picasso

Natomiast jakiś czas przed Pani postem użyłem ComboFix'a co na pewno nie jest bez znaczenia niestety nie zapisałem log chociaz jakis zapisał się w folderze Qooboox datą i godziną odpowiada użycie prze mnie daje go też w załączniku.

Wyraźnie Ci powiedziałam: nie ma tu oznak Sirefef. Uruchomiłeś go już po mojej pierwszej odpowiedzi. Nie polecałam tego działania, bo brak jakichkolwiek podstaw, by uruchamiać tak silne narzędzie. I po co go uruchamiałeś? Żadnych pożądanych skutków. Tylko wymęczyłeś system. Nawet się nie zastanowiłeś, czy przypadkiem nie pokrzyżujesz mi działań w temacie, czy to pożądane.

Po użyciu CF Panda nie wykrywa już sirefef2 czyli główny problem zniknął.

Tylko, że to co wykryła Panda nie było modyfikacją Sirefef.

REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

Wartość (null), czyli pusta. Sirefef umieszcza tam całkiem inne dane, skierowanie na konkretny plik infekcji. Pusta wartość to owszem nieprawidłowość i należało skorygować, ale dane tej wartości niezgodne z Sirefef. Być może kiedyś dawno temu był i czymś nieumiejętnie usuwano zapominając skorygować wartość, być może wcale go nie było i pusta wartość była konsekwencją całkiem innych działań.

Tylko jak mam odinstalować ComboFixa ?? Wrzuciełem go na dysk C. bezpośrednio bez żadnych podfolderów ale gdy w uruchom wpiuje C:\ComboFix/u lub C:\ComboFix/nistall to porogram zamiast się odinstalowywać to po prostu się uruchamia. Więc jak mogę go odinstalowac ? Czytałem, że po użyciu koniecznie należy go usnąć.

Parametr /u nie istnieje, dawno temu ComboFix go posiadał. Aktualnie prawidłowym parametrem jest /uninstall. Między nazwą pliku (ma być z końcówką exe) a parametrem jest spacja, czyli prawidłowa komenda to:

C:\ComboFix.exe /uninstall

i jeszcze jedno pytane co to jest "Suspicious Policy" bo robiąc jeszcze jeden skan znowu wykroło mi to x 2. Usuwa i jest czysto ale od czasu wtorkowego incydentu to chyba 3 raz odkąd panda to wykrywa natomiast wcześniej nie miałem z niczym takim doczynienia

vs.

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[sHOWSUPERHIDDEN] to be changed to: 1

 

Suspicious Policy. POLICY: HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED[HIDEFILEEXT] to be changed to: 0

To są wartości odpowiedzialne za pokazywanie rozszerzeń oraz ukrytych plików. Odpowiednik tego: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj rozszerzenia znanych typów plików (HideFileExt) + Ukryj chronione pliki systemu operacyjnego (ShowSuperHidden). Te wyniki nie są istotne, to nie jest infekcja. A uruchamianie OTL i ComboFix przestawia te opcje... Być może Panda wychwytuje właśnie te zmiany.

Zalecone przeze mnie operacje wykonane.

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\SearchScopes\{BC658103-3E01-43D5-B8CB-E33D345E4A23}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=NDV2&o=15835&src=kw&q={searchTerms}&locale=&apn_ptnrs=D8&apn_dtid=YYYYYYYYPL&apn_uid=05D19088-4F53-4359-8AD8-2F84A45A74D9&apn_sauid=2D853A50-8467-4F64-B4F5-BA5B2E98FAF6&"
O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found
[2012-11-08 16:47:05 | 000,004,919 | ---- | M] () -- C:\ProgramData\rznaopga.sea
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\user\AppData\Local\Temp\catchme.sys -- (catchme)

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

2. Porządki po narzędziach: odinstaluj ComboFix, w OTL uruchom Sprzątanie, w AdwCleaner użyj Uninstall, "Stare dane programu Firefox" na Pulpicie do kosza. Deinstalacje ComboFix + OTL znów przestawią opcje Widoku na domyślne.

3. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Gadu-Gadu" = Gadu-Gadu 7.7
"Spyware Doctor" = Spyware Doctor 6.0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)

Wszystkie stare Adobe i Java odinstaluj zanim uzupełnisz najnowsze wersje. Odinstaluj sfatygowany Spyware Doctor 6.0.

Gadu-Gadu 7.7 też tu zakreślam, bo wersja archaiczna niezdolna poprawnie obsługiwać własną sieć, bardzo słabo zabezpieczona (m.in. brak szyfrowanych połączeń). Zainteresuj się nowoczesnym bezreklamowym WTW, który obsługuje Gadu lepiej niż stare Gadu: KLIK.

.

Moje podejrzenia się sprawdziły. Ten keylogger znowu jest "zainstalowany":

O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()

Ta infekcja była usuwana aż dwa razy: skryptem OTL + Kaspersky Virus Removal Tool. Nie widzę tu innego wyjaśnienia: jednak uruchomiłeś coś od Tibia. Co to za obiekty, loader i testserver:

[2012-10-15 09:28:57 | 000,000,587 | ---- | M] () -- C:\Documents and Settings\Łukasz\Pulpit\Skrót do loader.exe.lnk
[2012-10-15 09:28:42 | 000,000,761 | ---- | M] () -- C:\Documents and Settings\Łukasz\Pulpit\Skrót do Tibia.exe.lnk
[2012-11-04 10:16:21 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Łukasz\Dane aplikacji\TibiaTestserver

Cóż, usuwamy po raz kolejny:

1. Wyłącz rezydent MBAM. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
[2012-11-08 15:32:26 | 000,000,000 | ---- | M] () -- C:\Program Files\Common Files\userInit.dll
[2012-11-06 19:34:55 | 000,000,346 | -HS- | M] () -- C:\WINDOWS\0183824drv.spi
[2012-11-06 19:28:16 | 000,000,852 | ---- | M] () -- C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\_uninst_42234876.lnk
[2012-11-06 19:06:00 | 000,000,486 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
[2012-10-17 16:31:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Nastąpi restart.

2. Jak mówię: usuń wszystkie dodatki do Tibia, bo mi tu nie wygląda jednak na doprowadzenie tego do końca. Proponuję też reinstalację samej Tibia na czysto.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Sieć mogłeś już podpiąć po wykonaniu skryptu. Kierowałam Cię wyraźnie do strony domowej AdwCleaner, a Ty pobierasz stare wersje z innych serwisów:

# AdwCleaner v2.005 - Logfile created 11/08/2012 at 22:58:35

# Running from : H:\AdwCleaner_www.INSTALKI.pl.exe

Najnowsza wersja to 2.007 z nowymi definicjami i poprawkami. Użyta tu wersja 2.005 ma błąd i zniszczyła domyślny Bing w Internet Explorer. Trzeba to będzie rekonstruować... Na przyszłość: programy typu AdwCleaner pobieraj tylko z oficjalnych stron domowych, nie z Instalek i podobnych.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj poniżej wyliczone programy: KLIK. Wg OTL masz zainstalowane:

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 22.0.1229.94
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.0.50401.0\npctrl.dll

Czyli: deinstalacja starych Java i Adobe przed instalacją najnowszych, aktualizacja wtyczki Silverlight w Google Chrome (w Firefox już jest najnowsza) oraz całego Google Chrome i Internet Explorer.

.

Tym razem zrobiłeś OTL inaczej na ustawieniu "Minimum informacji". Na przyszłość: ma być zawsze zaznaczone "Całość informacji". Operacje pomyślnie ukończone, finalizuj sprawy:

1. Mini poprawki na odpadki po deinstalacjach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://uk.rd.yahoo.com/customize/ycomp/defaults/sp/*http://uk.yahoo.com"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Yahoo! Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = "http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
IE - HKCU\..\SearchScopes\{DD9EE5A7-0C49-42CE-A292-6FD3A55141D1}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7"
IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
[2012-10-24 08:41:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\LocalService\Dane aplikacji\McAfee
[2012-10-23 21:07:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\McAfee

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg Twojego loga masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 22.0.1229.94
"Mozilla Firefox (3.6.2pre)" = Mozilla Firefox (3.6.2pre)

Okropnie stary Firefox i Adobe odinstaluj, Google Chrome zaktualizuj.

