picasso

Uruchomienie ComboFix było zupełnie niepotrzebne, nic z tego nie uzyskałeś. To teraz czytasz na temat używania ComboFix oraz zasady działu: KLIK + KLIK. Dostarcz obowiązujące tu raporty OTL. .

Używałeś ComboFix, na ten temat: KLIK. Zasady działu wyraźnie mówią, że jeśli już użyto go, to należy przedstawić raport, który wtedy utworzyło narzędzie. Infekcja jest, ta para plików uruchamiana przez Harmonogram: [2012-12-07 15:43:07 | 000,114,688 | RHS- | C] () -- C:\Windows\SysWow64\jsproxy9.dll[2012-12-07 15:43:07 | 000,000,304 | ---- | C] () -- C:\Windows\tasks\ipiunegfrc.job 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\jsproxy9.dll C:\Windows\tasks\ipiunegfrc.job C:\Users\Szymon\AppData\Roaming\Yqmyt C:\Users\Szymon\AppData\Roaming\Ybeci C:\Users\Szymon\AppData\Roaming\Kyzu :OTL IE - HKLM\..\SearchScopes\{A99DD8A6-84D2-4651-9E51-104100830557}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={A5962DF5-4022-4944-B638-4F828CEE93A8}" IE - HKU\S-1-5-21-999892345-320259323-2984140507-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={D8649E8E-FC37-41B0-A7AB-F72631106331}&mid=57be37af3c7247d09d25d1418cbc3edf-96632fb3e1f1ca4a9011ada962cbffcc1513a6af&lang=pl&ds=xn011&pr=sa&d=2012-09-29 21:58:31&v=13.0.0.7&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-999892345-320259323-2984140507-1001\..\SearchScopes\{A99DD8A6-84D2-4651-9E51-104100830557}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={A5962DF5-4022-4944-B638-4F828CEE93A8}" IE - HKU\S-1-5-21-999892345-320259323-2984140507-1001\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/english/?search={searchTerms}&loc=search_box_fs" IE - HKU\S-1-5-21-999892345-320259323-2984140507-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=899ed6da-0286-11e2-83de-0008ca58d72c&q={searchTerms}" :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Włącz funkcje wyłączone przez infekcję: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender też wyłączony, ale pomijam celowo (w systemie jest antywirus). Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Przesadziłeś z oprogramowaniem zabezpieczającym. Działają wspólnie G Data AntiVirus 2012 + Trend Micro Titanium Internet Security. Stary Trend Micro do deinstalacji. 4. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Deinstalator Strony V9, Internet Explorer Toolbar 4.6 by SweetPacks, LiveVDO plugin 1.3, uTorrentControl2 Toolbar. 5. Google Chrome: W Rozszerzeniach odinstaluj AVG Secure Search, LiveVDO plugin. W sekcji "Po uruchomieniu" z listy stron startowych usuń isearch.avg.com. Wyczyść Historię. 6. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 8. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz ten utworzony wtedy przez ComboFix (nie uruchamiaj narzędzia ponownie!). .

