picasso

Sugeruję testową deinstalację (tylko to daje pewność), w celu weryfikacji czy F-Secure przyczynia się do wystąpienia tego problemu.

Plik pomyślnie naprawiony. Logi z OTL robisz już normalnie spod Windows.

Jak rozumiem, już podstawiłeś z powrotem stary rejestr, bo w logu brud i szczątki aplikacji. Na razie to pomijam, gdyż rejestr z Repair reaguje niepomyślnie. Skoro folder jest zablokowany to prawie na pewno blokuje to niekompletnie usunięty antywirus (czynne serwisy) i nie wolno tego ruszyć na chama. Przy usuwaniu antywirusów jakikolwiek przymus może mieć katastrofalne skutki. Na przyszłość: żaden Unlocker tylko boot do Trybu awaryjnego i spożycie specjalizowanego usuwacza (KLIK). Wygląda na komunikat uszkodzonych danych instalacyjnych określonej aplikacji. Może Avast, może co innego. Mapowanie dysków w środowisku zewnętrznym może różnie wyglądać, liternictwo jest asygnowane wg kolejności dysków i wystąpień partycji aktywnej. Ze skanu wynika, że podstawiłeś nieprawidłowe stare wersje plików (niezgodne z SP3): [2008/04/14 17:51:12 | 000,006,144 | ---- | M] (Microsoft Corporation) MD5=A414ED40E29D86C275D8EA66944886F6 -- E:\WINDOWS\ServicePackFiles\i386\csrss.exe [2008/04/14 13:21:10 | 000,006,144 | ---- | M] (Microsoft Corporation) MD5=A414ED40E29D86C275D8EA66944886F6 -- E:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\csrss.exe [2004/08/04 09:00:00 | 000,006,144 | ---- | M] (Microsoft Corporation) MD5=B80C4ADC9A6BACC82039936F3BBA65EC -- E:\WINDOWS\system32\csrss.exe [2001/10/26 13:29:54 | 001,002,496 | ---- | M] (Microsoft Corporation) MD5=0B6CB4ABB3166E1717BDA7895F2029D8 -- E:\WINDOWS\explorer.exe [2008/04/14 17:51:18 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=C791ED9EAC5E76D9525E157B1D7A599A -- E:\WINDOWS\ServicePackFiles\i386\explorer.exe [2008/04/14 13:21:16 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=C791ED9EAC5E76D9525E157B1D7A599A -- E:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\explorer.exe [2008/04/14 17:51:46 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=2A5B37D520508BE6570A3EA79695F5B5 -- E:\WINDOWS\ServicePackFiles\i386\userinit.exe [2008/04/14 13:21:45 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=2A5B37D520508BE6570A3EA79695F5B5 -- E:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\userinit.exe [2001/10/26 13:30:06 | 000,022,016 | ---- | M] (Microsoft Corporation) MD5=9F95EC57E3AB4876AC7A6495FF289EC7 -- E:\WINDOWS\system32\userinit.exe [2001/10/26 13:30:08 | 000,432,640 | ---- | M] (Microsoft Corporation) MD5=306530C12F412868E2E85431250E68A1 -- E:\WINDOWS\system32\winlogon.exe [2008/04/14 17:51:50 | 000,510,464 | ---- | M] (Microsoft Corporation) MD5=51FD2E13D723857B9CA239AE77150F48 -- E:\WINDOWS\ServicePackFiles\i386\winlogon.exe [2008/04/14 13:21:48 | 000,510,464 | ---- | M] (Microsoft Corporation) MD5=51FD2E13D723857B9CA239AE77150F48 -- E:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\winlogon.exe Z poziomu OTLPE przekopiuj pliki z E:\WINDOWS\ServicePackFiles\i386 zamieniając te zakreślone w E:\WINDOWS i E:\WINDOWS\system32. I podaj wyniki czy to zmieniło coś. .