.

Zasady działu i Pomoc forum (link na spodzie strony) wyjaśniają, że załączniki akceptują tylko rozszerzenie *.TXT, a Ty próbujesz dołączać *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Ten log zresztą tak krótki, że nie warte to załącznika i wklejenie wprost w poście słuszne. Zasady działu też mówią, by nie używać CODE do wklejania logów.

Skrypt pomyślnie wykonany, czyli kończymy:

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wg Twojego raportu masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 22.0.1229.96
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll ()

Czyli: stare Adobe i Java odinstaluj przed instalacją najnowszych, zaktualizuj Google Chrome, zainstaluj pakiet SP3 dla Office 2007.

PS. Widzę Nowe Gadu-Gadu. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

Wszystko pomyślnie wykonane. Kończymy:

1. Drobna poprawka plus usunięcie resztek Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{90507061-B1BE-43B6-A30E-D603ED502305}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{5C5E958F-48C4-4F4A-A451-7470EC0114D0}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Files
C:\Users\test\AppData\Roaming\mozilla
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg logów masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"AVG" = AVG 2012
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1314993441-2300176852-3955824713-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 13.0.782.107
 
CHR - plugin: Silverlight Plug-In (Enabled) = C:\Program Files\Microsoft Silverlight\4.0.60531.0\npctrl.dll

Wszystkie pozycje Adobe, Java i Silverlight odinstaluj, podobnie jak bardzo stare Google Chrome, zanim zainstalujesz najnowsze wersje. Zainstaluj pakie tSP3 dla Office2003. Zaktualizuj antywirusa, najnowsza edycja to 2013.

PS. Widzę też Nowe Gadu-Gadu. Polecam alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

Adobe = wszystkie wystąpienia, czyli i Adobe Reader 9.5.1 ... A OpenOffice.org wystarczy nakładkowo zaktualizować.

Infekcja owszem tu jest plus jak mówisz ogłuszająca ilość adware ...

1. Przez Panel sterowania odinstaluj adware i śmieci:

Ask Toolbar, Babylon Chrome Toolbar, Babylon toolbar, Browser Manager, Conduit Engine, DAEMON Tools Toolbar, Free_Lunch_Design Toolbar, Funmoods Web Search, GotClip Downloader, gry Toolbar, Incredibar Toolbar on IE, PCSpeedUp Application, Przyspiesz Komputer, PrivitizeVPN, Softonic for Windows, Softonic toolbar on IE, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1, Uniblue RegistryBooster, uTorrentBar Toolbar, Vid-Saver, Yontoo 1.10.02

