picasso

Co to za "informatyk", który nie umie usunąć takiej prostej infekcji w kompletny sposób? Bład stąd, że nie usunięto skrótu startowego infekcji, który próbuje się uruchamiać (odwołuje się już do innego usuniętego pliku): [2012-12-06 00:04:41 | 000,000,908 | ---- | C] () -- C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk Mam podejrzenie, że ten kto usuwał, robił to z automatu, tzn. ComboFixem. Jest na dysku odświeżony katalog Kosza i katalog Temp. "Coś" to musiało resetować i nasuwa się to narzędzie. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :OTL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Marcin\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Co to za wersja Speccy? Zainstalowałam, by sprawdzić gdzie ten panel konkretnie się zapisuje, a tu żadnego apletu w Panelu sterowania Speccy nie umieściło u mnie. Sprawdź to: Start > w polu szukania wpisz regedit > wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ControlPanel\NameSpace Wyszukaj {identyfikator} z opisem Speccy i usuń. Shell Object Editor pokazuje rozmaite rozszerzenia powłoki a nie tylko "ikony Panelu". Usuwanie jest możliwe w trybie "Expert". Obrazek mówi sam za siebie jak to działa: .

Uruchamiałeś ComboFix, na ten temat: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\pc.PC-E510FE27E148\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\0tbpw.pad F:\Recycled :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. .

Tytuł zmieniam, tu są niemile widziane taki ze "sprawdzaniem logów w nazwie", bo problemem jest całkiem co innego a nie logi. Temat przenoszę do działu Windows XP, bo z infekcją tu nie widzę nic wspólnego, choć nie został dostarczony obowiązkowy log z GMER (OTL go nie zastąpi). Są drobne odpadki adware i wpisy puste, ale to nie ma znaczenia dla kontekstu sprawy. Instrukcje w spoilerze, do wykonania potem (jak mówię: bez znaczenia dla problemu głównego). Ustalmy jaki powód był dla uruchamiania sprawdzania dysku, czy wystartowało automatycznie czy inicjowane z premedytacją ręcznie? Nasuwa się, że checkdisk "naprawiał" za dużo i są gdzieś uszkodzone jakieś obszary. Co do braku sieci, to w Dzienniku zdarzeń jest taki błąd niemożności uruchomienia sterownika protokołu TCP/IP: Error - 2012-12-06 07:31:32 | Computer Name = SERWER | Source = Service Control Manager | ID = 7001Description = Usługa Rozpoznawanie lokalizacji w sieci (NLA) zależy od usługi Sterownik protokołu TCP/IP, której nie można uruchomić z powodu następującego błędu: %%1058 Wykonaj pełną destrukcyjną reinstalację TCP/IP na podstawie instrukcji: KLIK. .

Czy ten problem występuje także w Trybie awaryjnym Windows? Czy ten problem występuje na świeżo założonym nowym koncie użytkownika? Kończąc czyszczenie ze śmieci drobnostki w spoilerze: .

Był tu wykonywany jakiś skrypt do OTL - jaki / po co? Niestety, nie jest dobrze. Być może ten komputer służbowy będzie wymagał nawet przeformatowania wszystkich dysków, jeśli nie powiedzie się usuwanie / zbyt dużo szkód. Grasuje tu wirus Sality, co oznajmia poniższy sterownik w logu, zablokowany edytor rejestru + menedżer zadań oraz autoryzacje z opisem "ipsec" w zaporze systemowej. DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\nqgjhs.sys -- (dac970nt) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 Dodatkowo jeszcze Tryb awaryjny powinien być uszkodzony (autoreset lub BSOD przy próbie wejścia doń). 1. Pobierz SalityKiller. Wykonaj nim skan do skutku. Powtarzasz go, dopóki nie uzyskasz zwrotu zero zainfekowanych. Dopiero po tym: 2. Pobierz Sality_RegKeys.zip. Uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 4. Zresetuj reguły Zapory systemowej: Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 5. Zrób nowy log OTL z opcji Skanuj (włącznie z Extras). I ten GMER by się przydał... .