W logach brak oznak infekcji. Tylko zaktualizuj sobie to co tego wymaga: KLIK. GooredFix to aplikacja limitowana do jednego wątku (wtyczki w Firefox), nie aktualizowana, a dane z niej przedstawia i log OTL (aktualnie lepsze dane niż GooredFix). GooredFix zupełnie nic nie zrobił, prowadził tylko skan do odczytu, nic nie było usuwane. Tak więc to tylko zbieg okoliczności, że nastąpiła poprawa po jego użyciu. .

Przemilczałeś używanie ComboFix. Na ten temat: KLIK. 1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL O4 - HKLM..\Run: [Malwarebytes Anti-Malware (reboot)] File not found O4 - HKU\User_ON_C..\Run: [software Informer] File not found O4 - HKU\User_ON_C..\Run: [yufwqibhwotoqur] C:\WINDOWS\yufwqibh.exe () [2012/09/29 12:06:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\djzwifppwtajjes [2012/09/29 12:06:22 | 000,078,021 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\indrhersigzokrk [2011/06/07 17:13:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\User\Dane aplikacji\OpenCandy SRV - File not found [Disabled] -- -- (SQLWriter) SRV - File not found [Disabled] -- -- (SQLBrowser) SRV - File not found [Disabled] -- -- (MSSQLServerADHelper) SRV - File not found [Disabled] -- -- (MSSQLSERVER) SQL Server (MSSQLSERVER) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [Kernel | On_Demand] -- -- (catchme) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Blokada zostanie zdjęta i logujesz się już normalnie do Windows: 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, Babylon toolbar on IE, Przyspiesz Komputer v2.1, uTorrentBar Toolbar. Otwórz Firefox i w Dodatkach powtórz deinstalację Babylon. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób tradycyjny log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

1. Przygotuj plik naprawczy. Otwórz Notatnik i wklej w nim: CMD: copy /y C:\Windows\winsxs\x86_microsoft-windows-w..nfrastructure-ws232_31bf3856ad364e35_6.1.7601.17514_none_f4bf1aae2c981ecf\ws2_32.dll C:\Windows\System32\ws2_32.dll Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST. 2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Skrypt zostanie przetworzony i powstanie plik fixlog.txt. 3. Restartujesz do Windows i tworzysz klasyczne logi z OTL. Pro forma dołącz log fixlog.txt. .

Log z OTL nie został zrobiony prawidłowo, opcja Rejestr została ustawiona na Wszystko, a powinno być Użyj filtrowania. W raportach jawna infekcja (masa wpisów startowych), oczywiście przenosimy się do innego działu. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vlbbvv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vqlll1.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0vvvql1.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1aavllv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1al6qvq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1lflvqf.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\4lf25fq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5q1faqq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5vvgl9g.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\6gvllll.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7lgaavv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\86q7lvl.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a0vl6qvfal.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a0vq0k0faa.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a7la6gvvq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\a7vqkkffa7.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aa2av5q1fa.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aalfv5q1fa.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aaq4alaqg.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aavkkfv98.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aavqav2q.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aavqq6kf.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aavvq5g1.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aqfaa2ava.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\avqq6kfaa7.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fl0vvqv2lll.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fv98qkf9lql.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fvvqf9a0vq0.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fvvqfqva.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\g1gaavvv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gagllavgg.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gllgll2gv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gvvggvvqq8.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gvvqg01l.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kfqkffaaaf.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\kkkkfvqq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lf9aqqla.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\q6fvf4avq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\q6llva1v2.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qavqqqvv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qfaaq1fv.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qfqfvqql1f.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ql4v5q1faq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\v1kkfv98q.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\v1llffaqq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\v25qa9ffql.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\v38qlbqbl.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\v6fvv2qqq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vq1f85lgg6.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vq5v4alaqg.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vqffaalfvva.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vqfqf9qav.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vqk4fvvq.exe () O4 - Startup: C:\Users\Ja\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\vvqffaavlll.exe () O7 - HKU\S-1-5-21-4155339703-1547500437-202752556-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: RealNetworks = C:\Users\Ja\AppData\Roaming\4A844A\4A844A.exe () O7 - HKU\S-1-5-21-4155339703-1547500437-202752556-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: JEDI-VCL = C:\Users\Ja\AppData\Roaming\459535\459535.exe () [2009-04-11 00:28:18 | 000,000,000 | -HSD | M] -- C:\Users\Ja\AppData\Roaming\459535 [2009-04-11 00:28:18 | 000,000,000 | -HSD | M] -- C:\Users\Ja\AppData\Roaming\4A844A [2011-10-06 19:39:06 | 000,066,936 | -HS- | C] () -- C:\Windows\dlinfo_0.drv IE - HKU\S-1-5-21-4155339703-1547500437-202752556-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" SRV - File not found [On_Demand | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe -- (McSysmon) SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe -- (McShield) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Ja\Desktop\ultra star\zlportio.sys -- (zlportio) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Sprawdź: 1. Panel sterowania > Konta użytkowników i Filtr rodzinny > Menedżer poświadczeń > Poświadczenia systemu Windows > wyszukaj rekord pasujący do obiektu i usuń z magazynu. 2. Całkowite skasowanie tego współdzielenia i udostępnienie dysku na nowo. .

