.lnk I:\*.lnk J:\*.lnk K:\*.lnk L:\*.lnk N:\*.lnk O:\*.lnk P:\*.lnk Q:\*.lnk R:\*.lnk S:\*.lnk T:\*.lnk attrib /d /s -s -h I:\* /C attrib /d /s -s -h J:\* /C attrib /d /s -s -h K:\* /C attrib /d /s -s -h L:\* /C attrib /d /s -s -h M:\* /C attrib /d /s -s -h N:\* /C attrib /d /s -s -h P:\* /C attrib /d /s -s -h Q:\* /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób log OTL z opcji Skanuj + zaległy GMER. Dołącz log utworzony przez AdwCleaner. .

Conor29134 Przekombinowałeś. W spoilerze komentarz. Na jakiej to podstawie? damascus7 Nie został uzupełniony ten wpis. Jak mówię w spoilerze, jest to obiekt MSI nVidia związany z podkręcaniem karty. Co do reszty: - Używałeś ComboFix (brak o tym wzmianek) oraz SpyHunter (program naciągacz, skasuj z dysku). ========== Processes (SafeList) ========== PRC - [2013-01-01 13:33:41 | 032,397,464 | ---- | M] () -- C:\OTL\SpyHunter 4.9.10.3956 Incl.Patch-[Aru]\spyhunterS4.exe - Wymagane poprawki, bo infekcje wcale nie zostały usunięte do końca. W pierwszym OTL polisa HideSCAHealth + wpis VFPlugin + adware w Firefox, w OTL Extras na liście zainstalowanych wpis "Live Security Platinum" oraz autoryzacje trojanów w zaporze i nie było to adresowane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_USERS\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :OTL O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found. O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: VFPlugin = C:\Users\Synek\AppData\Roaming\92E0C4.exe :Files C:\Program Files (x86)\Mozilla Firefox\extensions\{86009AEF-9162-4EBC-B698-FF71D7B6B049} C:\Program Files (x86)\mozilla firefox\searchplugins\seekservice127.xml C:\Users\Bartek\AppData\Roaming\ProgSense C:\Users\oem\AppData\Roaming\ProgSense C:\Users\Synek\AppData\Roaming\dclogs C:\Users\Synek\AppData\Roaming\Megaupload C:\Users\Synek\AppData\Roaming\MegauploadToolbar C:\Users\Synek\AppData\Roaming\ProgSense C:\found.* netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj oraz Farbar Service Scanner. .

Mówiłam wyraźnie: brak oznak wirusów / infekcji. I nie wyjaśniłeś nadal o co Ci w ogóle chodzi z tytułem tematu "wirusy policyjne". Natomiast czyszczenie z adware wygląda na zapełnie nie wykonane, chyba że logi z konta Blue pochodzą sprzed procesu czyszczenia. .

Temat doprowadzam do porządku. Posty sklejam. Nadwyżkę logów usuwam (jeśli podany OTL, to daruj sobie RSIT). Za to nie ma tu obowiązkowego raportu z GMER. OTL jest bardzo ograniczony i nie pokazuje rzeczy ukrytych. Na razie: śladów infekcji brak, z zakresu adware do usunięcia plik C:\Program Files\mozilla firefox\searchplugins\v9.xml. To się nasuwa jako pierwsze skojarzenie, działa tu Ad-aware w kombinacji z odpadkowym archaicznym Avast, a Dziennik zdarzeń podaje, że zawiesza się jedna z usług: Error - 12-12-29 11:21:07 | Computer Name = ARDOM-B84CA7822 | Source = Service Control Manager | ID = 7022Description = Usługa Ad-Aware zawiesiła się podczas uruchamiania. Zacznij od usunięcia całego oprogramowania zabezpieczającego: 1. Na liście Dodaj/Usuń programy powinna być pozycja Ad-Aware Antivirus umożliwiająca normalną deinstalację. 2. Natomiast szczątki Avast już nie tym sposobem. Przejdź w Tryb awaryjny i zastosuj Avast Uninstall Utility. Spójrz w OTL Extras na listę zainstalowanych programów: nie ma Avast wcale, a ten drugi ma konkretną nazwę wyświelaną (Ad-Aware Antivirus a nie Sunbelt Software). .

1. Odinstaluj SaveByclick w dwóch miejcach: w Firefox w Dodatkach oraz poprzez Panel sterowania. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL F3 - HKU\S-1-5-21-1009119956-1279871537-1055703280-1001 WinNT: Load - (C:\Users\SMAKOW~1\LOCALS~1\Temp\msiffavav.pif) - C:\Users\SMAKOW~1\LOCALS~1\Temp\msiffavav.pif (Divine ) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Basia\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz USBFix z opcji Listing. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\RunOnce: [4D04EACE2C02ECD000004D049DCEF234] C:\ProgramData\4D04EACE2C02ECD000004D049DCEF234\4D04EACE2C02ECD000004D049DCEF234.exe () :Files C:\ProgramData\4D04EACE2C02ECD000004D049DCEF234 C:\Users\Właściciel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\Users\Właściciel\Desktop\System Progressive Protection.lnk :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. .