Porządki końcowe: 1. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. Posiadasz Gadu-Gadu 10. Ta wersja jest stara i straszna, reklamy i dręczenie zasobów systemu, a posługiwanie się przestarzałym Adobe Flash to luka bezpieczeństwa (niestety GG10 zdaje się nie zaakceptuje najnowszego doinstalowanego z zewnątrz). Producent się z niej zresztą wycofał, wyłączono też nie tak dawno serwisy, które były integrowane w tym potworze. To już prędzej proponuję sprawdzić najnowsze GG11, bo jest lepsze niż GG10, przynajmniej pod kątem ilości śmieci i interfejsu, ale łakome na zasoby jest tak jak GG10. Moją propozycją jest jednak sięgnięcie po program alternatywny z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. GG11 i wszystkie wymienione są opisane tu: KLIK. .

Wyjaśnij mi skąd to podejrzenie, co się dzieje: W logach nic ciekawego. Są tylko odpadki adware, ale to mały problem. Doczyść (instrukcje w spoilerze). O nowy log z OTL na razie nie proszę, bo kolejne skanowanie przez 10 godzin to dramat. Potem go sprawdzę. Naszym bieżącym problemem jest dostęp do struktury linków symbolicznych, co nie powinno mieć miejsca: Naprawa tego wymaga operacji tego typu: KLIK. Materiał daję tylko poglądowo, na razie nic nie wykonuj, bo nie jest jasnym jak daleki zakres naruszeń jest u Ciebie. I czy to w ogóle nadal są linki? Na początek podaj mi wynik komendy wyszukującej linki symboliczne: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: DIR /AL /S C:\ >C:\log.txt Wykonanie tej komendy chwilę potrwa. Czekaj cierpliwie, aż znak zachęty przejdzie do nowej linii. To oznacza pełne ukończenie zadania. 2. Wynikowo powstanie plik C:\log.txt. Doczep go tu. .

Zadania przeprowadzone w 99% pomyślnie. Nie wygląda jednak na to, by została odinstalowana stara wtyczka Adobe Flash dla Firefoxa, bo usuwałam klucze Mozilla, a tu powrócił i widać, że kieruje na starą wersję Adobe Flash (plik ma inną konwencję nazewniczą niż najnowsze mające numer wersji w nazwie): FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () No chyba, że to stare próchno przywraca GG10. O tym potworku pogadamy potem, ale póki co nie reaguj, jeśli Gadu zwróci komunikat o "brakującym Flash" (do reklam jest to używane) - nie instaluj tego które proponuje GG10. Na teraz minimalne poprawki zostały: 1. Przez SHIFT+DEL skasuj z dysku ten folder: C:\Program Files (x86)\Search Results Toolbar 2. Odinstaluj pozycje Adobe Flash Player 11 ActiveX + Adobe Flash Player 10 Plugin. Popraw usuwaczem: KLIK. Następnie przez SHIFT+DEL skasuj foldery: C:\Windows\SysWOW64\Macromed\Flash C:\Windows\system32\Macromed\Flash Na koniec zainstaluj w wybranej przeglądarce najnowszy. .