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\nikodem\AppData\Roaming\svchost.exe
C:\Users\nikodem\AppData\Roaming\rundll32.exe
C:\Users\nikodem\AppData\Roaming\csrss.exe
C:\Users\nikodem\AppData\Roaming\OpenCandy
C:\Users\nikodem\Desktop\Search the Web.url
C:\Users\nikodem\AppData\Local\funmoods-speeddial.crx
C:\Users\nikodem\AppData\Local\funmoods.crx
C:\Users\nikodem\AppData\Local\promo.exe
C:\Users\nikodem\AppData\Local\Temp*.html
C:\Program Files\Mozilla Firefox
netsh advfirewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Client Server Runtime Process"=-
"Host-process Windows (Rundll32.exe)"=-
"Service Host Process for Windows"=-
"PCSpeedUp"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Backup.Old.Start Page"=-
"bProtector Start Page"=-
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"bProtectorDefaultScope"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
IE - HKLM\..\SearchScopes\{54F15FA6-A681-1ED7-DE30-36976304C056}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0589102E-23CE-4085-A0DD-B5817A36DE29}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByC0F0D0A0EyDyE0E0F0FzztN0D0Tzu0CtByDtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1252023346"
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=311012_niche_4412_7&babsrc=SP_ss&mntrId=0abfeff8000000000000000000000000"
IE - HKCU\..\SearchScopes\{13E2F9C0-6CFA-4A2A-9E6F-DBDEEE1D13C9}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ATU2&o=14670&src=crm&q={searchTerms}&locale=&apn_ptnrs=T8&apn_dtid=YYYYYYYYPL&apn_uid=3ee537da-987d-48d6-9d0d-9607dd2c5f84&apn_sauid=1BA8052B-272C-44B5-B515-01EE95787105"
IE - HKCU\..\SearchScopes\{4F764938-7D1E-4D2B-A0B0-389634CE4C55}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutD0CyCtDyByC0F0D0A0EyDyE0E0F0FzztN0D0Tzu0CtByDtCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1252023346"
IE - HKCU\..\SearchScopes\{54F15FA6-A681-1ED7-DE30-36976304C056}: "URL" = "http://search.softonic.com/MON00005/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=249"
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={BE0A2B01-09AF-48A0-99A9-BF8CDD8AE21D}&mid=7363879cfccb2430f19e8302a672d53a-e62c594b2ca7f521abe895cddcdcb5f4dd43973e&lang=pt-br&ds=AVG&pr=fr&d=2011-12-01 14:59:49&v=12.2.5.32&sap=dsp&q={searchTerms}"
IE - HKCU\..\SearchScopes\{974CA2CD-D835-4AE0-BC87-A0F6BE6E6C2D}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2417076"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQriDkGQi&i=26"
IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={0589102E-23CE-4085-A0DD-B5817A36DE29}"
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7SMSN_pl___PL380"
IE - HKCU\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found
IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O20 - AppInit_DLLs: (c:\progra~2\browse~1\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.dll) -  File not found
SRV - File not found [Disabled | Stopped] -- C:\ProgramData\Browser Manager\2.3.796.11\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

3. Uruchom AdwCleaner i zastosuj Delete.

4. Zostaje kwestia Google Chrome, którego konfiguracja została nieprecyzyjnie wykryta przez OTL, a na pewno jest brud. Proponuję reinstalację przeglądarki na czysto.

5. Skoryguj nie działające skróty. W Unassoc wyszukaj rozszerzenie LNK i zastosuj dlań opcję Remove file association (User).

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

Skanowanie Gmer powoduje BSOD, więc loga nie dam.

1. Działa sterownik DAEMON Tools:

DRV - [2011/04/18 20:36:14 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

Poza tym, jest tu też sterownik SPTD, ale nie uruchamia się, niemniej i tak należy go wywalić:

DRV - [2010/07/06 20:39:09 | 000,717,296 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

2. Jeśli w/w nie pomoże, to w GMER spróbuj odznaczyć sekcję IAT/EAT.

.

Czyli z ComboFixem z mojej strony było ryzykowne tak ?

Wyjaśnia to opis do którego skierowałam. I nawet programu nie odinstalowałeś poprawnie.

Zadania pomyślnie wykonane i kończymy:

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe, pobierz ponownie na Pulpit (KLIK). Start > Uruchom > wklej komendę:

"C:\Documents and Settings\Adaś\Pulpit\ComboFix.exe" /uninstall

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{32A3A4F4-B792-11D6-A78A-00B0D0170070}" = Java SE Development Kit 7 Update 7
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw_1165635.dll (Adobe Systems, Inc.)

Czyli: stare Adobe i Java odinstaluj przed instalacją najnowszych + zaktualizuj Office uzupełniając go o pakiet SP3.

.