Ta treść mi sugeruje, że nie zostały przeczytane zasady działu: KLIK. Problem tworzy ta para plików infekcji: [2012-12-07 20:53:48 | 000,114,688 | RHS- | C] () -- C:\windows\SysWow64\fthsvc3.dll[2012-12-07 20:53:48 | 000,000,306 | ---- | C] () -- C:\windows\tasks\laisb.job Poza tym, tu są ślady javovej infekcji o predyspozycjach keyloggera (KLIK). W starcie masz ten wpis: O4 - HKCU..\Run: [Oracle Java] C:\windows\SysWow64\javaw.exe (Oracle Corporation) I zastanawiam się czy tu przypadkiem ten plik nie jest uruchamiany, bo to jedyny *.JAR widzialny w logu: [2012-09-02 13:14:14 | 001,335,014 | ---- | C] () -- C:\Users\Orzel\AppData\Roaming\sqlite.jar Od razu będę usuwać szczątki po COMODO. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\windows\tasks\laisb.job C:\windows\SysWow64\fthsvc3.dll C:\Users\Orzel\AppData\Roaming\sqlite.jar C:\Program Files (x86)\TornTV.com C:\Program Files (x86)\Comodo C:\ProgramData\Common Files C:\ProgramData\Comodo C:\ProgramData\CPA_VA C:\Users\Public\Documents\COMODO C:\windows\SysNative\drivers\sfi.dat C:\windows\SysWow64\lsdelete.exe C:\VritualRoot :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Oracle Java"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"=- "Start Page"="about:blank" "Start Page Restore"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :OTL IE:64bit: - HKLM\..\SearchScopes\{2F1E335A-858A-4BE9-8F6B-D0AF1D018B53}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox" IE - HKLM\..\SearchScopes\{2F1E335A-858A-4BE9-8F6B-D0AF1D018B53}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=DLCDF8&pc=MDDC&src=IE-SearchBox" IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=6cb7b66c-58b5-4a28-a929-3dffbca5a109&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=6cb7b66c-58b5-4a28-a929-3dffbca5a109&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=c4b4e48f-364f-11e1-8f22-3859f905856a&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=19946&mntrId=7c4e86d40000000000003859f905856a" O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4:64bit: - HKLM..\Run: [CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82}] C:\Users\Orzel\AppData\Local\Temp\cis23C8.exe (COMODO) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKLM..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" File not found O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Orzel\AppData\Local\Akamai\netsession_win.exe" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Włącz funkcje wyłączone przez infekcję: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender też wyłączony, ale pomijam ze względu na obecność Avast. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Przez Panel sterowania odinstaluj adware McAfee Security Scan Plus, vShare.tv plugin 1.3. 4. Wyczyść Firefox ze śmieci: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

A tu mi log z Farbar nie jest potrzebny. Problem stanowią te pliki infekcji: [2012-12-08 09:46:44 | 000,000,326 | ---- | M] () -- C:\Windows\tasks\ARBGT.job[2012-10-04 12:45:18 | 000,090,112 | RHS- | C] () -- C:\Windows\SysWow64\diskmgmtq.dll Infekcja ta wyłącza Centrum zabezpieczeń, Przywracanie systemu, Windows Defender oraz MSSE (o ile zainstalowany). Przechodząc do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\tasks\ARBGT.job C:\Windows\SysWow64\diskmgmtq.dll C:\Users\NocnyCopywriter\AppData\Roaming\Babylon :OTL IE - HKU\S-1-5-21-2303353168-2061008173-166702415-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=031012_ccp_4012_3&babsrc=SP_ss&mntrId=38b0de7600000000000016de2b810415" IE - HKU\S-1-5-21-2303353168-2061008173-166702415-1002\..\SearchScopes\{6C198FC3-2D53-4A7F-9537-16C9B0C4A8F5}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=246bc18d-3960-4cfd-9211-aa5b940c5197&apn_sauid=0B09B9A7-00C2-4000-966D-9ADDD6EC2217" IE - HKU\S-1-5-21-2303353168-2061008173-166702415-1002\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={4EEC243B-5863-483F-8F5B-26E53B2B00BD}&mid=ce9f9ed5e08447d099a2a5976d6588fe-e19b963849ce5d96751a1f866351cc2941845d60&lang=pl&ds=is015&pr=sa&d=2012-06-04 21:44:17&v=12.2.5.32&sap=dsp&q={searchTerms}" O4 - HKLM..\Run: [] File not found O20 - AppInit_DLLs: (c:\progra~3\browse~1\23762~1.17\{16cdf~1\browse~1.dll) - File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Włącz funkcje wyłączone przez infekcję: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender celowo omijam (jest Avira). Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, Avira SearchFree Toolbar plus Web Protection Updater. Tak, niestety włączenie Osłony Web w Avira było związane z instalacją śmieciarskiego paska Ask (maskowany pod nazwą "Avira SearchFree Toolbar"). 4. Google Chrome: W Rozszerzeniach odinstaluj Avira Toolbar, AVG Secure Search. W sekcji "Po uruchomieniu" z listy stron startowych usuń search.babylon.com. Wyczyść Historię. 5. Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 6. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Log z OTL nieprawidłowo zrobiony, sekcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Co to oznacza "usunąć OTL według wskazówek"? Jakich wskazówek / skąd? Tu na forum nie ma żadnego przepisu ogólnego, u każdego jest indywidualne usuwanie. A błąd masz, bo po prostu nie usunąłeś infekcji w prawidłowy sposób. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Klaudia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\ProgramData\0tbpw.pad :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6C8E62A0-6040-48BA-AD75-1A453F914500}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Softonic) na Google, po tym Search the web (Softonic) usuń z listy. 3. Przez Panel sterowania odinstaluj śmieci PCSpeedUp, Przyspiesz Komputer. 4. Zrób nowy log OTL z opcji Skanuj. Przypominam, opcje ustawione na Użyj filtrowania. Pliku Extras po raz drugi mi nie załączaj. .

