picasso

Prince, nie rozumiem za bardzo kontekstu Twojego cytatu. Przywracanie systemu nie ma nic do rzeczy po formacie dysku, który wykonał: .

Używałeś ComboFix i na ten temat: KLIK. Temat przenoszę do działu Windows 7. W raportach brak oznak infekcji. Jest tylko adware, ale to drobnica. Doczyszczanie + prawidłowa deinstalacja ComboFix w spoilerze. Opisz dokładniej: jakie problemy z instalacją / jakie błędy. Z logów na razie brak konkretów. Może zacznij od sprawdzenia czy Avast tu coś nie bruździ. Owszem, w Dzienniku zdarzeń jest błąd jako przyczynę punktujący moduł osłony behawioralnej Avast, ale trudno stwierdzić na ile to "przypadkowe" (błąd może być tylko skutkiem innej usterki): Error - 2012-12-18 11:30:50 | Computer Name = skrew-Komputer | Source = Application Error | ID = 1000Description = Nazwa aplikacji powodującej błąd: mscorsvw.exe, wersja: 4.0.30319.1, sygnatura czasowa: 0x4ba1da21 Nazwa modułu powodującego błąd: snxhk.dll, wersja: 7.0.1474.765, sygnatura czasowa: 0x50905814 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00009066 Identyfikator procesu powodującego błąd: 0x6ac Godzina uruchomienia aplikacji powodującej błąd: 0x01cddd34a796adf8 Ścieżka aplikacji powodującej błąd: C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe Ścieżka modułu powodującego błąd: C:\Program Files\AVAST Software\Avast\snxhk.dll Identyfikator raportu: e66d3fc4-4927-11e2-9c31-0060b342ae4d .

Picasso był owszem wielkim malarzem. Ja jestem kobietą. Temat rozwiązany. Zamykam. .

Spider W aktualnej sytuacji nie zmieni to faktu, że na dysku już odbyły się wielokrotne zapisy pogrążające sprawę (po pierwsze: format i instalacja Windows, po drugie: praca Windows tworząca określone pliki, po trzecie: programy do odzysku danych instalowane na dysku z którego odzyskujesz). Zbyt dużo zapisów się już wykonało i szanse odzyskania plików marne. Prince To jest część Przywracania systemu Vista / Windows 7, po prostu kopie cieniowe dostępne wybiórczo. Należy więc zaznaczyć: - jeśli nie ma punktów Przywracania z odpowiedniego okresu, nie ma też Poprzednich wersji z tego czasu. - jeśli Przywracanie systemu było wyłączone, nie ma też Poprzednich wersji. .

Infekcja pomyślnie usunięta. Możemy kończyć: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Zaktualizuj Firefox i Operę, usuń stary Adobe Reader + Adobe Shockwave Player i jeśli potrzebne zastąp najnowszymi: KLIK. Wg raportu obecnie w systemie są wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) "Opera 11.64.1403" = Opera 11.64 Czyszczenia folderów Przywracania systemu nie zadaję. Wg OTL Extras Przywracanie jest ogólnie wyłączone. PS. I jeszcze widzę zainstalowanego potworka Gadu-Gadu 10. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. .

Temat przenoszę do działu diagnostyki infekcji, bo też jest to infekcja. Dane nie zmieniły się wcale w skróty, dane właściwe są ukryte przez atrybuty HS (ukryty systemowy) i by je widzieć należy mieć odznaczone Ukryj chronione pliki systemu operacyjnego w opcjach widoku. Infekcja ukryła dane, a na ich podstawie zrobiła widoczne skróty, by oszukać użytkownika i namówić do kliknięcia. Tak jak sam się naciąłeś. Tych skrótów nie wolno uruchamiać, one uruchamiają infekcję! Proszę się dostosować do zasad działu i dostarczyć obowiązkowe logi: KLIK. Dodatkowo: dodać log USBFix z opcji Listing (a nie Research jak podane). .