Co do v9 w Firefox, to nadal log to pokazuje. W Internet Explorer też są jeszcze odpadki. Poprawki:

1. Na Twojej liście zainstalowanych jest 1ClickDownloader. Odinstaluj.

2. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O2 - BHO: (V9BHOLoader) - {4DE0953E-490E-4D6F-BDDA-0516C372F3AF} - C:\Windows\SysWOW64\v9loader.dll (Beijing Elex Technology Co., Ltd)
 
:Files
C:\Users\pc\AppData\Roaming\mozilla\firefox\profiles\mj535s57.defaultextensions\{B9B0457A-1DA5-4578-B9D3-984A5E9808B0}.xpi
C:\Windows\SysWOW64\v9-toolbar.dll

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Gdy program ukończy pracę, uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj wyliczone poniżej oprogramowanie: KLIK. Wg Twojego raportu są zainstalowane wersje:

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

Stare Adobe, Java i Silverlight odinstaluj przed instalacją najnowszych.

.

Nie wykonał się tylko spód skryptu.

1. Te dwa sterowniki OnlineArmor nie puściły:

DRV - [2012-09-13 21:24:27 | 000,044,592 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\oahlp32.sys -- (oahlpXX)
DRV - [2012-09-13 21:24:17 | 000,208,312 | ---- | M] () [File_System | System | Running] -- C:\WINDOWS\system32\drivers\OADriver.sys -- (OADevice)

Uruchom Autoruns i w karcie Drivers odptaszkuj oahlpXX + OADevice. Zresetuj system. Jeśli nie będzie problemu, usuń te dwie usługi via Autoruns + ręcznie dokasuj powiązane pliki z dysku.

2. Poprawkowy skrypt. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KernelFaultCheck"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
"Start Page"=-
 
:Files
C:\WINDOWS\System32\drivers\hitmanpro35.sys
C:\WINDOWS\System32\drivers\sfi.dat
C:\Documents and Settings\All Users\Dane aplikacji\1319727294.bdinstall.bin
C:\Documents and Settings\All Users\Dane aplikacji\1319716643.bdinstall.bin
C:\Documents and Settings\All Users\Dane aplikacji\bdinstall.bin
C:\Documents and Settings\Admin\Dane aplikacji\Immunet
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj poniżej wyliczone: KLIK.

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera)
"HOMESTUDENTR" = Microsoft Office Home and Student 2007 ----> doinstaluj pakiet SP3
"Opera 12.02.1578" = Opera 12.02
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

.

Zadania pomyślnie wykonane. Przechodzimy do wykończeń:

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found
[2012-11-08 17:43:29 | 000,000,000 | ---D | M] -- C:\Users\Marek\AppData\Roaming\Splashtop

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL i kwarantannę. "Stare dane programu Firefox" na Pulpicie możesz do śmieci wyrzucić.

3. Aktualnie działają równolegle dwa antywirusy: Avast + Microsoft Security Essentials. To za dużo. Jeden z nich do deinstalacji.

4. W Dzienniku zdarzeń jest błąd WMI numer 10. Napraw go narzędziem z artykułu KB2545227.

5. Wyczyść foldery Przywracania systemu: KLIK.

6. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java™ 6 Update 6
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"{E33DB440-A008-4928-8A4E-5FC5ADDED608}" = OpenOffice.org 2.4
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome
"Mozilla Thunderbird 10.0.2 (x86 pl)" = Mozilla Thunderbird 10.0.2 (x86 pl)

Stare Adobe i Java najpierw odinstaluj zanim zainstalujesz najnowsze wersje.

.

Posłużyłeś się okropnie starym AdwCleaner v1.800. Najnowsza wersja to 2.007. Pobierz ze strony domowej, uruchom ponownie, przedstaw log.

Wnioski: wgrałeś zły plik kernel32.dll niezgodny z Twoją wersją systemu (status aktualizacji i Service Pack). Z poziomu Windows 7 przeszukaj te foldery XP w celu znalezienia właściwej kopii pliku:

C:\WINDOWS\system32\dllcache

C:\WINDOWS\ServicePackFiles\i386

C:\WINDOWS\$NtServicePackUninstall$

ServicePackFiles + $NtServicePackUninstall$ może nie być, jeśli ta przeróbka miała zintegrowany Service Pack (brak instalacji = brak powiązanych folderów). Folder Ochrony plików dllcache jest ukryty i by go widzieć należy odznaczyć opcję "Ukryj chronione pliki systemu operacyjnego".

.