Mam pytanie: czy ten tytułowy komunikat "Windows detected a hard disk problem" w ogóle się jeszcze pojawia po użyciu Przywracania systemu? Skanery nic ciekawego nie wykryły. W TDSSKiller brak infekcji, to są usługi Alcohola. W MBAR (nawiasem mówiąc inny program niż zalecony użyty, to miało być Malwarebytes' Anti-Malware a nie Malwarebytes Anti-Rootkit) to o czym mówiłam na początku (i czego czyszczenie odwlekłam jako mniej istotne): adware vShare (tak, to ta wtyczka video, robi bajzel w systemie). Jedyne co ja widzę od początku to adware a nie żadne trojany, a działania MBAR to za mało. Doczyść śmietnisko: 1. Przez Panel sterowania odinstaluj adware DealPly, vShare.tv plugin 1.3. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Skoryguj wpisy Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{73B2CFF1-C1E9-4675-948A-A96590787F85}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{73B2CFF1-C1E9-4675-948A-A96590787F85}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B0BF2D9E-2317-4417-AB91-2C5E47DAFCEF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{c1d89ae7-449d-4929-b24b-fded04adbe06}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. W ostatnim logu OTL nadal widzę wpisy od Norton Backup: ========== Services (SafeList) ========== SRV - [2010-06-01 06:31:28 | 002,804,568 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe -- (NOBU) Uruchom Autoruns i w karcie Services odptaszkuj uruchamianie tego. W logu OTL Extras są błędy zawieszania się usług buforu czcionek oraz Windows Update: Error - 2012-12-04 20:29:41 | Computer Name = Sylwia-PC | Source = Service Control Manager | ID = 7022Description = The Windows Update service hung on starting. Error - 2012-12-05 08:16:14 | Computer Name = Sylwia-PC | Source = Service Control Manager | ID = 7022 Description = The Windows Font Cache Service service hung on starting. Trudno stwierdzić czy te błędy to tylko konsekwencja wieszania systemu z całkiem innego powodu, czy przyczyna podstawowa. Prewencyjnie wykonaj te działania: 1. Przeładowanie cache czcionek: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > dwuklik na usługę o nazwie Usług systemu Windows buforowania czcionek (tak, nazwa ma literówkę, to błąd polskiego tłumaczenia Windows 7) i zatrzymaj ją. Następnie wejdź do katalogu C:\Windows\ServiceProfiles\LocalService\AppData\Local i skasuj stamtąd wszystkie pliki o modelu nazwy FontCache*.dat. 2. Reset komponentów Windows Update: KLIK. 3. Zresetuj system. Sprawdź czy jest poprawa, choć ja wątpię. Error - 2012-12-05 08:10:18 | Computer Name = Sylwia-PC | Source = Application Popup | ID = 1060Description = \SystemRoot\SysWow64\Drivers\ASAPIW2K.sys has been blocked from loading due to incompatibility with this system. Please contact your software vendor for a compatible version of the driver. Jest i ten błąd, ale ma nikłe znaczenie, Windows blokuje archaiczny sterownik Pinaccle: DRV - [2003-11-28 17:34:40 | 000,011,264 | ---- | M] (Pinnacle Systems GmbH) [Kernel | On_Demand | Stopped] -- C:\Windows\SysWOW64\drivers\asapiW2k.sys -- (ASAPIW2K) Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę sc delete ASAPIW2K a po jej wykonaniu usuń powiązany plik z dysku. .

Nie podałeś wprawdzie dokładnej ścieżki do tego wyniku, ale to pewnie było w cache Java. W logach zaś brak oznak infekcji. Tylko sobie doczyść szczątki śmieci / wpisy puste: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\Conduit C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\PC\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\PC\Dane aplikacji\ArcaVirMicroScan C:\Documents and Settings\PC\Dane aplikacji\LavasoftStatistics C:\Documents and Settings\PC\Dane aplikacji\Mozilla :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Services catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z wynikami usuwania. Nowy skan OTL zbędny. Na wszelki wypadek: upewnij się, że problemu nie tworzy Avira. W pełni wiarygodny test: deinstalacja. .

Czy próbowałeś najprostszej rzeczy, czyli resetu reguł zapory do postaci domyślnej (Panel sterowania > System i zabezpieczenia > Zapora > Przywróć domyślne)? .

Wszystko zrobione. Przechodzimy do wykończeń: 1. Przypadkowo ominęłam ten folder, przez SHIFT+DEL go skasuj: C:\Users\Agu\AppData\Roaming\toolplugin 2. W OTL uruchom Sprzątanie, a resztę używanych narzędzi usuń ręcznie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób jeszcze skanowanie pełne w Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie próbną). Jeżeli coś zostanie wykryte, przedstaw raport. .

