picasso

Posługujesz się starym OTL 3.2.59.1 i to dostatecznie nieszczęśliwie tu, bo tak się składa, że dopiero od 3.2.61.0 jest wprowadzona poprawka skanu Firefoxa zgłoszonego przeze mnie jako błędnego (detekcja archaicznych preferencji add-onów, brak detekcji wartości extensions.enabledAddons). Proszę pobierz najnowszy OTL i ponów skan. Na razie mogę powiedzieć, że w Twoim Firefox jest przynajmniej jedno ustawienie zmodyfikowane przez adware (keyword.URL), wyszukiwarka adware na dysku, i jest także niestandardowy skin, a przynajmniej jego plik na dysku (NOIA4OPTIONS@ARIST2.XPI). .

Jeszcze na wszelki wypadek zrób skan w Kaspersky TDSSKiller. RasMan (Menedżer połączeń usługi dostęp zdalny) + RasAuto (Menedżer autopołączenia dostępu zdalnego) to są standardowe usługi Windows. W jaki sposób je "wyłączasz"? Jeśli w menedżerze zadań, to tylko sesyjne wyłączenie i po restarcie usługa znów się uruchomi, jeśli coś jej będzie wymagać (czynne współdzielenie czy typ połączenia np. VPN). Konfiguracja uruchomienia usług odbywa się w przystawce services.msc. Te dwie usługi domyślnie mają ustawiony Typu uruchomienia na Ręczny. Owszem, jest to jedna z opcji alternatywnego dostępu do kont. Są też różne distro specjalizowane pod kątem anonimizacji / bezpieczeństwa np. Tails. .

Posługujesz się starym OTL, na przyszłość: aplikację należy pobierać za każdym razem od nowa. Zakończ prawidłowo temat: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj aktualizację Windows i wyliczonych poniżej aplikacji: KLIK. System ma krytyczny poziom aktualizacji (brak SP3 + IE8): Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0 "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8 PS. Widzę Gadu-Gadu 10. Stwór zasobożerny. Obejrzyj alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. .

Czy Firefox chodzi na domyślnej skórce? I może pokaż log z OTL, co da pojęcie wstępne o tym co jest w nim zainstalowane.

Temat dołączam do poprzedniego. Nawiasem mówiąc nawet nie skończyliśmy wtedy (nie zadane czynności finalizujące + aktualizacje) ... Złapanie tej infekcji po raz kolejny jest wymowne. 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL O4 - HKLM..\Run: [WUDFPlatform] C:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1009\WUDFPlatform.exe () :Files C:\Documents and Settings\JA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1009 C:\Documents and Settings\JA\Dane aplikacji\hellomoto C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. 2. Logujesz się do Windows i robisz tradycyjne logi z OTL. .

Widocznie wpis jest ukryty. Zajmie się nim i tak AdwCleaner. Albo główna deinstalacja przez Panel sterowania już to usunęła i z Google Chrome, albo wpisy dla Ciebie niewidoczne. Zadanie anuluj i przejdź do dalszych czynności. W Google Chrome w ustawieniach karta Ustawienia > klik w przycisk Zarządzaj wyszukiwarkami, przestaw domyślną wyszukiwarkę, po tym Web Search usuń z listy. .

ComboFix został uruchomiony niepotrzebnie. Jedynie co zrobił, to brutalne usunięcie adware AutoCompletePro (co można było załatwić inaczej, łagodniej). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{C62D8343-68FB-4164-8F2F-FF658822E54F}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll File not found O4 - HKCU..\Run: [TSWorkspace] C:\Users\Anita\AppData\Local\Microsoft\Windows\3750\TSWorkspace.exe () DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Anita\AppData\Local\Temp\catchme.sys -- (catchme) :Files C:\Users\Anita\AppData\Local\Microsoft\Windows\3750 C:\Users\Anita\AppData\Roaming\hellomoto :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\Msconfig\startupreg\ApnUpdater] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar. Otwórz Google Chrome i w Rozszerzeniach odmontuj AutocompletePro. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

