picasso

Nie martw się o to czy się "połapiemy", przecież logi są oczywiste (daty w nagłówkach + ich zawartość) i nawet gdybyś nie napisał które z kiedy i tak to widać. Odcinam powielone logi OTL (wstawiłeś po dwa razy te same). Log z FRST bezużyteczny (usuwam), to jest narzędzie do uruchamiania z poziomu WinRE a nie spod Windows. Narzędzie nie działa poprawnie spod Windows i masz to nawet w raporcie: Attention: Could not load system hive.ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY. Brak oznak czynnej infekcji, do wykonania tylko lekka kosmetyka przeglądarek, ale to odsuwam na potem, bo nie ma znaczenia (wpisy błahe). I moim zdaniem zbyt się upierasz przy określonym tropie, męczysz skany, a to wcale nie wygląda na ten kierunek. Nie podałeś co to było. Ocenić nie można. To nie było do końca poprawne działanie. Najpierw się instaluje adware naturalną drogą przez Panel sterowania, dopiero po tym poprawia AdwCleaner. AdwCleaner jest poprawką a nie zastępstwem dla procesu deinstalacji... To nie wygląda na problem infekcji ani jej skutków. Ta infekcja nie ma wpływu na ten obszar, nie ingeruje w sterowniki, bo to prymityw (tylko wpis w starcie). To już prędzej uruchomienie ComboFix mogło coś namieszać, bo to te poziomy ingerencji. Gdyby nie to, że już jest dość daleko w czasie, to bym zadała Przywracanie systemu do daty sprzed uruchomienia ComboFix. Aczkolwiek: Jest tu jeszcze jeden obiekt ingerujący w obiekty sieciowe mocno, czyli Norton AntiVirus, a wygląda on jak instalowany bądź aktualizowany zaraz po uruchomieniu ComboFix. Na dodatek o zgrozo jest połączony z drugim antywirusem Microsoft Security Essentials, a na pewnym etapie razem z Kasperskym to wszystko działało (trzy na raz!). Prawdziwa masakra, to przecież prosta droga do całkowitego zablokowania startu oraz padu sieci (multi filtry antywirusowe na urządzeniach). Proponuję na początek dokładną deinstalację Symantec i zobaczymy co z tego wyniknie. 1. Przez Panel sterowania odinstaluj wszystkie obiekty Norton, a także AVG Security Toolbar (kolejny sterownik odpadnie). Następnie wejdź w Tryb awaryjny Windows i popraw narzędziem firmowym Norton Removal Tool. 2. Po tym wszystkim zresetuj system i podaj co widzisz w tych miejscach (zmierzam do filtrów antywirusowych na urządzeniach): - Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > w pierwszej karcie patrzysz jakie komponenty są używane przez połączenie i podaj mi zrzut ekranu. - Uruchom menedżer urządzeń, pobierz Właściwości urządzeń sieciowych, wejdź do karty Szczegóły, z menu wybierz pozycje Filtry wyższe klasy + Filtry niższe klasy (nie wszystkie pozycje mogą być obecne) i przepisz co tam się pokazuje jako sterownik filtrujący urządzenie. .

Jeszcze należy prawidłowo zamknąć temat po czyszczeniu infekcji: 1. Wyniki MBAM: wykryte drobne śmieci (instalatory adware), do usunięcia. 2. W Dzienniku zdarzeń drobny błąd WMI numer 10. Napraw narzędziem z: KB2545227. 3. Odinstaluj stare Adobe / Java i zastąp najnowszymi wersjami, zaktualizuj Firefox i Skype: KLIK. Wg raportu obecnie masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 30 "{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll () 4. Prewencyjnie zmień hasła logowania w serwisach. I jeśli nie ma już żadnych widocznych problemów w systemie, będziemy zamykać temat. .