I tak jak mówiłam, usterka w folderach powłoki to powód generowania tych procentowych katalogów na dysku. SystemLook twierdzi, że w ogóle nie masz jednego z kluczy: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] (Unable to open key - key not found) 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "AppData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,00,00 "Cache"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,4c,\ 00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,4c,00,\ 6f,00,63,00,61,00,6c,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,66,\ 00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,54,00,65,00,\ 6d,00,70,00,6f,00,72,00,61,00,72,00,79,00,20,00,49,00,6e,00,74,00,65,00,72,\ 00,6e,00,65,00,74,00,20,00,46,00,69,00,6c,00,65,00,73,00,00,00 "Cookies"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,43,00,6f,00,6f,00,6b,00,69,00,65,00,73,00,00,00 "Desktop"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,44,00,65,00,73,00,6b,00,74,00,6f,00,70,00,00,00 "Favorites"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,46,00,61,00,76,00,6f,00,72,00,69,00,74,00,65,00,73,\ 00,00,00 "History"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,4c,\ 00,6f,00,63,00,61,00,6c,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,00,6f,00,\ 66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,48,00,69,\ 00,73,00,74,00,6f,00,72,00,79,00,00,00 "Local AppData"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,\ 49,00,4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,\ 00,4c,00,6f,00,63,00,61,00,6c,00,00,00 "My Music"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,4d,00,75,00,73,00,69,00,63,00,00,00 "My Pictures"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,\ 00,4c,00,45,00,25,00,5c,00,50,00,69,00,63,00,74,00,75,00,72,00,65,00,73,00,\ 00,00 "My Video"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,56,00,69,00,64,00,65,00,6f,00,73,00,00,00 "NetHood"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,20,00,53,00,68,00,6f,00,72,00,\ 74,00,63,00,75,00,74,00,73,00,00,00 "Personal"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,44,00,6f,00,63,00,75,00,6d,00,65,00,6e,00,74,00,73,\ 00,00,00 "Programs"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\ 72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,00,00 "Recent"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,4c,\ 00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,00,\ 6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,\ 00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,\ 52,00,65,00,63,00,65,00,6e,00,74,00,00,00 "SendTo"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,4c,\ 00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,00,\ 6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,73,\ 00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,\ 53,00,65,00,6e,00,64,00,54,00,6f,00,00,00 "Startup"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,5c,00,50,00,\ 72,00,6f,00,67,00,72,00,61,00,6d,00,73,00,5c,00,53,00,74,00,61,00,72,00,74,\ 00,75,00,70,00,00,00 "Start Menu"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,\ 00,4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,\ 52,00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,\ 00,73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 5c,00,53,00,74,00,61,00,72,00,74,00,20,00,4d,00,65,00,6e,00,75,00,00,00 "Templates"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,54,00,65,00,6d,00,70,00,6c,00,61,00,74,00,65,00,73,00,00,00 "{374DE290-123F-4565-9164-39C4925E467B}"=hex(2):25,00,55,00,53,00,45,00,52,00,\ 50,00,52,00,4f,00,46,00,49,00,4c,00,45,00,25,00,5c,00,44,00,6f,00,77,00,6e,\ 00,6c,00,6f,00,61,00,64,00,73,00,00,00 "PrintHood"=hex(2):25,00,55,00,53,00,45,00,52,00,50,00,52,00,4f,00,46,00,49,00,\ 4c,00,45,00,25,00,5c,00,41,00,70,00,70,00,44,00,61,00,74,00,61,00,5c,00,52,\ 00,6f,00,61,00,6d,00,69,00,6e,00,67,00,5c,00,4d,00,69,00,63,00,72,00,6f,00,\ 73,00,6f,00,66,00,74,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,\ 00,50,00,72,00,69,00,6e,00,74,00,65,00,72,00,20,00,53,00,68,00,6f,00,72,00,\ 74,00,63,00,75,00,74,00,73,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i wybierz z menu kontekstowego opcję Scal. Zatwierdź import danych do rejestru. 2. Zresetuj system, by zatwierdzić zmiany. System zregeneruje układ folderów powłoki. Dokasuj te procenty: C:\Windows\system32\%LocalAppData% C:\Windows\system32\%APPDATA% C:\Windows\SysWow64\%APPDATA% C:\Users\happy\%APPDATA% C:\%APPDATA% PS. Nazwę tematu zmieniam, bo ZeroAccess tu na pewno nie ma. Brak podstaw do dalszej diagnostyki pod kątem infekcji. Temat przenoszę do działu systemowego. .