Stosowałeś ComboFix, co my na ten temat: KLIK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [WLanConn] C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2622\WLanConn.exe () DRV - File not found [Kernel | On_Demand | Stopped] -- G:\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Asus\USTAWI~1\Temp\catchme.sys -- (catchme) :Files C:\Documents and Settings\Asus\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2622 C:\Documents and Settings\Asus\Dane aplikacji\hellomoto :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Czy na pewno plik prefs.js był przenoszony na Pulpit podczas zamkniętego Firefox lub czy kolejność stosowania AdwCleaner nie została przestawiona (uruchomiony przed usuwaniem prefs.js)? AdwCleaner kasował z tego pliku wpisy adware, a to nie powinno mieć miejsca po zresetowaniu pliku... Firefox po usunięciu tego pliku (tu równe asekuracyjnemu przeniesieniu na Pulpit) podczas uruchomienia odtwarza go na czysto, czyli adware tam nie powinno być. To już dywagacje poboczne, bo tak czy owak adware usunięte. Wszystkie zadania wykonane. Czas na przejście do naprawy szkód wyrządzonych przez ZeroAccess. 1. W międzyczasie zaginął plik HOSTS: Hosts file not found Utwórz właściwy plik. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 2. Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess oraz ich uprawnień via SetACL): KLIK. W instrukcjach opuść sfc /scannow, nie jest potrzebne. 3. Rekonstrukcja usług Centrum zabezpieczeń, Windows Defender i Windows Update. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Adnotacja dla innych czytających: import dopasowany do Windows Vista. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. .

W pasku adresów przeglądarki wpisz about:config, wyszukaj wartość browser.newtab.url i z prawokliku zresetuj do poziomu domyślnego. .

Czy po użyciu zresetowałeś system? Czy sprawdziłeś metodę ręczną i potwierdziłeś, że w rejestrze istnieje wartość DisabledComponents i czy jest ona równa 0xffffffff (deaktywacja na wszystkich interfejsach sieciowych)?

mdat77 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy funkcja Edytuj. Posty sklejam. Przy okazji, log z OTL jeden wystarczy i zostawiam tylko ten ostatni. A te pliki z komunikatów w większości nieprzydatne tu i też usuwam. Czy to miało jakiekolwiek skutki dla Windows Defender? Nic się na jego temat nie wypowiadasz. Zostało tylko doczyszczenie odpadków. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-989666085-4185578678-2142005828-1000\..\URLSearchHook: {1392b8d2-5c05-419f-a8f6-b9f15a596612} - No CLSID value found IE - HKU\S-1-5-21-989666085-4185578678-2142005828-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found IE - HKU\S-1-5-21-989666085-4185578678-2142005828-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=15.0.2.72: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=15.0.2.72: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll File not found O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKU\S-1-5-21-989666085-4185578678-2142005828-1000\..\Toolbar\WebBrowser: (no name) - {1392B8D2-5C05-419F-A8F6-B9F15A596612} - No CLSID value found. O3 - HKU\S-1-5-21-989666085-4185578678-2142005828-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY) Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Do oceny wystarczy tylko log z usuwania. Nie ma potrzeby robić nowego skanu z OTL. .

Infekcji brak, temat przenosi się do działu Windows 7. Logi zrobione ze starego OTL. Był używany ComboFix i brak o tym wzmianki i prezentacji wyników pracy, a narzędzie nie jest tradycyjnym skanerem: KLIK. Teraz go prawidłowo odinstaluj. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Basia\Documents\ComboFix.exe /uninstall W logu widoczny crack aktywacji Chew7Hale: ========== Processes (SafeList) ========== PRC - [2012-09-30 09:38:27 | 002,169,856 | -HS- | M] () -- C:\Windows\System32\hale.exe ========== Modules (No Company Name) ========== MOD - [2012-09-30 09:38:27 | 002,169,856 | -HS- | M] () -- C:\Windows\System32\hale.exe O4 - HKLM..\Run: [Chew7Hale] C:\Windows\System32\hale.exe () No cóż, dołączasz do tej gromady poszkodowanych: KLIK / KLIK / KLIK / KLIK. Usuniesz crack, procesy wrócą do normy... PS. I zaktualizuj Windows, bo brak SP1 i IE9: KLIK. .