Nie mam wyników ESET, więc nie mogę potwierdzić tu infekcji rzeczywistej. To co usuwał MBAM to ta sama kolekcja co AdwCleaner. I zostało tu doczyszczenie właśnie po adware plus będę korygować ten błąd usuwając po prostu sterownik: Error - 12/6/2012 3:01:04 AM | Computer Name = beta-Komputer | Source = Application Popup | ID = 1060Description = Ładowanie sterownika \SystemRoot\SysWow64\drivers\sdpiosys.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. 1. Przez Panel sterowania odinstaluj adware Contextual Tool Extrafind, DownTango, Search-Results Toolbar. 2. Firefox zabrudzony, ale czyszczenie nieopłacalne, bo to archaiczny dziurawy 2.0.0.2. Jeśli chcesz z niego ocalić zakładki + hasła, to skorzystaj z MozBackup. Odinstaluj Firefox, przy pytaniu o usuwanie plików użytkownika zatwierdź. Od razu usuń także wszystkie stare Java i produkty Adobe. Doczyszczanie po Firefox już w punkcie 3: 3. Wyłącz tymczasowo rezydenta MBAM, by nie przeszkadzał. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\beta\AppData\Roaming\SendSpace C:\Users\beta\AppData\Roaming\mozilla C:\Program Files (x86)\mozilla firefox netsh advfirewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=405&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=405&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-4169858314-1730191796-2354803924-1000\..\SearchScopes\{0FA3E027-6254-4341-A5D2-76C0EFA9E771}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100476&babsrc=SP_ss&mntrId=808359760000000000001c4bd632f720" IE - HKU\S-1-5-21-4169858314-1730191796-2354803924-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8de7ae40-587e-11e1-bb68-cdbd54469be7&q={searchTerms}" IE - HKU\S-1-5-21-4169858314-1730191796-2354803924-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2405}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=405&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-4169858314-1730191796-2354803924-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/webResults.html?src=ieb&q={searchTerms}" IE - HKU\S-1-5-21-4169858314-1730191796-2354803924-1000\..\URLSearchHook: {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - No CLSID value found O2:64bit: - BHO: (DataMngr) - {34DEE7AD-47D7-45e9-91FC-3E511083493F} - C:\PROGRA~2\SAVEVI~2\Datamngr\x64\BROWSE~1.DLL (Bandoo Media Inc) O2:64bit: - BHO: (DataMngr) - {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} - C:\PROGRA~2\SAVEVI~2\Datamngr\x64\BROWSE~1.DLL (Bandoo Media Inc) O2 - BHO: (IE2EMBHO Class) - {0A0DDBD3-6641-40B9-873F-BBDD26D6C14E} - C:\Program Files (x86)\easyMule\modules\IE2EM.dll (VeryCD.com) O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O8:64bit: - Extra context menu item: Download by easyMule - C:\Program Files (x86)\easyMule\IE2EM.htm () O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O8 - Extra context menu item: Download by easyMule - C:\Program Files (x86)\easyMule\IE2EM.htm () O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll) - C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll (Bandoo Media Inc) O20:64bit: - AppInit_DLLs: (C:\PROGRA~2\SAVEVI~2\Datamngr\x64\IEBHO.dll) - File not found DRV - [2004/11/30 11:10:00 | 000,161,792 | ---- | M] () [Kernel | System | Stopped] -- C:\Windows\SysWOW64\drivers\SDPIOSYS.SYS -- (sdpiosys) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 5. Zainstaluj najnowszy Firefox 17.0.1: KLIK. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

1. Przesyłam zedytowany plik Preferences zapakowany do ZIP: KLIK. Zamknij Google Chrome (nie może być czynne w procesach!). Podmień pliki Preferences. Sprawdź czy na dysku jest taki folder, a jeśli tak to usuń: C:\Users\Agu\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc. Następnie uruchom Google Chrome, w celu sprawdzenia czy przyjął plik, tzn. nie wyrzuca żadnego błędu przy uruchomieniu. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). .

Pierwszy się nie liczy, to kwarantanna OTL, mój skrypt ten plik przesuwał tam. Reszta w lokalizacjach tymczasowych (czyszczone skryptem OTL). Zadania pomyślnie wykonane, tylko poprawki zostały. 1. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Usunięcie szczątków po Ad-aware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL [2012-12-04 10:43:59 | 000,000,000 | ---D | C] -- C:\Users\Maciek\AppData\Roaming\LavasoftStatistics [2012-12-04 10:27:19 | 000,000,616 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\adawaretb.xml DRV:64bit: - [2012-12-04 10:28:03 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto) Klik w Wykonaj skrypt. 3. Firefox: wejdź do opcji i ustaw inną stronę startową niż safesearchr.lavasoft.com, a w Dodatkach odinstaluj Lavasoft Search Plugin. 4. Google Chrome: wejdź do ustawień i zmień stronę startową z safesearchr.lavasoft.com na Google, a także w zarządzaniu wyszukiwarkami przestaw domyślną z blekko na Google, po tym blekko usuń z listy. Dodatkowo, jest w preferencjach martwa wtyczka AVG: ========== Chrome ========== CHR - plugin: AVG Internet Security (Enabled) = C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmfkcklnlgedgbglfkkgedjfmejoahla\12.0.0.1901_0\plugins/avgnpss.dll Usunięcie tego wymaga już edycji pliku Preferences. Skopiuj na Pulpit plik: C:\Users\Maciek\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i prześlij link. Plik zedytuję i odeślę do podstawienia. .