Jest tu także śmietnisko adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\BIANKA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\BIANKA\wgsdgsdgdsgsd.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Windows\tasks\Dynamo Toolbar Helper.job C:\Windows\tasks\Dynamo Toolbar Updater.job C:\Program Files (x86)\Mozilla Firefox :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{0DF56869-BA25-4E8E-82F9-AF48EA6BCC7E}: "URL" = "http://www.searchbrowsing.com/web.php?src=hmp&hl=en&camefrom=defaultsearch&q={searchTerms}" IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZJxdm890YYgb&ptb=0YOcUIRANgPbCwugzz8oHg&ind=2011102210&ptnrS=ZJxdm890YYgb&si=43578&n=77defc02&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{0DF56869-BA25-4E8E-82F9-AF48EA6BCC7E}: "URL" = "http://www.searchbrowsing.com/web.php?src=hmp&hl=en&camefrom=defaultsearch&q={searchTerms}" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZJxdm890YYgb&ptb=0YOcUIRANgPbCwugzz8oHg&ind=2011102210&ptnrS=ZJxdm890YYgb&si=43578&n=77defc02&psa=&st=sb&searchfor={searchTerms}" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{7CBCB429-E60F-47BE-A218-552B181F24F8}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3042917" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=113&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{BF82E7EC-2F72-4AC3-AC77-D34FF5710C26}: "URL" = "http://uk.search.yahoo.com/search?fr=mcafee&p={SearchTerms}" IE - HKU\S-1-5-21-2385776408-2754460591-3139595046-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O20 - AppInit_DLLs: (c:\progra~3\browse~1\25976~1.107\{c16c1~1\mngr.dll) - c:\ProgramData\Browser Manager\2.5.976.107\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\mngr.dll ( :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Default_Page_URL"=- "Search Bar"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Services Browser Manager MyWebSearchService McMPFSvc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. System zostanie odblokowany. 2. Przez Panel sterowania odinstaluj adware Babylon toolbar, Browser Manager, Conduit Engine, Dynamo Toolbar, eBay, iLivid, My Web Search (Zwinky), Produtools Maps Toolbar, Searchqu Toolbar, SFT_Polska Toolbar, Shopping Sidekick, V9 Homepage Uninstaller. 3. Otwórz Google Chrome i wejdź do ustawień. W sekcji "Po uruchomieniu" usuń z listy stron startowych searchbrowsing.com. W Rozszerzeniach odinstaluj Shopping Sidekick, Settings Protector. Wyczyść Historię. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi utworzone przez AdwCleaner + JRT. .