Jak mówiłam, to cenna funkcja i kiedyś może uratować system, a dodatkowo masz pod ręką od razu wbudowany w system "program" do odzyskiwania danych (z punktu Przywracania można wybiórczo odzyskać skasowane pliki/foldery = w karcie Właściwości plików / folderów funkcja "Poprzednie wersje"). Ustawienie domyślne jest w porządku, respektuje proporcje dysku. Szczególnych rad nie mam, poza hasłem "nie żałować miejsca", w rozumieniu zmierzania do sztucznych limitacji magazynu. Choć owszem, u Ciebie jest dość biednie, na system przyznałeś jednak zbyt małą partycję wg szablonu "minimalnych wymagań" i ja tu przeczuwam okresowe problemy ze zbliżaniem się na styk, co prowadzi mnie do pytania czy C+D leżą na jednym dysku fizycznym: Drive C: | 30,00 Gb Total Space | 8,84 Gb Free Space | 29,47% Space Free | Partition Type: NTFSDrive D: | 202,87 Gb Total Space | 73,48 Gb Free Space | 36,22% Space Free | Partition Type: NTFS Dodatkowo do wglądu tematy z pogranicza tematyki wyjaśniające parę innych spraw na temat Przywracania: KLIK / KLIK. .

W skład obowiązkowych logów wchodzi GMER. Podane tu logi to albo albo, a nie wszystkie wspólnie, gdyż to podobne zadaniowo twory, to skan na rootkity jest inny i wymagany do kompletu. Póki co, na razie brak oznak infekcji, jest tylko adware, ale zanim przejdę do usuwania tego uściślij o co Ci w ogóle chodzi: To teraz objaśnij dlaczego Ci się tak wydaje, jakie masz podstawy tak podejrzewać, co się wydarzyło. W ogóle nie opisałeś swojego problemu i skąd takie pomysły. Logi to nie wszystko, logi nie opowiedzą o tym co widzi użytkownik. Na wklej.org nie byłoby problemu. I tam też przeklejam. .

Jeśli masz pewność, to OK. Już widzę, że folder wrócił na miejsce. Swoją drogą: - Jeden skaner się wyłamał z opinii. - To przeskanowany ZIP a nie składowe, nie ma pewności czy wewnętrzne komponenty były skanowane. - VirusTotal nie jest dostatecznym dowodem, to jest skan sygnaturowy mający określone ograniczenia. Ten skan znaczy: te silniki nie widzą tam nic, co niekoniecznie jest tożsame z brakiem infekcji. Miej to na uwadze. Wpisy w zaporze to trojany, te obiekty symulujące pliki Windows csrss.exe + svchost.exe, ale uruchamiane z zupełnie innych ścieżek, nie mogą być niczym zdrowym: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"Client Server Runtime Process" = C:\Documents and Settings\UserXP\Application Data\csrss.exe "Host-process Windows (Rundll32.exe)" = C:\Documents and Settings\UserXP\Application Data\csrss.exe "Service Host Process for Windows" = C:\Documents and Settings\UserXP\Application Data\System32\svchost.exe Sam mi odróżniasz oba katalogi system32 i SFBot, a tu nagle bota zaczynasz w to mieszać. Nie widzę znaków infekcji, prewencyjnie skasuj z urządzenia przez SHIFT+DEL te dwa katalogi Koszy: [14/01/2010 - 10:43:30 | SHD ] M:\Recycled[14/08/2010 - 14:26:46 | SHD ] M:\$RECYCLE.BIN Czyli zostały tylko wykończenia: 1. Drobnostka po pasku Ask. W OTL uruchom skrypt o zawartości: :OTL "IE - HKU\S-1-5-21-1085031214-436374069-1547161642-1003\..\SearchScopes\{DD166A1F-4598-4EEB-B3EE-5C5782B6DFE1}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=HIP&o=102876&src=crm&q={searchTerms}&locale=&apn_ptnrs=6G&apn_dtid=YYYYYYYYPL&apn_uid=106b1255-ee0c-4e97-bb29-78e510304dc7&apn_sauid=7324D2D2-9DAF-4A1A-9861-DBE8123097BC" 2. Wyczyść po narzędziach: odinstaluj USBFix, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Na wszelki wypadek zrób pełne skanowanie w Malwarebytes Anti-Malware, gdyż ten folder system32 trochę niepokojący. W razie wykrycia czegoś przedstaw raport. .