Wszystko wygląda na wyczyszczone, tak więc czy problemy gdzieś się jeszcze ujawniają? Na zakończenie: 1. Korekta domyślnych wyszukiwarek IE po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{477C2468-AEFD-40E7-7C40-0D0249DF743C}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C8173A19-9C49-4825-A645-DFA49E0A606A}] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery. C:\Users\Ryszard\Desktop\Stare dane programu Firefox C:\Users\Ryszard\Doctor Web 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu obecnie krytyczny poziom aktualizacji Vista oraz zainstalowane wersje: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.19088) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216020F0}" = Java™ 6 Update 20 "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33 "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9 "{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 W podsumowaniu: odinstaluj wszystkie wyliczone tu pozycje Adobe + Java i zastąp najnowszymi, zaktualizuj OpenOffice.org, zainstaluj SP dla Microsoft SQL Server 2005 (KB913089) oraz wykonaj pełną aktualizację Vista (SP2 + IE9 + reszta łat z Windows Update). .

Uwaga na początek, pobrałeś skądś potwornie stary AdwCleaner: [2012-12-19 14:27:04 | 000,513,501 | ---- | C] () -- C:\Documents and Settings\Ania\Pulpit\adwcleaner-25.IX.exe Najnowsza wersja to daleko do przodu. Wszystko w przyklejonym: KLIK. Przechodząc do usuwania infekcji: 1. Przejdź w Tryb awaryjny Windows (loguj się na konto Ania a nie Administrator). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Ania\wgsdgsdgdsgsd.dll C:\Documents and Settings\Ania\Menu Start\Programy\Autostart\runctf.lnk :OTL O3 - HKU\S-1-5-21-527237240-2146861641-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0017-0000-0009-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_09-windows-i586.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Senfilt.sys -- (SenFiltService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AEAudio.sys -- (AEAudioService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przejdź z powrotem w Tryb normalny. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Podałam Ci: chcesz szukać malware, skanery do tego są. Nikt tu nie wymyśli nic porażającego inteligencją. Swoją drogą to mnie zaczyna dziwić o jakich "świeżo kupionych" myślisz, skoro szukasz w nich backdoora. To nasuwa nieodparte skojarzenia z lewymi / pirackimi Windowsami. .

To mi się wydaje nieco podejrzane. Na wszelki wypadek podaj mi skan SystemLook na warunki: :regfind J:\Program Files J:\PROGRA~1 Jakie programy? .

Usuwanie ukończone, więc standardowo Sprzątanie w OTL + czyszczenie folderów Przywracania systemu. I zamień Java 7 Update 9 na dziesiątkę. Niestety źródło tego malware jest dla mnie nadal tajemnicą. Jeszcze zapytam: jak dobrze usuwałeś poprzedni Skype, co kasowałeś (które foldery i klucze w rejestrze) przed instalacją najnowszego, czy ze starego Skype coś przenosiłeś do nowego? .

1. Nie wszystko się wykonało. Nadal widzę to: O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Admin\Dane aplikacji\msconfig.dat) - File not found Start > Uruchom > regedit i wejdź do klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Ze środka skasuj wartość Shell. 2. W OTL uruchom Sprzątanie, co skasuje z dysku OTL i kwarantannę. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wymagają aktualizacji te pozycje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9 "ENTERPRISE" = Microsoft Office Enterprise 2007 Odinstaluj stary Adobe Reader i nienajnowszą Java oraz zainstaluj SP3 dla Office 2007: KLIK. Uwaga poboczna: jest tu zainstalowany potwór Gadu-Gadu 10. Już Ci kiedyś mówiłam o alternatywach (KLIK). Do wglądu wątek: KLIK. I pomoże pomóc coś w stylu SandBoxie. .

Nie ma "uniwersalnej metody". Sprawdzian logów + skan narzędziami anty-malware i tyle. Poza tym, cóż to za "źródła" Windows, skoro szukasz takich rzeczy. Z Warezów / torrentów = owszem, można podejrzewać. .

Infekcja usunięta. Kończymy: 1. W międzyczasie używałeś AdwCleaner. Nie zalecałam tego. W związku z tym należy poprawić, bo narzędzie dodało wpisy, których nie ma tu być. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Sprawdź wersję Google Chrome, usuń stare Adobe Reader + Adobe Shockwave Player + Java na korzyść najnowszych oraz zaktualizuj Windows, bo obecnie stan krytyczny aktualizacji (brak SP3 + IE8 + reszty łat wydanych po): Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Adobe Shockwave Player" = Adobe Shockwave Player 11 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-527237240-651377827-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome .

Hmm, to pokaż jak te klucze reguł wyglądają po imporcie + czy są jakieś polityki w rejestrze. Do SystemLook wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess /s HKEY_LOCAL_MACHINE\SOFTWARE\Policies /s .

1. Masz zainstalowany mix Avast + Symantec. Symantec jest niepoprawnie usunięty. Wejdź w Tryb awaryjny i zastosuj Norton Removal Tool. 2. Odinstaluj stary problematyczny firewall NVIDIA ForceWare Network Access Manager oraz również stary COMODO Firewall Pro. 3. Wyłącz ze startu zbędne wpisy. Uruchom Autoruns i w karcie Logon odznacz: O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)O4 - HKLM..\Run: [AdobeAAMUpdater-1.0] C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [AdobeCS5ServiceManager] C:\Program Files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) O4 - HKLM..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe (Logitech Inc.) O4 - HKLM..\Run: [LogitechCameraService(E)] C:\WINDOWS\System32\ElkCtrl.exe (Logitech Inc.) O4 - HKLM..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe (Logitech Inc.) O4 - HKLM..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE (Logitech Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [switchBoard] C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe (Adobe Systems Incorporated) O4 - HKLM..\Run: [TkBellExe] C:\program files\real\realplayer\update\realsched.exe (RealNetworks, Inc.) O4 - HKU\S-1-5-21-299502267-484763869-839522115-1004..\Run: [KiesPDLR] C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe () O4 - HKU\S-1-5-21-299502267-484763869-839522115-1004..\Run: [KiesPreload] C:\Program Files\Samsung\Kies\Kies.exe (Samsung) W karcie Services: SRV - [2010-03-18 10:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)SRV - [2010-02-19 12:37:14 | 000,517,096 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe -- (SwitchBoard) SRV - [2005-01-31 08:45:20 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto | Running] -- C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper) Przy okazji w karcie Drivers pousuwaj te martwe wpisy: DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbvoice.sys -- (ZTEusbvoice)DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mfpvbus.sys -- (WUSBVBus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS -- (WFIOCTL) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\PRINTS~1\BIADMIN\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\massfilter.sys -- (massfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mfpcomp.sys -- (AliWGP) DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\mfpec.sys -- (ALIWEHCD) 4. Jest tu adware. Na początek w Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Po tym uruchom AdwCleaner i zastosuj Delete. 5. Start > Uruchom > regedit i skasuj klucz z wpisami infekcji z USB: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 6. Zrób nowy log OTL z opcji Skanuj do oceny. Dołącz raport utworzony przez AdwCleaner. Raczę zwrócić uwagę: jeśli szukasz rootkitów to nie OTLem, tylko GMER. Ale na razie to sobie odpuść, ze względu na bajzel widoczny powyżej. .

Poczta, serwisy społecznościowe, banki...

Uprawnienia usługi BFE są niepoprawne. Wracasz do tematu rekonstrukcji usług zapory i przez SetACL ładujesz uprawnienia dla BFE. Restart systemu. Logi już oceniłam, nie ma żadnych śladów ZeroAccess. Przypominam co wywalałeś: Temat się zaczął od tego, że w ogóle nie było usługi BFE, bo ją własną ręką załatwiłeś wg tego co napisane. .

Wszystko zrobione prawidłowo. Kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Aktualnie w systemie brak SP1 dla Windows 7 oraz są zainstalowane wersje: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 37 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish "Opera 12.02.1578" = Opera 12.02 Czyli: usuń starsze Adobe Reader + Java i zastąp najnowszymi, zaktualizuj Operę, wykonaj pełną aktualizację Windows 7 z Windows Update. .

1. Przez Panel sterowania odinstaluj McAfee Security Scan Plus (sponsor paczek Adobe) oraz Skaner on-line mks_vir (archaizm). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: IWBQAGNT = rundll32 "C:\WINDOWS\system32\desktopw.dll",Rmlmu [2011-01-22 14:37:55 | 000,110,592 | RHS- | C] () -- C:\WINDOWS\System32\desktopw.dll [2012-12-19 16:32:09 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group [2012-08-10 23:48:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\rampa\Dane aplikacji\ArcaVirMicroScan FF - HKCU\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I jeszcze pytanie: czy dostęp np. do Opcji folderów oraz określonych apletów Panelu sterowania został celowo zabroniony? .