Usuwanie tym razem pomyślnie. Przejdź do finalizacji tematu: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz obecnie zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-A90100000001}" = Adobe Reader 9.0.1 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Microsoft SQL Server 2005" = Microsoft SQL Server 2005 "Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) "PROHYBRIDR" = 2007 Microsoft Office system ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-2981148614-1095941574-1848268477-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome 22.0.1229.94 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.60310.0\npctrl.dll ( Microsoft Corporation) W podsumowaniu: odinstaluj wyliczone stare pozycje Adobe / Java / Silverlight i zastąp najnowszymi wersjami, zaktualizuj Firefox i Google Chrome, zainstaluj SP3 dla Office 2007 oraz SP4 dla Microsoft SQL Server 2005 (KB913089). .

Sprawdź Firefox w trybie bezpiecznym (bez dodatków), czy zachowuje się tak samo. Zamknij Firefoxa, jeśli jest uruchomiony (nie może być w procesach). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode Podaj rezultaty czy jest widoczna zmiana. .

To nie jest pełny log z OTL, brakuje Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Dodaj, bo chcę m.in. zobaczyć błędy z Dziennika zdarzeń. A w głównym OTL brak oznak infekcji, jest tylko adware. Na razie tym się jednak nie zajmuję, bo niejasna sprawa: Spybot to program, który jest przestarzały i mało użyteczny, do deinstalacji. Podłoże komunikatu jest dla mnie niejasne, bo na razie nic tu nie wskazuje na infekcję. Zrób skany za pomocą: - RogueKiller by Tigzy (opcja Scan) - Malwarebytes Anti-Malware - Kaspersky TDSSKiller Podaj raporty z nich. Tu jednak niekoniecznie coś może zostać znalezione, bo robiłeś to: Przywracanie systemu to silny proces (cień woluminu nakładany). Jeśli była wcześniej infekcja, mogła zostać całkowicie usunięta tą operacją. Tu jeszcze jako podejrzany nasuwa się Norton Internet Security. Testowo odinstaluj. Na razie brak podstaw do uruchomienia. To jest program do usuwania określonych infekcji a nie naprawy wszystkiego jak leci. .

To "sabotowanie klawiatury" to zbyt słaby opis, bym cokolwiek mogła powiedzieć, a w raportach nic podejrzanego. Tylko drobne rzeczy (bez znaczenia dla zgłaszanego problemu), czyli: odinstaluj Pandora Service + usuń folder adware C:\Users\User\AppData\Roaming\OpenCandy. .

To oznacza, że kończymy: 1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj system i wyliczone poniżej programy: KLIK. Wg raportu krytyczny poziom aktualizacji Windows oraz starocie zainstalowane: Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18904) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 4.1.10329.0 "{90120000-00D1-0409-0000-0000000FF1CE}" = Microsoft Office Access database engine 2007 (English) "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "KLiteCodecPack_is1" = K-Lite Mega Codec Pack 1.16 W podsumowaniu: odinstaluj stary Silverlight / Adobe Reader / K-Lite, następnie wykonaj pełną aktualizację Vista (pakiety SP1 + SP2 + IE9 + reszta łat). Zgłoś się tu z potwierdzeniem, że Windows Update wykonane kompletnie, bo stan systemu jest wysoce podejrzany, nasuwa skojarzenia z jakimś błędem blokującym aktualizacje... .

1. Wyniki MBAM: RiskWare.Tool.CK w KMService.exe to tylko crack Office, ale reszta wykrytych już szkodliwa i usunięcie słuszne. Po usuwaniu ponów czyszczenie folderów Przywracania systemu. 2. W systemie siedziały keyloggery Tibia, toteż zmień dla bezpieczeństwa hasła w grze. 3. Zaktualizuj Google Chrome i Firefox, usuń starsze Adobe Reader X + Adobe Shockwave Player + Java 6: KLIK. Wg raportu masz obecnie zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33 "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Google Chrome" = Google Chrome 23.0.1271.91 "Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl) .