Zadania pomyślnie wykonane. Kończymy:

1. Drobna poprawka na domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{2F1E335A-858A-4BE9-8F6B-D0AF1D018B53}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2F1E335A-858A-4BE9-8F6B-D0AF1D018B53}]
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do śmieci.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java™ 6 Update 24 (64-bit)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.4) MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

Czyli: wszystkie zakreślone stare Adobe i Java odinstaluj przed wstawieniem najnowszych + doinstaluj Service Pack dla Microsoft SQL Server 2008 (KB968382).

.

Prawie wszystko pomyślnie wykonane, poprawki zostały.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Windows\tasks\OptimizerPro1UpdaterTask{5302963C-5604-4258-B614-513A5EE23C2E}.job

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

2. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{88C7F2AA-F93F-432C-8F0E-B7D85967A527}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{88c7f2aa-f93f-432c-8f0e-b7d85967a527}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{20ECC4C3-E66D-4108-BBED-4AD048608005}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{3C588311-46AD-4352-A3A7-27FEC7012545}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{F7C60FEB-8B13-4F8A-AD11-43C4CDC43FC3}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_CURRENT_USER\Software\MozillaPlugins\ubisoft.com/uplaypc]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"ROC_roc_ssl_v12"=-

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. AdwCleaner chyba uszkodził Google Chrome, log AdwCleaner dziwny, a teraz i OTL przestal wykrywać preferencje tej przeglądarki. Google Chrome przeinstaluj na świeżo.

4. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie do kosza.

5. Wyczyść foldery Przywracania systemu: KLIK.

6. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu masz obecnie zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.4) MUI
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Gadu-Gadu" = Gadu-Gadu 7.7
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

Wszystkie stare Adobe i Java odinstaluj zanim zainstalujesz najnowsze wersje.

Gadu-Gadu 7.7 też tu zakreślam, archaiczny i niepełnosprawny program o niskim poziomie bezpieczeństwa. Polecam alternatywny nowoczesny program WTW. Pełny opis komunikatora: KLIK.

.

Tak, skan był robiony z innego konta. Zaznaczyłem opcję skanu dla wszystkich użytkowników, więc myślałem że tak też może być.

Skan z OTL zawsze musi być robiony z poziomu konta na którym jest problem, a omawiana opcja nie robi tego co myślisz (większość loga to nadal środowisko zalogowanego konta). Skutki przełączenia kont widoczne tu od razu, widać ów skrót infekcji (teraz kieruje do kwarantanny OTL):

O4 - Startup: C:\Documents and Settings\Gość\Menu Start\Programy\Autostart\ctfmon.lnk =  File not found
O4 - Startup: C:\Documents and Settings\Michał\Menu Start\Programy\Autostart\ctfmon.lnk = C:\_OTL\MovedFiles\11072012_203650\C_Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation)

Należy poprawić:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Michał\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\Gość\Menu Start\Programy\Autostart\ctfmon.lnk
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LG LinkAir"=-

Klik w Wykonaj skrypt. Tym razem bez restartu, otworzy się log z wynikami usuwania.

2. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan OTL zbędny.

.

Możesz go uruchomić z poziomu Trybu awaryjnego (mniej procesów działa w tle).

Zadania pomyślnie wykonane, kończymy:

1. Drobna poprawka na domyślne wyszukiwarki IE po użyciu AdwCleaner + szczątek Akamai. Otwórz Notatnik i wklej wnim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. To nie zostało wykonane jak należy:

4. Odinstaluj zbędny Akamai NetSession Interface. Masz też za dużo programów zabezpieczających, aktualnie wspólnie działają G Data AntiVirus 2012, Microsoft Security Essentials, Emsisoft Anti-Malware. Nadwyżka do deinstalacji.

Dwa antywirusy czynne aktualnie: G Data AntiVirus 2012 + Microsoft Security Essentials. Jeden z nich do deinstalacji.