Skoro było czyszczenie, to zaprezentuj co te narzędzia robiły, bo tego nie można wydedukować. Przeklej co usuwał ESET i MBAM + dostarcz log utworzony przez AdwCleaner (jest na dysku C). .

Na temat tytułowania tematów: KLIK. Zmieniam. Nie ma podstaw w raporcie, by analizować pod kątem infekcji, tylko sprawdź co jest w tym dziwnym folderze: C:\ProgramData\121A5. Temat przenoszę wstępnie do działu Software, choć kto wie gdzie to pójdzie potem ze względu na tajemniczy BSOD + ten błąd w Dzienniku zdarzeń: Error - 2012-12-05 11:54:53 | Computer Name = AUDI-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 35Description = Funkcje zarządzania zasilaniem dotyczące wydajności dla procesora 1 w grupie 0 zostały wyłączone z powodu problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. Nasuwa się jak tu sprawy wyglądają ze stanem aktualizacji BIOS i sterowników. vs. Pliki pomagające opisać problem: C:\Windows\Minidump\120512-38423-01.dmp Skopiuj na Pulpit folder C:\Windows\Minidump. Zapakuj do ZIP, umieść na jakimś hostingu i podaj link do paczki. .

Usługi pomyślnie zreperowane. Została więc edycja Google Chrome i końcowe sprawdzenie raportu z OTL. Pliku Preferences nie mogę pobrać, kieruje mnie na Chomiku do folderu zabezpieczonego hasłem. .