Miałeś podać tylko log z wynikami usuwania OTL a nie nowy skan OTL (nie był mi potrzebny i go usuwam). TDSSKiller nie widzi żadnej infekcji, pokazane wyniki to tylko adnotacje o braku podpisów cyfrowych sterowników. Sumarycznie: zakończyliśmy temat. Wykonaj czynności końcowe, których zabrakło w poprzednim temacie: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj ważne aktualizacje systemowe i wyliczonych poniżej aplikacji: KLIK. Wg OTL system ma krytyczny status aktualizacji (brak SP3+IE8) i są widziane wersje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23 "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish "Gadu-Gadu" = Gadu-Gadu 7.7 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_3_300_271.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.0.50524.0\npctrl.dll ( Microsoft Corporation) Gadu-Gadu 7.7 też zakreślam, ze względu na "cechy" tego archaizmu: wersja bez pełnej obsługi własnej sieci + niski poziom zabezpieczeń (nieszyfrowane łączenia = możliwość podsłuchu). Poczytaj arykuł Darmowe komunikatory, w którym znajdziesz opisy alternatyw z obsługą Gadu. Aktualnie liczą się: WTW, Kadu, Miranda, AQQ. .

Zadania wykonane i możemy kończyć: 1. Dokasuj sobie przez SHIFT+DEL te obiekty po narzędziu Nortona i AVG: [2012-10-02 00:52:34 | 000,000,000 | ---D | C] -- C:\Users\Powstańców 45A\AppData\Local\NPE[2012-10-02 00:52:34 | 000,000,000 | ---D | C] -- C:\ProgramData\Norton [2012-10-02 18:31:38 | 000,866,592 | ---- | M] () -- C:\Users\Powstańców 45A\Desktop\Norton_Removal_Tool.exe [2011-05-22 01:09:06 | 000,000,000 | ---D | M] -- C:\Users\Powstańców 45A\AppData\Roaming\AVG10 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. W Dzienniku zdarzeń widoczny drobny błąd WMI numer 10. Instrukcje naprawcze: KB950375. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Jak już sam zauważasz, do aktualizacji Java, ale również i Adobe: KLIK. Wersje widziane aktualnie w Twoim systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 - Wątpię w oba jako wynikową szczątków urządzeń wymiennych. Ten problem niestartowania systemu na etapie paska prędzej się kojarzy ze sterownikami. - Jeśli rzecz o samych "szczątkach", to możesz skorzystać z narzędzia USB-set, które w karcie Cleaning Traces udostępnia opcję Traces of previous connected removable drives. Co masz na myśli pod sformułowaniem "nie pokazuje"? Całkowicie puste okno przy próbie podglądnięcia listy aktualizacji pokazanych jako dostępne? .