Większość wykonana, zostały poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\searchplugins C:\Windows\SysWow64\Extensions C:\Windows\SysNative\roboot64.exe C:\ProgramData\PC Performer Manager C:\Program Files (x86)\_xIncredibar.xcom :Commands [emptytemp] Klik w Wykonaj skrypt. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "ROC_roc_ssl_v12"=- Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. W Google Chrome nadal widać stronę startową Claro oraz odpadkowe wtyczki adware: ========== Chrome ========== CHR - homepage: "http://www.claro-search.com/?affID=114506&tt=4512_2&babsrc=HP_clro&mntrId=6e198b37000000000000a0b3ccc0de15" CHR - plugin: Babylon ToolBar (Enabled) = C:\Users\XKot12\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.8_0\BabylonChromeToolBar.dll CHR - plugin: Application Manager (Enabled) = C:\Users\XKot12\AppData\Local\Google\Chrome\User Data\Default\Extensions\pgafcinpmmpklohkojmllohdhomoefph\1.0_0\spext.dll CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\XKot12\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files (x86)\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll Wycięcie tego wszystkiego wymaga już bezpośredniej edycji kodu pliku preferencji. Wykonam to za Ciebie. Skopiuj na Pulpit plik: C:\Users\XKot12\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i prześlij mi link. Plik zedytuję i odeślę do podstawienia. .

McAfee wykrzykuje głupoty, należy puścić program (wyjątek w antywirusie). Co do samej akcji w AdwCleaner, to tylko Uninstall zastosuj, nie montuj tego pliku HOSTS. Dzięki za komplementy i pomoc dla serwera. Na to przeznacz już odrębne tematy. .

Na przyszłość na temat używania ComboFix: KLIK. Zasady działu też wyraźnie mówią, że skoro został użyty ComboFix, to należy zaprezentować log, który utworzył. Niestety ślady w raporcie OTL wskazują, że ComboFix chyba odinstalowałeś, a to oznacza brak raportu (skasowany)... Błąd stąd, że ComboFix po prostu nie wyczyścił infekcji w sposób kompletny, w starcie jest skrót infekcji. Natomiast wyłączony Windows Defender nie wydaje się powiązany. Jest tu zainstalowany antywirus Ad-aware, a antywirusy mają technikę deaktywacji wbudowanego w system Windows Defender, by nie przeszkadzał. To zresztą strasznie stary soft... Doczyść szczątki infekcji i AVG Toolbar: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Services vToolbarUpdater13.2.0 avgtp mdmxsdk :Files C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Program Files\Common Files\AVG Secure Search C:\Windows\System32\drivers\avgtpx86.sys netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{37676DEF-6739-4638-9758-EFBFC9B7604C}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{37676DEF-6739-4638-9758-EFBFC9B7604C}" :OTL O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Błąd powinien ustąpić. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Wg OTL nie ma tu już infekcji, ale wymagane korekty. To jest nieprawidłowo naprawiony klucz ZeroAccess: [HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64"ThreadingModel" = Both "" = C:\Windows\SysNative\shell32.dll -- [2012-06-09 06:43:10 | 014,172,672 | ---- | M] (Microsoft Corporation) Zedytowano go, a należy całkowicie usunąć, bo to fałszywa klasa dodana przez ZeroAccess. Poza tym, użycie AdwCleaner oznacza wyzerowanie domyślnych wyszukiwarek Internet Explorer i po nim należy wykonać rekonfigurację. Poprawki na obie wymienione sprawy. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{2318C2B1-4965-11D4-9B18-009027A5CD4F}"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Nodee\Microsoft\Internet Explorer\Search] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Poproszę wstępnie o log z Farbar Service Scanner. Poproszę o szukanie w rejestrze na nazwę tego skryptu. Uruchom SystemLook x64 i w oknie wklej: :regfind tmp2F32.vbs Klik w Look. Nie, te odczyty w OTL Extras są w pełni prawidłowe, a AdwCleaner nie ma nic do rzeczy. Proszę, oto log z fabrycznie nowej wirtualnej maszyny Windows 7 x64: Zobaczymy co poda skan w SystemLook, to może być powiązane. .