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Odinstaluj stare Java, sprawdź wersję wtyczki Adobe Flash w Internet Explorer: KLIK. Wg raportu aktualnie masz zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 32
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

PS. Widzę też zainstalowane koszmarne zasobożerne Gadu-Gadu 10. Obejrzyj alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

Log zrobiony z poziomu złego konta, wbudowanego w system Administratora a nie konta użytkownika:

Computer Name: ACER-CDE2CA277C | User Name: Administrator | Logged in as Administrator.

To konto nie było nawet czynne przed akcją (świeży zrzut folderu na dysk). Konta mają inne foldery i rejestry i logi muszą pochodzić z konta na którym ujawnia się problem. Infekcja działająca na konkretnym koncie nie jest widziana z poziomu innego. Tak tu właśnie jest. Proszę przelogować się na właściwe konto, zrobić nowe logi OTL, podmienić załączniki w pierwszym poście i na PW dać znać o edycji.

EDIT: Logi wymienione. Przechodzimy do czyszczenia:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\ppp\Dane aplikacji\msconfig.dat
C:\Documents and Settings\ppp\Dane aplikacji\msconfig.ini
C:\Documents and Settings\ppp\ms.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKCU..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Program Files\Picasa2\npPicasa2.dll File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ppp\USTAWI~1\Temp\cpuz_x32.sys -- (cpuz129)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. Opuść Tryb awaryjny.

2. Przez Panel sterowania odinstaluj zbędniki McAfee Security Scan Plus, Yahoo! Toolbar.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Malware. REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

 

Skan nr 2

Malware. REGKEY: HKLM\SOFTWARE\CLASSES\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\INPROCSERVER32. Variable: (null) To be changed to: C:\Windows\system32\wbem\wbemess.dll

Ten wynik Pandy, jeśli w kółko go pokazuje, nie zgadza się zupełnie z logiem OTL. Wg OTL ten klucz jest poprawny:

========== ZeroAccess Check ==========
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009-07-14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

Jak mówię, nie widzę tu żadnych oznak infekcji ZeroAccess/Sirefef.

Mam nadzieję, że usunąłeś plik infekcji C:\ProgramData\dsgsdgdsgdsgw.pad. Doczyść jeszcze adware, o którym wspominałam, oraz wpisy odpadkowe:

1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, AVG Security Toolbar, Babylon toolbar on IE.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:OTL
O4 - HKLM..\Run: []  File not found
O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rejestracja Need for Speed™ Undercover.lnk =  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard)
[2012-11-06 23:02:20 | 000,000,000 | ---D | C] -- C:\Program Files\Enigma Software Group
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Alternatywnie możesz zastosować: Dr. Web CureIt lub Microsoft Safety Scanner.

.

Stosowałeś ComboFix i na ten temat: KLIK.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Adaś\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Program Files\mozilla firefox\searchplugins\v9.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"SpeedConnectStartUp"=-
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

2. Przez Panel sterowania odinstaluj adware Deinstalator Strony V9. Pozbądź się też Yahoo! Companion.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Przepraszam, omyłkowo wkleiłam nie tę informację co należy. Już poprawione.

na koncu zwalniam galaz rejestru i co dalej jak wyjsc do windows zeby zmiany zostaly zapisane ja naciskam wznow ponownie i zostaje ten sam blad w windows

Przecież edycja w tak podmontowanej gałęzi jest równoznacza z zapisem zmian ... I zaraz, jakie "wznów ponownie"? Miałaś zbootować z płyty do "Napraw komputer", wykonać edycję, następnie wykonać reset komputera już bez płyty i wejść do Windows. Jeśli po prawidłowo przeprowadzonej edycji jest nadal problem, widocznie nie odwróciłaś wszystkiego co narobiłaś.

I jeszcze jedno pytanie czy mam przeprwadzic zmiany tylko w program files dir czy w innych takze pozdro

Miałaś odwrócić wszystko co robiłaś. To Ty mieszałaś w Windows, to Ty zepsułaś ścieżki w rejestrze, więc to tylko Ty wiesz co narobiłaś. Ja podać mogę jedynie metody edycji rejestru przy niedziałającym regedit (czyli tu podane już), ale jakie edycje do wykonania to tylko Ty wiesz.

.