Nowe skany OTL nie były mi potrzebne (usuwam) dla potwierdzenia tak nikłych modyfikacji. Akcje wykonane jak w zamiarze i możemy kończyć: 1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, Delete FXP Files rzecz jasna możesz odinstalować. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj IE i wtyczkę Adobe Flash w Firefox: KLIK. Wersje aktualnie widziane w logach: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () .

Sam sobie wystawiłeś diagnozę. Prócz wzmiankowanych obiektów jest jeszcze taki ukryty plik: [2012-09-25 12:43:18 | 000,000,080 | RHS- | M] () -- C:\WINDOWS\System32\4278422500.dll Czyli kierunek na skanery antywirusowe: SalityKiller, Kaspersky Virus Removal Tool. Wcale tak nie musi być w każdym przypadku (wariantów Sality też kilka), nie ma określonych barier żywotności programów (znam przypadki, gdy ktoś z wirusem koegzystował bardzo długi okres czasu, aż nastąpiła kulminacja i Windows przestał się uruchamiać), a co dopiero na forum przykład z zarażonego systemu nie mającego wpisów blokujących regedit i menedżer zadań. Fakty tu są następujące: jest usługa Sality w logu (usługa ta jest charakterystyczna dla czynnego wirusa), są autoryzacje w zaporze, a Avast zachowuje się bardzo podejrzanie. Natomiast nie wypowiadasz się nic na temat tego czy działa Tryb awaryjny. .

Pusty log z Kasperskiego mi nie jest potrzebny, usuwam. Hmmm, skoro zignorowałeś ten wynik w skanerze, a TDSSKiller jej nie wykrył + tu w logu z OTL nie widać wpisu rejestru przez który ładuje się ten plik, to przychodzi na myśl tylko jedno: ta infekcja nie była czynna lub antywirus zapobiegł pełnemu jej wykonaniu. Czy Ad-aware nadal wykrywa ten plik consrv.dll? Oceniając całościowo logi z OTL: na razie nie ma tu nic do roboty. .

Logi proszę dodawaj jako Załączniki, przeniosłam raport OTL do tej formy. Czekam na GMER. A zadanie tym razem pomyślnie wykonane i Brontok w części startowej został usunięty, ale i tak będzie robiony później skan antywirusowy. .

Wnioskując po logach OTL zająłeś się tylko wpisem, ale na dysku nadal dobrze widoczne pliki tej infekcji (msconfig.dat + msconfig.ini). 1. Przeprowadź usuwanie adware i zbędnych elementów: - Przez Panel sterowania odinstaluj adware Ask Toolbar, DAEMON Tools Toolbar, vShare plugin 1.3, vShare.tv plugin 1.3, VshareComplete. Przy okazji pozbądź się też niepełnosprawnych skanerów McAfee Security Scan Plus, Norton Security Scan, Skaner on-line mks_vir, Spybot - Search & Destroy. - Otwórz Firefox i w Dodatkach odinstaluj DAEMON Tools Toolbar, Sopcast Ask Toolbar, vShare, VshareComplete. - Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw domyślną z v9 na Google po tym v9 skasuj z listy. Z listy stron startowych wymaż www.v9.com. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Wojtek\AppData\Roaming\msconfig.dat C:\Users\Wojtek\AppData\Roaming\msconfig.ini C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\p7i6vdi1.default\searchplugins\askcom.xml C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\p7i6vdi1.default\searchplugins\daemon-search.xml C:\Users\Wojtek\AppData\Roaming\Mozilla\Firefox\Profiles\p7i6vdi1.default\searchplugins\startsear.xml C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&q=" FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.search.selectedEngine: "v9" FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=TOSHIBA_MK3252GSX_589JF1BGS__589JF1BGS&ts=1349196144" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=c7715eb7-dbf7-11e0-9208-00214f546f5e&q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{2F5C5EAE-73F8-463A-ADDC-4AFB7989B539}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-2632797812-2884028479-220639230-1001\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=HygPp8w4VLw-8S6BefO1anWJ1Qw?q={searchTerms}" O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{95B71844-B267-4DDD-B358-C05034E4BB23}C:\program files (x86)\sopcast\adv\sopadver.exe"=- "TCP Query User{C6BAB794-67D2-4431-A779-661570D714C7}C:\program files (x86)\sopcast\adv\sopadver.exe"=- "UDP Query User{C90B6F4F-2198-4385-BC32-AED73C377CC7}C:\program files (x86)\sopcast\adv\sopadver.exe"=- "UDP Query User{DB14F8EB-36A7-4C63-BF96-14EE7C287007}C:\program files (x86)\sopcast\adv\sopadver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System będzie restartował. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner. .