Konfiguracja OTL tu na forum: KLIK. Replikujesz dane. Oba logi są zrobione z poziomu tego samego konta, opcja "Wszyscy użytkownicy" nie działa jak sugerujesz: to tylko dodatkowy skan, który szuka częściowo danych innych kont, ale i tak cały log jest przede wszystkim widokiem bieżącego konta. Log z "Wszyscy" i tak został źle zrobiony: nie została zaznaczona opcja 64-bitowego skanu, a opcja "Rejestr" była ustawiona na Wszystko a nie Użyj filtrowania. Log do niczego i go usuwam, zostawiając ten drugi właściwszy. Uwagi do prowadzącego tam temat. Po co w skanie SystemLook podane klucze klas, które są aktualnie skanowane w OTL w sekcji "ZeroAccess Check"? Przecież dane widać w OTL... Poza tym, usuwanie skryptem OTL Kosza zmodyfikowanego przez ZeroAccess nie przejdzie (blokada na poziomie uprawnień, OTL nie zmienia ACL obiektów i nie da rady). amaltea, w Twoich raportach widać: 1. Infekcja ZeroAccess nie wyleczona, stosowne fragmenty z OTL z tego tematu i SystemLook z tamtego forum: ========== ZeroAccess Check ========== [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64 "" = C:\$Recycle.Bin\S-1-5-18\$dc4d5743e05607f84fac5f2629c16dda\n. "ThreadingModel" = Free ========== dir ========== C:\$Recycle.Bin\S-1-5-18 d--hs-- [00:39 21/05/2010] C:\$Recycle.Bin\S-1-5-21-2195184045-3265951034-2981680463-1000\$dc4d5743e05607f84fac5f2629c16dda d--hs-- [12:46 29/10/2012] Oraz liczne uszkodzenia w systemie przez nią spowodowane. Ten trojan kasuje z rejestru całkowicie usługi systemowe: Zapora systemu Windows (BFE + MpsSvc + SharedAccess), Pomoc IP (iphlpsvc), Centrum zabezpieczeń, Windows Update (BITS + wuauserv) i Windows Defender. Przedstawiony na tamtym forum log z Farbar Service Scanner potwierdza te szkody, tylko Windows Update nie jest naruszone, reszta zmasakrowana. 2. Szkodliwa modyfikacja pliku HOSTS: O1 HOSTS File: ([2012/12/05 17:09:04 | 000,001,477 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhost O1 - Hosts: ::1 localhost O1 - Hosts: 109.163.226.207 www.google-analytics.com. O1 - Hosts: 109.163.226.207 ad-emea.doubleclick.net. O1 - Hosts: 109.163.226.207 www.statcounter.com. O1 - Hosts: 109.163.226.207 connect.facebook.net. O1 - Hosts: 93.115.241.27 www.google-analytics.com. O1 - Hosts: 93.115.241.27 ad-emea.doubleclick.net. O1 - Hosts: 93.115.241.27 www.statcounter.com. O1 - Hosts: 93.115.241.27 connect.facebook.net. Niemniej na razie usuwanie tych infekcji i naprawy usług odkładam, bo być może wszystko co zrobiono dotychczas i tak zostanie odkręcone: Umieściłaś tam linki, które nie są związane z problemem. Całkiem co innego i usuwam post, by nikogo nie wprowadzać w błąd. I tak jak tam napisałam: U Ciebie trojan szyfrował pliki na dysku systemowym C, widać ślady: ========== Files Created - No Company Name ========== [2012/12/05 19:42:21 | 000,006,519 | ---- | C] () -- C:\ads_err.dbf.block [2012/12/05 17:20:04 | 000,000,269 | ---- | C] () -- C:\user.js.block [2012/12/05 16:51:53 | 000,023,064 | ---- | C] () -- C:\windows\Report.htm.block [2012/12/05 16:48:55 | 000,064,460 | ---- | C] () -- C:\windows\SysWow64\license.rtf.block O ile to są śmieci lub pliki nieważne, to nie można stwierdzić ile faktycznie plików na C zostało poddanych procesowi szyfrowania, bo OTL to bardzo krótki wycinek z systemu. Od razu więc proponuję użyć całe Przywracanie systemu do daty sprzed infekcji, o ile w ogóle jest taki punkt Przywracania systemu. To być może także zlikwiduje problemy innych infekcji. Jeśli ważne pliki są zaszyfrowane na dysku D, to już tylko procedura typu Photorec. Przykro mi, nic więcej nie wymyślę. Nie ma deszyfratora do tych plików. .