Intruz, zasady działu: KLIK. Jest napisane na temat tzw. "przypominania" i cierpliwości. Był weekend, my też mamy prywatne życie i nie siedzimy tu 24/7. A do uzupełniania posta służy opcja Edytuj, zamiast post pod postem. Sklejam. To nie są wirusy / trojany w dosłownym rozumieniu. To adware Browser Manager. Zainstalowany nieopatrznie w innym sofcie sponsorowanym. 1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, Browser Manager, Claro Chrome Toolbar, Claro LTD toolbar. Pozbądź się także, jeśli nie używasz, Pandora Service (śmieć instalowany z KMPlayer). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\SysWow64\searchplugins C:\Windows\SysWow64\Extensions C:\ProgramData\Babylon C:\Users\Intruz\AppData\Roaming\Babylon C:\Users\Intruz\AppData\Roaming\OpenCandy C:\Program Files (x86)\Mozilla Firefox :OTL IE - HKU\S-1-5-21-455531092-2006799516-1478459668-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=110824&tt=261112_clro_4812_1&babsrc=SP_ss&mntrId=ec2449300000000000009cb70db765aa" IE - HKU\S-1-5-21-455531092-2006799516-1478459668-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={EFAB8857-02C5-473E-9DCA-CA79C4E4D321}&mid=abf6eca610f747d09c3a0d47e778c90c-4ad8f260eb5dca41d041ddba405c751beccde90f&lang=pl&ds=xn011&pr=sa&d=2012-11-20 08:50:35&v=13.2.0.4&sap=dsp&q={searchTerms}" O3 - HKU\S-1-5-21-455531092-2006799516-1478459668-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-455531092-2006799516-1478459668-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi utworzone przez AdwCleaner + JRT. .

1. Przez Panel sterowania odinstaluj adware LiveVDO plugin 1.3, vShare Plugin, vShare.tv plugin 1.3, VshareComplete oraz szczątek Windows Media Player Firefox Plugin (nie ma tu już Firefoxa). W Google Chrome w Rozszerzeniach powórz deinstalację vshare plugin. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}" IE - HKLM\..\SearchScopes\{9850C178-2FA1-476F-A1C8-360ACB771F66}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}" IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKLM\..\SearchScopes\{CFEC080B-B58B-4A4A-A2D2-5F30F7DF9C54}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}" IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{253CDA4E-CA47-4C62-AC3D-EA5EF02ABE3B}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}" IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=86d9f976-dfc3-11e0-b683-f04da266e41c&q={searchTerms}" IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" IE - HKU\S-1-5-21-405775882-2050120228-1168674902-1001\..\SearchScopes\{EF1165E0-1177-489F-972E-516754C7698D}: "URL" = "http://isearch.avg.com/search?cid={CC63FCFD-465B-45A2-B553-741BFD2FF35A}&mid=3f03e4115cad47d185ec2104e4820def-595b8648206447dd3c5702013b9abc54632c0906&lang=en&ds=ft011&pr=sa&d=2012-03-10 10:53:43&v=10.0.0.7&sap=dsp&q={searchTerms}" O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] :Files C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Temat pewnie przeniosę do działu Sieci. Wprawdzie są tu subtelne ślady infekcji w postaci plików na dysku, ale nie widzę żadnego wpisu startowego. Doczyść to: 1. Odinstaluj wątpliwy program Dll-Files.com Fixer. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Kuba\AppData\Roaming\svchost.exe C:\Users\Kuba\AppData\Roaming\ocrypt.exe C:\Users\Kuba\AppData\Roaming\LOVE C:\Users\Kuba\AppData\Local\Temp*.html netsh advfirewall reset /C :OTL O3 - HKU\S-1-5-21-538031662-4293215433-3765425982-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-538031662-4293215433-3765425982-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Na wszelki wypadek jeszcze zrób skan w Kaspersky TDSSKiller, a jeśli coś wykryje nie usuwaj tylko przyznaj Skip i log zaprezentuj. .