Apropos "radziłeś" = jestem kobietą. Kiedy pojawiła się ta "lipa", tzn. uściślij czy wyszedłeś z czystego rozruchu czy nadal w nim siedzisz? W jakim celu dołączasz zrzut ekranu z menedżera procesów (bardzo ograniczony zresztą)? I proponuję jednak sprawdzić F-Secure, to bardzo rozbudowany pakiet, a test dający 100% to deinstalacja. .

Przepraszam, drobna pomyłka, z rozpędu zapomniałam o dyrektywie skanowania w SystemLook. Już poprawione, zrób nowy skan. Na razie to żadne z objawów nie sugerują, by to była robota infekcji. .

A jaki powód zakładania tematu w dziale diagnostyki infekcji? Przenoszę do działu systemowego. Log z FRST to nawet nie wykrywa dysku z systemem, podaje listę takich oto urządzeń: 1 Drive g: (LRMCFRE_PL_DVD) (CDROM) (Total:2.4 GB) (Free:0 GB) UDF 2 Drive h: () (Removable) (Total:3.73 GB) (Free:3.42 GB) FAT32 3 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS W związku z tym skan jest całkowicie bezużyteczny, a tych komunikatów nie można brać za odnośnik: "Attention: Could not load system hive.Attention: System hive is missing." + "Attention: Software hive is missing.". Pliki rejestru nie znalezione, bo FRST nie widzi dysku z Windows i skanuje wymienny H. Czy dysk twardy na pewno podłączyłeś tak jak poprzednio był podpięty? Mogłeś sobie darować tę uwagę, bo to jest oczywiste, że jeśli prowadzono gdzieś temat, należy obowiązkowo podać gdzie i co robiono. Zaś w samym temacie to właściwie nie ma nic ciekawego. .

Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje widziane w logach: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1 Lite "{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-4180017802-2292323992-3731856309-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome 21.0.1180.89 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll () Posiadasz Windows 7, a na tej platformie Przywracanie systemu jest cenną funkcją naprawczą, to nie jest prymityw z Windows XP. Co więcej, Przywracanie systemu można uruchomić w sytuacji, gdy Windows już nie startuje, z poziomu środowiska WinRE. Z tych powodów nie polecam wyłączać tej funkcji. .