Do wszystkich, niestety ja nie widzę rozwiązania. Znalazłam taki oto wątek: KLIK. W ostatnim poście jest komentarz podobno od reprezentanta Emsisoft, który zidentyfikował tę próbkę: " Anyways, I found the malware that most likely hit him. Unfortunately the malware uses random keys that are stored on the server only. So no chance to write a decrypter unfortunately" W tłumaczeniu: malware używa losowych kluczy szyfrujących gromadzonych na serwerze i nie ma szans na stworzenie narzędzia deszyfrującego... W związku z tym jedyny ratunek to wyszukanie poprzednich wersji plików: 1. Jeśli u kogoś zaszyfrowane pliki są na systemowym C i jest to system Vista lub Windows 7, można spróbować użyć Przywracanie systemu do daty sprzed infekcji. Przywracanie systemu na Vista i Windows 7 to kompleksowy proces cieniowania woluminu, więc ostatecznie można liczyć, że poprzednia wersja plików zostanie przywrócona. Nie dotyczy XP, Przywracanie systemu działa inną techniką. 2. Do wypróbowania narzędzia do odzyskiwania skasowanych danych takie jak PhotoRec. Być może wyszuka poprzednią postać plików... Tu macie podobne instrukcje dla innej infekcji (Gpcode), której plików też nie można odszyfrować i Kaspersky podaje jak szukać oryginalnych wersji skasowanych przez trojana: KLIK (do wykonania treść aż do instrukcji z StopGpcode = to się tu nie aplikuje). .

To fałszywy alarm. Wyłącz AVG na czas operacji, uruchom AdwCleaner i podaj jego log, następnie zrób nowy log OTL. .

Tak, bo tu w załącznikach blokuję takie rozszerzenia *.LOG (tylko *.TXT dozwolone). Umięść pliki na jakimś serwisie hostingowym i podaj tu link do paczki.

Podaj nowy raport z OTL, który przedstawi czy wszystko dobrze zrobione.

Dostarcz log z instalacji aktualizacji Office. Logi są przypuszczalnie nagrane w folderze tymczasowym. Klawisz z flagą Windows + R i wklej %temp%. Szukaj raportów pasujących do instalacji tej aktualizacji. Być może to będzie coś w tym stylu: OHotfix(#####).log OHotfix(#####)_Msi.log .

Niestety, ale nie jest dobrze. Sterownik nvmini jest w GMER i tym razem już całkiem ukryty, bo OTL go nie widzi. To oznacza, że infekcja jest czynna. Poza tym, w Kasperskym wyniki są opisane jako "Detected", czyli żadnego usuwania nie było? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Wpnanw] C:\Documents and Settings\Gliwice\Application Data\Wpnanw.exe File not found :Files rd /s /q C:\RECYCLER /C Klik w Wykonaj skrypt. Po tym przez SHIFT+DEL skasuj katalog C:\_OTL. 2. Zrób ponownie skan Kasperskym i tym razem przyznaj akcje domyślnie dobrane przez narzędzie (Delete / Cure). 3. Zrób nowy log OTL z opcji Skanuj + GMER. Dołącz wyniki z Kasperskiego. .

Danych nie brałam z powietrza, ja to widzę w rejestrze na liście zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "AOL Toolbar" = Pasek narzędzi AOL 5.0 "x-plugin-0" = x-plugin-0 Czyli powinno to być widoczne w Panelu sterowania w aplecie usuwania programów. Log też nie pokazuje żadnych naruszeń plikowych i uruchamianie plików tych aplikacji ze ścieżek: C:\Program Files\AOL\Pasek narzędzi AOL 5.0 C:\Users\ASIA\AppData\Roaming\xplugin Nie wywalaj tych katalogów ręcznie, bo są i wpisy w rejestrze. Na razie chcę dojść do tego czy na pewno nie widzisz tego na liście odinstalowywania. .