Post wprowadzający w błąd na temat zalogowanych kont usuwam. Nadwyżkę logów usuwam: marcin00 ten drugi zestaw logów zrobiony źle (ustawione wyszukiwanie plików z całego zakresu czasowego a nie 30-dni). Zostawiam tylko właściwsze logi. Następnie: uruchamiałeś ComboFix i nie ma tu wzmianki o tym ani podanego raportu co robił. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.js :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Services MSICDSetup catchme XDva397 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatywierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Przypominam: szukanie plików na 30-dni. .

Tylko na prośbę moderatora (proszę nie załączać, o ile nie padnie taka prośba) GMER Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 RTM 32-bit i 64-bit Strona domowa Proszę wybrać link numer jeden: http://www2.gmer.net/download.php http://www2.gmer.net/gmer.zip Każdorazowy klik generuje plik EXE o innej nazwie. Jest to zalecana wersja o charakterystyce losowej. Proszę mieć na uwadze, że obecnie są infekcje reagujące na słowo "gmer" i skutecznie blokujące pobranie i uruchomienie programu. Niestety nie da się tego uniknąć, musiałyby zostać usunięte wszystkie hasła "gmer" i odnośniki. Proszę nie pobierać wersji wynalezionych gdzieś na Google, czy linkowanych w portalach oprogramowania. Przygotowanie prawidłowego podłoża do uruchomienia programu: Sterownik + procedury skanujące wywoływane przez aplikację mogą wejść w kolizję z innym oprogramowaniem, które stosuje techniki niskopoziomowego dostępu / wykazuje aktywność rootkit-podobną. Widocznym znakiem może być: zawieszenie programu, jego natychmiastowe zamykanie się z błędem, fatalny niebieski ekran śmierci (na komputerach z zaznaczoną opcją auto-resetu BSOD zostanie przykryty samoresetem komputera). Wirtualne napędy (Alcohol / DAEMON i podobne): Ten typ albo całkowicie uniemożliwia uruchomienie GMER, a jeśli nawet zdoła on wykonać zadanie, wynikowy log jest zaciemniony i prawdziwa infekcja może być ukryta "pod" działaniem tego softu. Niezbędnym jest usunięcie tego na czas diagnostyki. Szczegółowy opis eliminacji jest zlokalizowany w powyżej. Niezależnie od tego co się danemu użytkownikowi wydaje, powinien sprawdzić dokładnie czy przypadkiem nie ma w systemie czynnej emulacji. Znam takich, którzy zapewniali, że odmontowali lub nie posiadają wcale. Logi wykazały coś wręcz przeciwnego. Należy zwrócić uwagę, że prosta deinstalacja danego oprogramowania nie usuwa sterownika SPTD i może pozostać on w formie czynnej, zresztą sterownik ten to nie jedyna możliwość w obszarze sterowników emulacji. Należy maksymalnie zredukować liczbę pracujących w tle procesów, w tym wyłączyć oprogramowanie zabezpieczające typu antywirus / firewall etc. Wprawdzie te akcje nie zdejmą określonych aktywności w sposób całkowity, ale w tym przypadku trudno jest namawiać użytkownika, by deinstalował wszystko z systemu. Pierwsze uruchomienie / konfiguracja programu / zapis raportu: 1. Pobrany wcześniej plik EXE uruchamiamy przez dwuklik. Windows 10 - Vista: wymagany tryb administracyjny i potwierdzenie dialogu UAC. 2. Aplikacja otwiera się automatycznie w karcie Rootkit/Malware. Inicjuje się automatycznie pre-skanowanie, o formie skróconej. Proszę cierpliwie przeczekać ten etap. Niezależnie od tego czy okno finałowe będzie puste, czy pojawi się w nim określony odczyt, czy będzie zgłoszenie o rootkicie, należy wywołać kompletne skanowanie systemu - patrz na punkt 3. Wielu użytkowników na forum zakańcza zadanie z GMER na tym etapie, silnie zasugerowanych, że pojawiło się coś w oknie, ergo jest to wynik końcowy. Wyniki z wstępnego skanowania mogą być rozbieżne od wyników skanowania pełnego. Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane! 3. Przed uruchomieniem skanu pełnego należy zweryfikować ustawienia skanera (patrz na powyższy obrazek). Proszę zostawić wszystko na domyślnej konfiguracji i nie zmieniać układu proponowanego domyślnie. Tzn.: Wszystkie boxy od pozycji "System" do "Pliki" + "ADS" powinny być zaptaszkowane. Opcja "Pokaż wszystko" powinna pozostać odptaszkowana i zszarzona w takiej konfiguracji. W sekcji dysków twardych domyślnie będzie zaznaczony tylko dysk systemowy (tu w przykładzie C:). Przy obecności większej ilości dysków pozostałe są odptaszkowane i proszę ich nie nie zaznaczać. Interesuje nas tylko partycja systemowa. Zaznaczenie wszystkich dysków spowoduje też potworne wydłużenie się skanowania, bez widocznych benefitów w "rozszerzonym raporcie". 4. Po upewnieniu się w kwestii prawidłowości ustawień należy kliknąć w buttonik Szukaj. Rozpocznie się skanowanie właściwe zobrazowane przez zmieniające się lokalizacje na spodzie okna GMER i zamianę buttonika Szukaj w Stop: W zależności od dostępnych zasobów systemowych, rozległości skanowanego dysku, oraz innych czynników skanowanie może długo trwać (nawet kilka godzin). Proszę cierpliwie czekać, zostawić system "na bezczynności" dopóki GMER wykazuje objawy życia. Znakiem ukończenia skanowania jest zmiana buttonika "Stop" w "Szukaj". Wynikowa zawartość okna może być znacznie szersza niż z początkowego pre-skanowania: Jeżeli wśród obiektów wystąpi zjawisko rootkit, korespondujące wyniki zostaną zamalowane na czerwono, a GMER w osobnym okienku to ogłosi: Przy komunikacie o obecności rootkita, proszę nie podejmować żadnych akcji dezynfekcyjnych. Wyniki muszą zostać zweryfikowane! 