Odinstalowanie ComboFix oraz dysków wirtualnych nie ma żadnego wpływu na wyniki MBAM, akcje nie mają zazębienia. Te raporty nie są potrzebne. Wracając do meritum: czy historie z e-mail się powtórzyły, czy zmieniłeś dane logowania do poczty? Nie powinieneś mi zadawać tego pytania, ponieważ oczekujesz ode mnie zachęty, co jest wysoce sprzeczne z rolą którą pełnię w tym dziale. Ja za żadnego cracka głowy nie podłożę i gwarancji nie dam, ponadto w takich przypadkach nie poświęcam czasu na analizę, czy to "bezpieczny crack", tylko staram się odwodzić od używania takiego rodzaju oprogramowania w pierwszej kolejności. Powody: zabezpieczanie systemu crackowanym programem jest zaprzeczeniem zabezpieczania, ponieważ jest używana droga, która może prowadzić do infekcji, użytkownik praktykując określone działania mimowolnie nabiera znieczulicy na zjawisko "crack" i następnym razem może sobie zainstalować coś naprawdę niedobrego. .

Zabrakło obowiązkowego raportu z GMER. Logi z OTL to za mało, by sprawdzić system, OTL nie pokazuje wpisów ukrytych ... Darujmy to sobie jednak, bo: No cóż, jest po zabawie. System zainfekowany wirusem Sality, który zaraża wszystkie wykonywalne na wszystkich dyskach, poza tym kasuje też Tryb awaryjny. O Sality świadczy poniższy sterownik oraz masa autoryzacji w zaporze (potwierdzająca też wdrażaną infekcję plików systemowych i programów) z adnotacją "ipsec": To taki typ infekcji, że często kończy się formatem. Zresztą ja uważam, że w Twoim przypadku format jest tu odpowiednim narzędziem do zastosowania w pierwszej kolejności, gdyż parę dni temu przeinstalowałeś system. Nie ma sensu się męczyć i usprawniać co dopiero zainstalowany system, a już poważnie uszkodzony (który wymagałby wielu działań + kompletnej aktualizacji), szybciej pójdzie postawienie go na nowo. Ale kilka uwag: - Jaki był powód przeinstalowania Windows? Czy coś określonego się działo? Może wirus już wtedy był? - Prawdopodobnym źródłem infekcji może być ... pendrive, lub pliki zlokalizowane na innej partycji niż systemowa, które uruchamiałeś po przeinstalowaniu Windows nie wiedząc, że są zainfekowane. - Wirus atakuje pliki wykonywalne na wszystkich partycjach, nie wystarczy format partycji systemowej, a z dysków nie wolno zrobić kopii zapasowej plików wykonywalnych (po formacie odtworzą wirusa). Wg OTL są tu dwie partycje: %SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Program FilesDrive C: | 39,13 Gb Total Space | 39,04 Gb Free Space | 99,77% Space Free | Partition Type: NTFS Drive D: | 35,42 Gb Total Space | 26,39 Gb Free Space | 74,51% Space Free | Partition Type: NTFS Ponadto, Twój pendrive ma niejasną zawartość i stanowi potencjalne zagrożenie jako nosiciel wirusa. .