W GMER jest wprawdzie taki oto wpis: ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 312560643 ... ale jeśli to już stan po czyszczeniu TDSSKiller, to są to martwe nieaktywne ślady w sektorach dysku. Pozostaną już "na zawsze" na dysku. Całkowite ich usunięcie wymaga po prostu zerowania dysku (związane z formatem). Nieopłacalne, jeśli to na pewno jest stan po czyszczeniu i TDSSKiller nie wykrywa rootkita. Po rootkicie zostały jeszcze inne ślady w Twoim systemie i te będę czyścić, tzn. te sterowniki i autoryzacje w zaporze systemowej: ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | On_Demand | Stopped] -- -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (xcpip) ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "4948:TCP" = 4948:TCP:*:Enabled:Services "8396:TCP" = 8396:TCP:*:Enabled:Services "6926:TCP" = 6926:TCP:*:Enabled:Services "4848:TCP" = 4848:TCP:*:Enabled:Services "80:TCP" = 80:TCP:*:Enabled:Services "2443:TCP" = 2443:TCP:*:Enabled:Services "3386:TCP" = 3386:TCP:*:Enabled:Services "6865:TCP" = 6865:TCP:*:Enabled:Services "3553:TCP" = 3553:TCP:*:Enabled:Services "2569:TCP" = 2569:TCP:*:Enabled:Services "3638:TCP" = 3638:TCP:*:Enabled:Services "1725:TCP" = 1725:TCP:*:Enabled:Services "9568:TCP" = 9568:TCP:*:Enabled:Services "9569:TCP" = 9569:TCP:*:Enabled:Services "8348:TCP" = 8348:TCP:*:Enabled:Services "2771:TCP" = 2771:TCP:*:Enabled:Services "4042:TCP" = 4042:TCP:*:Enabled:Services "4912:TCP" = 4912:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "4948:TCP" = 4948:TCP:*:Enabled:Services "8396:TCP" = 8396:TCP:*:Enabled:Services "6926:TCP" = 6926:TCP:*:Enabled:Services "4848:TCP" = 4848:TCP:*:Enabled:Services "2443:TCP" = 2443:TCP:*:Enabled:Services "3386:TCP" = 3386:TCP:*:Enabled:Services "6865:TCP" = 6865:TCP:*:Enabled:Services "3553:TCP" = 3553:TCP:*:Enabled:Services "2569:TCP" = 2569:TCP:*:Enabled:Services "3638:TCP" = 3638:TCP:*:Enabled:Services "1725:TCP" = 1725:TCP:*:Enabled:Services "9568:TCP" = 9568:TCP:*:Enabled:Services "9569:TCP" = 9569:TCP:*:Enabled:Services "8348:TCP" = 8348:TCP:*:Enabled:Services "2771:TCP" = 2771:TCP:*:Enabled:Services "4042:TCP" = 4042:TCP:*:Enabled:Services "4912:TCP" = 4912:TCP:*:Enabled:Services Tak więc moje zalecenia ograniczają się w tym momencie do wykończeń powyższych plus innych drobnych szczątków: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services xpsec xcpip aspnet_state :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] :Files C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\Marek\Dane aplikacji\DriverCure C:\Documents and Settings\Marek\Dane aplikacji\SpeedyPC Software :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie otworzy się log z wynikami usuwania. 2. Do oceny wystarczy tylko log z wynikami usuwania. Gdy potwierdzę usunięcie, zadam końcowe kroki. vs. w logu: O1 HOSTS File: ([2012-01-22 03:41:58 | 000,433,978 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 14937 more lines... Ogromny plik HOSTS ma negatywne skutki w kombinacji z czynną usługą Klient DNS (DnsCache). Powoduje nadproduktywność procesu svchost.exe na którym jest podmontowane DNSCache, z konsekwencją zamulania Windows. Albo tak duży plik HOSTS + wyłączona całkowicie usługa Klient DNS, albo plik HOSTS w postaci domyślnej + włączony Klient DNS. W mojej opinii takie zabezpieczanie na poziomie gotowego pliku HOSTS jest dziś mało użyteczne, to było dobre kilka lat temu. Domeny malware pojawiają się w zastraszającym tempie i nie sposób nadążyć, plik HOSTS na XP z IE8 prędzej do blokowania reklam. W kwestii blokowania ich popatrz do pracy DawidS28: KLIK. Co do Twojego ESETa... to on niezbyt świeży. Silnik z roku 2009. Antywirus trzyletni nie może być porównywalny z antywirusem wydanym "dziś". vs w logu: FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Program Files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Program Files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.124\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) Określone programy, które wtyczkują przeglądarki, tworzą "na zapas" wpisy, nawet jeśli dana przeglądarka nie istnieje jako zainstalowana. Ich usunięcie nie przyniesie tu trwałych rezultatów. Dopóki w systemie jest zainstalowany określony program planujący wtyczkę dla Firefox, usunięty wpis będzie przywracany. Tu dotyczy to: Adobe Reader, Google Earth + Google Update, Java, kodeków Real Player. Jeśli upierasz się usuwać te klucze, to Start > Uruchom > regedit i z prawokliku skasuj: HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins Ale jak mówię to się zacznie odtwarzać. Posiadasz XP SP3, który ustawia właśnie tak te dane. Cytujesz moją wypowiedź przecież: "Dla XP SP3 powinno to być NT AUTHORITY\NetworkService, dla starszych XP bez SP3 jest to LocalSystem." Twierdzisz, że już tak masz ustawione, toteż nie ma tu nad czym dywagować. Problemu nie ma. No cóż, po prostu brakuje mi czasu na aktualizację prac. Pisałam je wiele lat temu. Na forum mam tak dużo pracy, że nigdy nie mogę wyskrobać czasu na ulepszenia artykułów. Nie opisałeś problemu, więc nie można stwierdzić czy powiązane z infekcją, ale nie sądzę. No widzę w Twoim Dzienniku zdarzeń określony zestaw błędów punktujący niemoc Instalatora Windows: Error - 2012-11-24 14:44:28 | Computer Name = AMDATHX2 | Source = MsiInstaller | ID = 11711Description = Produkt: Google Earth -- Błąd 1711.Wystąpił błąd podczas zapisywania informacji o instalacji na dysku. Sprawdź, czy na dysku jest dostępna wystarczająca ilość miejsca i kliknij przycisk Ponów próbę lub kliknij przycisk Anuluj, aby zakończyć instalację. Error - 2012-11-24 14:44:33 | Computer Name = AMDATHX2 | Source = MsiInstaller | ID = 11336 Description = Produkt: Google Earth -- Błąd 1336.Wystąpił błąd podczas tworzenia pliku tymczasowego wymaganego do ukończenia tej instalacji. Folder: C:\Config.Msi\. Kod błędu systemu: 112 Error - 2012-11-24 14:44:40 | Computer Name = AMDATHX2 | Source = MsiInstaller | ID = 10005 Description = Produkt: Google Earth -- Błąd 2906.Brak nagłówka w pliku skryptu C:\Config.Msi\15e8f6.rbs. Error - 2012-11-24 14:44:44 | Computer Name = AMDATHX2 | Source = MsiInstaller | ID = 11712 Description = Produkt: Google Earth -- Błąd 1712.Nie odnaleziono co najmniej jednego pliku wymaganego do przywrócenia komputera do poprzedniego stanu. Przywrócenie nie jest możliwe. Tym się nie zajmuję tutaj. Problem Google Earth opisz szczegółowo w nowym temacie w dziale Software. Dzięki. .