4. Po ukończeniu skanu należy wybrać buttonik Kopiuj. Pojawi się poniższy komunikat. Log jest w schowku. CTRL+V do Notatnika (lub posta), by zachować / wkleić wyniki. Wielu użytkowników nie czyta tego fragmentu i się dziwi, że nie może dołączyć raportu (błąd załączników "Nie masz uprawnień..."). Jest dobrana opcja Kopiuj i ręczny zapis do pliku *.TXT a nie Zapisz tworząca plik o rozszerzeniu *.LOG zabroniony w załącznikach forum. W przypadku wystąpienia trudności: 1. Jeżeli GMER przechodzi pomyślnie preskan, ale nie jest możliwe wykonanie skanowania pełnego, proszę umieścić w poście skopiowane wyniki preskanu, o ile wynik jest inny niż puste okno. 2. Na okoliczność zawieszeń programu / wystąpień błędów / BSOD pomocna może się okazać redukcja procesów, to znaczy próba uruchomienia programu z poziomu Trybu awaryjnego Windows. Należy jednak zwrócić uwagę, że raport powstały z poziomu Trybu awaryjnego może nie wykazać wszystkich aktywności rootkit (to zależy jeszcze od typu infekcji). Kilku użytkowników zgłosiło mi problem obciętego okna GMER w Trybie awaryjnym (obrazek). Nie udało mi się zreprodukować tego efektu (zapewne coś do rzeczy ma określona rozdzielczość ekranowa), ale było to dawno temu już raz przeze mnie rozwiązywane. Powinna metoda działać i dziś. Należy posłużyć się narzędziem ResizeEnable i za jego pomocą wymusić rozciągnięcie okna GMER, by uwidocznić buttoniki. Zmiana jest sesyjna, zachodzi tylko podczas działania narzędzia ResizeEnable. 3. Jeżeli w ogóle jest niemożliwe uruchomienie GMER, dobierzemy alternatywę. W temacie z prośbą o pomoc należy dokładnie opisać wszelkie dewiacje / trudności w uruchamianiu GMER. Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Używałeś też ComboFix, a brak tu jakiejkolwiek wzianki o tym. To nie infekcja. Sterowniki o modelu nazwy XDva_numery.sys (zawsze oznaczone w raportach jako "not found") są tworzone przez zabezpieczenie gier XTrap. Natura tych sterowników może poruszyć antywirusy, które widzieć tam będą "rootkita". Wyniki do zignorowania. XTrap tu definitywnie jest: ========== Processes (SafeList) ========== PRC - [2012-12-29 23:17:27 | 001,251,776 | ---- | M] (Wiselogic Co., Ltd.) -- D:\GAMIGO\LastChaosPoland\Bin\XTrap\XTrap.xt ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva400.sys -- (XDva400) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva399.sys -- (XDva399) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva396.sys -- (XDva396) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393) Sterowniki XTrap możesz usunąć - np. za pomocą Autoruns (karta Drivers) - ale ponowne uruchomienie XTrap znów je utworzy. Tylko do wyczyszczenia szczątki adware i Firefox: 1. Otwórz Google Chrome. W zarządzaniu wyszukiwarkami przestaw domyślną z Ask na Google, po tym Ask usuń z listy. W Rozszerzeniach odinstaluj wxDownload. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\wxDownload C:\Documents and Settings\Admin\Dane aplikacji\Babylon C:\Documents and Settings\Admin\Dane aplikacji\OpenCandy C:\Documents and Settings\Admin\Dane aplikacji\SzybszyPC C:\Documents and Settings\Admin\Dane aplikacji\YourFileDownloader C:\Documents and Settings\Admin\Dane aplikacji\Mozilla C:\Program Files\mozilla firefox :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1715567821-2077806209-842925246-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_5&babsrc=SP_ss&mntrId=2015454700000000000000123f5109d2" IE - HKU\S-1-5-21-1715567821-2077806209-842925246-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={CB52C8D5-E318-42DD-8C39-DAD973FF5D7B}&mid=c88211f25b3d47d1b340d15b79b5e021-45de1076783d0504c79ba3cc46f29b061e8e6ddd&lang=pl&ds=AVG&pr=fr&d=2012-06-05 17:52:26&v=11.0.0.9&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1715567821-2077806209-842925246-1003\..\SearchScopes\{ACDD1DE7-1B28-41E0-B043-87138B3FBBDD}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Admin\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Żródłem infekcji jest paczka Mega Codec Pack i będzie ona usuwana. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system, by ukończyć naprawę pliku. Jeśli jednak pojawi się tu jakiś błąd, STOP, nie przechodź do wykonania dalszych czynności, tylko od razu zgłoś się na forum. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zresetuj system w celu ukończenia naprawy łańcucha sieciowego. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{c9fa579d-6767-efae-6208-8e0dfcd54957} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\MAKU\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Program Files (x86)\Mega Codec Pack :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-1582668558-4123797673-3281080622-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={EF75A248-6CFA-4E2E-A3ED-CB8AC261BF09}&mid=1f6bcfc111d747d699e9d16fff2d1218-382cbba826faf1e5addefae8a5e4a3738fe1184d&lang=pl&ds=AVG&pr=fr&d=2012-07-30 07:19:24&v=12.2.5.32&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-1582668558-4123797673-3281080622-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1582668558-4123797673-3281080622-1000\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair. 5. Napraw martwą ikonę Centrum Akcji uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 6. Odinstaluj adware: Przez Panel sterowania odinstaluj uTorrentBar Toolbar, AVG Security Toolbar, McAfee Security Scan Plus. Google Chrome: W Rozszerzeniach powtórz deinstalację uTorrentBar. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 8. Zrób nowy log OTL z opcji Skanuj (już bez Extras), Farbar Service Scanner oraz SystemLook na warunki: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers Dołącz log utworzony przez AdwCleaner. .