Coś jednak nie jest wykonane jak należy, bo ten błąd oznacza, że nie startuje usługa od której zależy usługa Zapory. Pokaż nowy log z Farbar Service Scanner. .

Tu jest także nieprawidłowo wyczyszczona poprzednia infekcja UKASH (wariant z msconfig.dat). 1. Przejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Admin\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\Admin\wgsdgsdgdsgsd.dll C:\Documents and Settings\Admin\Dane aplikacji\msconfig.ini :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- :OTL O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKLM..\Run: [VDownloader] C:\Program Files\VDownloader\VDownloader.exe /silent File not found O4 - HKCU..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.4.0/jinstall-1_4_0_03-windows-i586.cab" (Reg Error: Value error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przejdź w Tryb normalny Windows. Przez Dodaj/Usuń programy odinstaluj McAfee Security Scan Plus (sponsor paczek Adobe). 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

1. Firefox: wyczyść z adware za pomocą menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Google Chrome: W sekcji "Po uruchomieniu" z listy stron startowych usuń stronę search.babylon.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. W Rozszerzeniach odinstaluj Babylon Toolbar, Funmoods. 3. Usuń to co znalazł MBAM. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0CtByCyBtCyDtC0AtAzzyDyDzztN0D0Tzu0StBtCyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=720781432" IE - HKU\S-1-5-21-2402518845-2310994751-80825991-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.3.0&install_country=NO&install_date=20111023&user_guid=C4F4FAF4EB2D4F20A26472F4F82FA83C&machine_id=93c1d1e646401f07ea5b358b1e1a30ac&browser=IE&os=win&os_version=6.0-x86-SP1&iesrc={referrer:source}" IE - HKU\S-1-5-21-2402518845-2310994751-80825991-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=010812_newm_3112_8&babsrc=SP_ss_cr&mntrId=f0208558000000000000001c267151a3" IE - HKU\S-1-5-21-2402518845-2310994751-80825991-1003\..\SearchScopes\{477C2468-AEFD-40E7-7C40-0D0249DF743C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYNO&apn_uid=D1467A3A-F8E2-44E8-80C6-41BECECEDBD0&apn_sauid=8F98C877-E6CF-4EA8-A331-4AC73D194442" IE - HKU\S-1-5-21-2402518845-2310994751-80825991-1003\..\SearchScopes\{F6CDAE2B-DC7B-4B36-971D-65E6BB3FCF0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0CtByCyBtCyDtC0AtAzzyDyDzztN0D0Tzu0StBtCyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=720781432" O4 - HKLM..\Run: [Acer Tour] File not found O4 - HKLM..\Run: [eRecoveryService] File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab" (Reg Error: Value error.) SRV - File not found [Auto | Stopped] -- c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe /h ccCommon -- (CLTNetCnService) [2012-08-04 21:46:24 | 000,000,000 | ---D | M] -- C:\Users\Ryszard\AppData\Roaming\Babylon [2012-08-04 21:46:41 | 000,002,361 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-08-04 22:00:17 | 000,384,844 | ---- | C] () -- C:\Users\Ryszard\AppData\Local\funmoods-speeddial.crx :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Backup.Old.Start Page"=- "SearchMigratedDefaultName"=- "SearchMigratedDefaultURL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Na zakończenie: 1. Odinstaluj starsze Java 6 i Silverlight oraz zaktualizuj Firefox i OpenOffice.org. Wg raportu obecnie masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 35 "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 10 "Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) 2. Prewencyjnie zmień hasła logowania w serwisach. .

Na zakończenie jeszcze: 1. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw narzędzie Fix-it: KB2545227. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Sprawdź czy wtyczka Adobe Flash w wersji Internet Explorer jest najnowsza + zainstaluj SP1 dla Office 2010: KLIK. To już znacznie bardziej prawdopodobne jako powiązane ze spowolnieniem systemu. .