Bysiuq, do uzupełniania / poprawiania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, zamiast post pod postem. Wszystkie 3 posty skleiłam. Wyraźnie kierowałam do opisu AdwCleaner na forum z autoryzowanymi linkami gwarantującymi najnowszą wersję, a tu program pobrany z nieoficjalnego źródła: # AdwCleaner v2.011 - Log utworzony 08/12/2012 o 14:11:31 # Ścieżka : C:\Documents and Settings\zbigniew\Pulpit\AdwCleaner_www.INSTALKI.pl(2).exe Cytuję z dziś co mówiłam do dwóch innych delikwentów: Natomiast ogólnie usuwanie pomyślne. Zostały mini poprawki i kończymy: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\supt4pc_pl_1 C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj wyliczone poniżej foldery. C:\Documents and Settings\zbigniew\Pulpit\Stare dane programu Firefox C:\JRT C:\WINDOWS\ERUNT 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wszystkie programy Adobe: KLIK. Wg raportu obecnie masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () .

W logu nie ma nic ciekawego. Nie wykryto zagrożeń, a to że ESET nie umie przetworzyć pliku CAB AutoCAD to już inny temat.

Uruchomienie ComboFix żadnego pożytku tu nie przyniosło, a nawet zaszkodziło. To nie są wirusy, to są fałszywe alarmy ComboFix, powywalał pliki firmowe ASUS (dwie pierwsze pozycje + FullRemove.exe), językowe Microsoftu (wszystko w SysWOW64, a PT = portugalski). Plik msvcr71.dll ma owszem dziwną lokalizację, ale to nie pierwszy "asusowy" log w którym to widzę. Ogólnie: to nie pierwszy tu przypadek na forum usuwania tego zestawu plików. Tyle szczęścia, że te pliki nie są kluczowe i ich wywalenie nie ma widocznych negatywnych skutków. .

Pomyślnie wykonane, kończymy: 1. Jeszcze mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Aktualizacje: KLIK. Wg raportu system nie ma SP1 oraz masz zainstalowane: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX Czyli odinstaluj stary Adobe Reader + Java i zastąp najnowszymi, sprawdź czy wtyczka Adobe Flash w Internet Explorer jest najnowsza, zaktualizuj Windows (SP1 + reszta łat). .

A na czym się zatrzymuje, na jakiej ścieżce?

Powiedz mi skąd tu koncepcja "infekcji" i to jeszcze w MBR? Twoje dane i opis (chodzi o operacje po Recovery, bo co było przed to tylko wróżbita już powie) nie wskazują na to. A w logach żadnych oznak infekcji. I ja bardzo wątpię, by tu o infekcję chodziło. Brak danych ComboFix, to i nie mogę tego ocenić. No tak, ale nie wiadomo jakie kroki wykonał użytkownik, a poza tym opisany tu problem to przecież żaden dowód "infekcji", ten rodzaj przypadków możesz sobie pooglądać w dziale Windows 7... To prędzej wskazuje na jakiś problem po stronie systemu Windows Update. Do analizy problemu z instalacją aktualizacji całkiem inne raporty potrzebne, czyli zawartość C:\Windows\Logs\CBS. I nie jest wykluczony problem z aplikacjami zintegrowanymi w obrazie na partycji Recovery. Stary antywirus, sadło producenta, stare sterowniki. Np. tu oto mamy starszy Intel: DRV:64bit: - [2010/06/08 02:33:13 | 000,540,696 | ---- | M] (Intel Corporation) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\iaStor.sys -- (iaStor) Sterowniki Intel mogą powodować problemy z Windows Update. Pierwszy z brzegu przykład: KLIK. .

Log powstaje na Pulpicie. Jeśli go tam nie ma = log się nie utworzył. Omiń to i podaj to co masz. PS. Napisałam. Jestem kobietą.