Nadwyżkę postów usuwam. A podany wcześniej skrypt miał błędy. Np. życzę powodzenia z przetworzeniem takich linii (rola informacyjna = "nie można pobrać danych o root wyliczonych dysków"): O32 - Unable to obtain root file information for disk G:\O32 - Unable to obtain root file information for disk H:\ TheArt Przerwa świąteczna, więc pytania czy ktoś "zagląda" są retoryczne. Masz infekcję i nie jest to infekcja typu "wstawione celowo" przez kogoś, to jest infekcja z winy niezałatanego Windows i akcji użytkownika. Infekcja charakterystyczna dla dysków przenośnych. Aktualnie u Ciebie infekcję odtwarza na dyskach zainfekowany XP (wpis w starcie). Pierwotnym nośnikiem infekcji mógł być jakiś dysk przenośny. Aktualnie zarażane są wszystkie podpinane. I jeszcze widzę zainstalowany Acronis: jeśli nim robiłeś ostatnio kopię zapasową prtycji z Windows XP, to jest ona prawdopodobnie zainfekowana. 1. Przy podpiętych dyskach przenośnych uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files sauozaw.exe /alldrives sauozaw.scr /alldrives C:\Documents and Settings\User\autorun.inf C:\Documents and Settings\User\sauozaw.exe C:\Documents and Settings\User\sauozaw.scr C:\Documents and Settings\User\*.lnk :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "sauozaw"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz USBFix z opcji Listing przy podpiętych urządzeniach przenośnych. .

1. Nie odinstalowałeś PutLockerDownloader. Info dlaczego to zadałam: KLIK. 2. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Porównaj co wymaga aktualizacji: KLIK. .

Potrzebne konkrety, czyli: 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. 2. Następnie przekopiuj na Pulpit cały katalog C:\Windows\Logs\CBS. Zapakuj do ZIP > na hosting > podaj tu link. .