Ale przecież nie dałeś wszystkich logów:

tomekipaula, zasady działu na temat podania linków szkodliwych: KLIK. Należy je wstawiać w formie nieaktywnej, zedytowałam. System zaśmiecony adware, jest i infekcja. 1. Przez Panel sterowania odinstaluj adware Yontoo 1.10.02. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Tomek\AppData\Roaming\Ufeb C:\Users\Tomek\AppData\Roaming\Oqerot C:\Users\Tomek\AppData\Roaming\Kaisiv C:\Users\Tomek\AppData\Roaming\Babylon C:\Users\Tomek\AppData\Roaming\YourFileDownloader C:\Users\Tomek\AppData\Local\Conduit C:\Program Files\Conduit C:\Program Files\PC Speed Up C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\Mozilla Firefox\extensions\KavAntiBanner@kaspersky.ru_bak C:\Program Files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru_bak C:\END :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] [-HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1000\Software\Microsoft\Internet Explorer\Search] [HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1000\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Default_Page_URL"=- "Search Bar"=- "Search Page"=- "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-772737327-3409308761-3490658290-1007\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=Whitesmoke&dpid=Whitesmoke&co=DE&userid=b4b12c3b-2725-4c1f-9f9f-e888555622d2&isid=9879&searchtype=ds&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=343&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=4860944303284024&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=371&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=0307520929474000&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3244149" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=Whitesmoke&dpid=Whitesmoke&co=DE&userid=b4b12c3b-2725-4c1f-9f9f-e888555622d2&isid=9879&searchtype=ds&q={searchTerms}" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=117023&tt=4512_4&babsrc=SP_ss&mntrId=243963f8000000000000001e8c906024" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=343&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=4860944303284024&q={searchTerms}" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=371&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=0307520929474000&q={searchTerms}" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3244149" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.babylon.com/?q={searchTerms}&affID=116218&tt=4412_7&babsrc=SP_ss&mntrId=243963f8000000000000001e8c906024" IE - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=343&systemid=2&apn_dtid=IME002&apn_ptnrs=AG2&o=APN10641&apn_uid=4860944303284024&q={searchTerms}" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\virtualKeyboard@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\virtualKeyboard@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\KavAntiBanner@Kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\KavAntiBanner@kaspersky.ru FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\linkfilter@kaspersky.ru: C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\FFExt\linkfilter@kaspersky.ru O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\Toolbar\WebBrowser: (no name) - {79A2B609-BBC0-4D16-9925-70CB98A6490D} - No CLSID value found. O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKU\S-1-5-21-772737327-3409308761-3490658290-1007\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found O4 - HKLM..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found O4 - HKU\S-1-5-21-772737327-3409308761-3490658290-1000..\Run: [Exetender_148] "C:\Program Files\FreeRide Games\GPlayer.exe" /schedule 300000 File not found O4 - HKU\S-1-5-21-772737327-3409308761-3490658290-1007..\RunOnce: [game__956_i1528819_il208] C:\Users\Tomek\AppData\Local\Temp\game__956_i1528819_il208.exe (Amonetize) O16 - DPF: {4FF78044-96B4-4312-A5B7-FDA3CB328095} (Reg Error: Key error.) O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Agnieszka\Pulpit\Ygoow\Downloads\Ultrastardelux full\UltraStar Deluxe\zlportio.sys -- (zlportio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lmimirr.sys -- (lmimirr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Kllik w Look. 2. Zrób log z Farbar Service Scanner. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Kasia\wgsdgsdgdsgsd.exe C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\found.000 :OTL IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Kasia\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Widzę subtelne ślady używania ComboFix, na przyszłość: KLIK. Problem stanowią te dwa pliki infekcji: [2012-11-30 13:41:54 | 000,135,168 | RHS- | C] () -- C:\Windows\System32\vcomp100J.dll[2012-11-30 13:41:54 | 000,000,308 | ---- | C] () -- C:\Windows\tasks\WULNWDZMNR.job Infekcja ta wyłącza Centrum zabezpieczeń, Windows Defender i Przywracanie systemu. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\vcomp100J.dll C:\Windows\tasks\WULNWDZMNR.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Włącz funkcje zdeaktywowane przez trojana: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Windows Defender celowo nie będzie tu włączany, bo działa ESET. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Są tu ślady używania wadliwego AdwCleaner w wersji 2.005. Ta wersja miała błąd polegający na usuwaniu prawidłowych domyślnych wyszukiwarek Bing w Internet Explorer. Takie coś u Ciebie widzę właśnie. Rekonstruuj układ. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

To nie ma znaczenia, każdy temat jest indywidualny i są wymagane raporty z Twojego systemu: Wejdź w Tryb awaryjny Windows i spróbuj wytworzyć raporty z OTL. .