A co z reinstalacją GG11, czy była próbowana?

Jakie strony? Konkretnie podaj. Co widzę pod tym kątem: 1. W pliku HOSTS dziwne blokady: O1 HOSTS File: ([2012-08-19 15:12:55 | 000,000,307 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hostsO1 - Hosts: 127.0.0.1 www.virustotal.com O1 - Hosts: 127.0.0.1 virustotal.com O1 - Hosts: 127.0.0.1 www.novirusthanks.org O1 - Hosts: 127.0.0.1 novirusthanks.org O1 - Hosts: 127.0.0.1 www.virscan.org O1 - Hosts: 127.0.0.1 virscan.org O1 - Hosts: 127.0.0.1 www.virusscan.jotti.org O1 - Hosts: 127.0.0.1 virusscan.jotti.org O1 - Hosts: 127.0.0.1 virusscan.jotti.org O1 - Hosts: 127.0.0.1 209.85.135.99 Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034 2. Są tu określone sterowniki sieciowe, które mogą pogarszać sprawę: ---- Archaizm AOL wanatw4.sys z roku 2003 (!): DRV - [2003-01-10 22:13:04 | 000,033,588 | R--- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) Nie wiem skąd przyszło Ci do głowy instalować taką staroć AOL 9.5, widzę w raporcie, że co dopiero to prowadziłeś. Odinstaluj wszystko od AOL. ---- VirtualBox: DRV - [2012-09-13 08:30:22 | 000,104,280 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp)DRV - [2012-09-13 08:30:08 | 000,115,544 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VBoxNetFlt.sys -- (VBoxNetFlt) Co do aspektów infekcji... Nie podałeś obowiązkowego raportu z GMER. W OTL nie widać czynnej infekcji, ale na dyskach walają się te pliki po infekcji z USB: O32 - AutoRun File - [2012-08-03 12:08:32 | 000,021,220 | ---- | M] () - D:\autoply.exe open -- [ NTFS ]O32 - AutoRun File - [2012-08-03 12:27:09 | 000,021,220 | ---- | M] () - E:\autoply.exe open -- [ NTFS ] O32 - AutoRun File - [2012-08-03 12:52:26 | 000,021,220 | ---- | M] () - F:\autoply.exe open -- [ NTFS ] Poza tym jest adware. Wyczyść: 1. Z wszystkich dysków przez SHIFT+DEL skasuj wymienione powyżej pliki. 2. Przez Panel sterowania odinstaluj: Bcool, Internet Explorer Toolbar 4.6 by SweetPacks, SweetPacks bundle uninstaller, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.1. Od razu też proponuję pozbyć się wątpliwego Dll-Files.com Fixer + zbędnego COMODO GeekBuddy. W Google Chrome w Rozszerzeniach odinstaluj SweetIM for Facebook. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj + zaległy GMER. Dołącz log utworzony przez AdwCleaner. .

+ Plik BOOT.INI to plik XP a nie Vista. Na początek to przedstaw co my tu w ogóle mamy, czyli: 1. Start > w polu szukania wpisz diskmgmt.msc > zrób zrzut ekranu z układu partycji. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę bcdedit i przeklej z okna wyniki. .

Kimi1908 ja oczywiście mogę nadal to ciągnąć (jeszcze gorsze uszkodzenia reanimowałam z sukcesem), tylko że naprawa zaczyna kosztować dużo czasu, a efekt finałowy i tak nie będzie taki jak po czystej instalacji systemu. I na dodatek jeszcze masz w systemie teraz kolejną czynną infekcję, sam mówiłeś o podejrzanym komunikacie + procesie (ja nadal nie mam tu raportu przedstawiającego stan aktualny, kij wie co Ci się zagnieździło), a Tryb awaryjny bardzo dziwnie się zachowuje (sugeruje wirusa). Po prostu bardziej się opłaca i szybciej pójdzie zrobić format + postawić świeżutki XP. Rzadko polecam ten krok, tam gdzie widzę sens. Decyduj co robić.