Na temat używania ComboFix: KLIK. Zasady działu jakie raporty się tu obowiązkowo dostarcza: KLIK. Błąd się pojawia, gdyż ComboFix nie usunął infekcji w sposób kompletny, jest w starcie uruchamiany skrót runctf.lnk. 1. Uruchom OTL. i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Sony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Services cpuz134 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić. 2. Wyczyść Firefox z adware Babylon: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi OTL z opcji Skanuj, by powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". Dołącz log utworzony przez AdwCleaner. .

Kończąc czyszczenie systemu wykonaj jeszcze te kroki: 1. Minimalna poprawka na szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-3341365187-986142807-3572622625-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Files C:\windows\SysNative\drivers\NISx64 Klik w Wykonaj skrypt. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie, skasuj z Pulpitu folder Stare dane programu Firefox. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stare Adobe i Silverlight (zamień najnowszymi), zaktualizuj Firefox i zainstaluj pakiet SP1 dla Office 2010: KLIK. Wg raportu obecnie masz zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{90140000-006D-0415-1000-0000000FF1CE}" = Moduł Szybka instalacja pakietu Microsoft Office 2010 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) "Office14.Click2Run" = Moduł Szybka instalacja pakietu Microsoft Office 2010 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Moim zdaniem nie ma potrzeby wydawać pieniędzy. Tu dużo marketingu komercyjnych producentów jakoby darmowe odstawały. Avast jest dobrą propozycją, ma dość rozbudowane osłony. Co w nim Ci się nie podobało, że go usunąłeś (bo tu ewidentnie był)? .

Ja tylko w kwestii doczyszczenia po śladach infekcji: 1. W OTL uruchom Sprzątanie. Skasuj szczątki po Avaście: [2012-10-22 15:56:03 | 000,285,328 | ---- | C] (AVAST Software) -- C:\Windows\SysNative\aswBoot.exe[2012-10-22 15:55:20 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software [2012-10-22 15:55:20 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software C:\Windows\SysNative w logu = C:\Windows\system32 w systemie rzeczywistym. 2. Wyczyść foldery Przywracania systemu: KLIK. Temat jedzie do Sieci i już w rękach Dawida. .

Temat przenoszę do działu Windows 7. Nie objaśniłeś tego, co konkretnie robiłeś. MS opowiada wiele rzeczy. Nie. To problem naruszonych komponentów systemowych, a jakich to się dopiero okaże przy analityce: 1. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. 2. Następnie skopiuj na Pulpit cały folder C:\Windows\Logs\CBS, zapakuj do ZIP, umieść na jakimś hostingu i podaj tu link do paczki. .

Twierdzisz, że problem po tej operacji ustał. W skanie OTL nic od infekcji nie widać, zaznaczasz że preskan GMER też nic nie zwraca. Co najwyżej zastanawia mnie co to za plik w takiej lokalizacji: [2012-04-06 18:34:37 | 000,778,240 | ---- | C] () -- C:\WINDOWS\System32\autorun.exe W związku z tym ja tu na razie nie mam nic do roboty. Usuwałeś coś, więc klasyka na koniec typu czyszczenie Temp i Przywracania systemu (KLIK). I zaktualizuj Firefoxa. Sterownik oreans32.sys jest związany z zabezpieczeniem licencyjnym aplikacji / gier pakowanych przez Themida. Skoro go już usunąłeś TDSSKillerem, to pozbądź się z dysku kwarantanny C:\TDSSKiller_Quarantine To już tu w temacie kontynuuj ten wątek. .