W raporcie widoczny tylko szczątek po infekcji w postaci pliku netdislw.pad. To nie może być przyczyną dla bardzo wolnego systemu. Prędzej tu przykłada rękę przestarzały Avast, który zresztą wygląda na pozornie niepoprawnie odinstalowany (brak wejścia na liście zainstalowanych, ale uruchomione sterowniki / usługi). 1. Przejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\netdislw.pad :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Skoro dołączasz raporty z OTL, DDS zbędny (usuwam). To są raporty wymienne, DSS tylko wtedy, gdy OTL nie można uruchomić. Widzę, że próbowałeś uruchamiać GMER = masz system 64-bit i to się nie aplikuje. ComboFix nie robił nic szkodliwego, skasował określone obiekty infekcji, choć właśnie nie wszystkie, dlatego pojawia się błąd przy starcie systemu. Wymagane poprawki: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\haga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Błąd powinien ustąpić. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Noemi\wgsdgsdgdsgsd.exe C:\Users\Noemi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk C:\Users\Noemi\AppData\Roaming\Babylon C:\Users\Noemi\AppData\Roaming\Media Finder :OTL IE - HKU\S-1-5-21-3891405778-1196204496-166871254-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://isearch.claro-search.com/?q={searchTerms}&affID=115131&tt=3512_6&babsrc=SP_iclro&mntrId=e8565463000000000000e02a8214efd8" IE - HKU\S-1-5-21-3891405778-1196204496-166871254-1000\..\SearchScopes\{8F9D51C2-0BFB-4340-988E-B0B3B4AFAA84}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" O4 - HKU\S-1-5-21-3891405778-1196204496-166871254-1000..\Run: [Media Finder] "C:\Program Files (x86)\Media Finder\Media Finder.exe" /opentotray File not found O8:64bit: - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found O8 - Extra context menu item: Download with &Media Finder - C:\Program Files (x86)\Media Finder\hook.html File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Przez Panel sterowania odinstaluj zbędny McAfee Security Scan Plus (sponsor paczek Adobe). 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

System Progressive Protection to nie jedyna infekcja. W systemie działa także bardziej szkodliwy trojan ZeroAccess, który całkowicie usuwa z rejestru określone usługi Windows (Zapora | Centrum zabezpieczeń | Windows Update | Windows Defender). Usuwanie będzie kilkuetapowe: 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera w celu odładowania ZeroAccess z pamięci. 2. Otwórz Notatnik i wklej w nim: TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-523193575-2702218329-1320617340-1000\$ff24043d55f85ce9a20a8337d9b4b888 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\47F835D4350273EF000047F7EDE17921 C:\Users\Owner\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\Users\Owner\Desktop\System Progressive Protection.lnk C:\Program Files\mozilla firefox\components\Scriptff.dll :OTL O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [sonyAgent] C:\Windows\Temp\temp75.exe File not found O4 - HKU\S-1-5-21-523193575-2702218329-1320617340-1000..\RunOnce: [47F835D4350273EF000047F7EDE17921] C:\ProgramData\47F835D4350273EF000047F7EDE17921\47F835D4350273EF000047F7EDE17921.exe () O7 - HKU\S-1-5-21-523193575-2702218329-1320617340-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) IE - HKLM\..\SearchScopes\{7C9B2C5A-9AE0-4DD1-BF28-38E27DA72F33}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpd" IE - HKU\S-1-5-21-523193575-2702218329-1320617340-1000\..\SearchScopes\{7C9B2C5A-9AE0-4DD1-BF28-38E27DA72F33}: "URL" = "http://www.ask.com/web?q={searchterms}&l=dis&o=ushpd" FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:2.8 FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll () DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\DRIVERS\IOPORT.SYS -- (IOPort) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Zniknie blokada System Progressive Protection. 4. Przez Panel sterowania odinstaluj Viewpoint Media Player. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Uruchom SystemLook i wklej do okna: :dir C:\$Recycle.Bin /s Klik w Look. .