ComboFix owszem kasował obiekty infekcyjne, ale trudno stwierdzić czy to zazębia się z opisem: ADS - Windows: deleted 192 bytes in 1 streams.. ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . D:\resycled d:\resycled\boot.com W logach z OTL brak oznak infekcji. Tylko pytanie, czy blokada dostępu do apletów Panelu sterowania to celowe działania (?): O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 1 = Microsoft.ActionCenter O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 5 = Microsoft.BitLockerDriveEncryption O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 6 = Microsoft.ColorManagement O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 14 = Microsoft.EaseofAccessCenter O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 16 = Microsoft.Fonts O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 22 = Microsoft.LocationandOtherSensors O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 37 = Microsoft.SyncCenter O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 36 = Microsoft.SpeechRecognition O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 44 = Microsoft.WindowsUpdate Czyli na teraz nasuwają się tylko ogólne działania: 1. Przez SHIFT+DEL skasuj ten drobny plik adware: C:\Users\Sylwek\AppData\Roaming\mozilla\firefox\profiles\6dvcn9ij.default\searchplugins\conduit.xml 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Sylwek\Desktop\ComboFix.exe /uninstall 3. Na wszelki wypadek zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś, przedstaw raport. Zmień dane logowania do poczty. "Niestety" główny podejrzany wysuwający się z logów to ESET. Dodatkowo, co dopiero został doinstalowany TrueCrypt i też nie wykluczam tu jakiejś interferencji. I pozbądź się okropnego archaizmu ACE Mega CoDecS Pack. Gdzie z czymś takim na nowoczesnym Windows 7 x64! .

W logach nie notuję oznak infekcji czynnej, choć w autoryzacjach zapory widać procesy trojanów + jest na dysku ukryty folder "system32", z którego się uruchamiał conajmniej jeden trojan, a tenże katalog tworzył się tego samego dnia co SFBot (co sugeruje zaprawienie z paczki z dodatkiem do jakiejś gry): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]"Client Server Runtime Process" = C:\Documents and Settings\UserXP\Application Data\csrss.exe "Host-process Windows (Rundll32.exe)" = C:\Documents and Settings\UserXP\Application Data\csrss.exe "Service Host Process for Windows" = C:\Documents and Settings\UserXP\Application Data\System32\svchost.exe ========== Files/Folders - Created Within 30 Days ========== [2012-09-24 23:35:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\UserXP\Application Data\SFBot [2012-09-24 07:25:00 | 000,000,000 | RHSD | C] -- C:\Documents and Settings\UserXP\Application Data\System32 Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater. Otwórz Firefox i w Dodatkach powtórz usuwanie tego samego. 2. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\UserXP\Application Data\*.exe C:\Documents and Settings\UserXP\Application Data\System32 C:\Documents and Settings\UserXP\Application Data\SFBot netsh firewall reset /C :OTL O4 - HKLM..\Run: [] File not found SRV - File not found [Auto | Stopped] -- e:/programy/FoxServ/mysql/bin/mysqld-nt.exe -- (MySql) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\UserXP\LOCALS~1\Temp\Rar$EXa0.736\pcwiz_x32.sys -- (cpuz135) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 3 + log z usuwania AdwCleaner z punktu 2. W skanie nic szczególnego: wynik w cache Java oraz trainer gry w Koszu (prawdopodobnie false alarm). Pod kątem cache Java, prewencyjnie już stosuję w skrypcie OTL komendę ogólnego czyszczenia lokalizacji Temp, co czyści i cache Java. Uruchom Panda USB Vaccine i zastosuj opcję Computer Vaccination, zresetuj system. Podepnij maksymalną ilość pendrive i zrób log USBFix z opcji Listing.. .

Temat przesuwam do działu Sieci. Oznak infekcji brak. Od razu sugeruję deinstalację Hotspot Shield, po pierwsze sterowniki relatywne do sieci, po drugie są i takie powody: KLIK (i widać w Twoim logu elementy adware takie jak dodane wyszukiwarki w IE). Podaj raport z Net-Log. .

ComboFix tylko lizał temat tej infekcji, usuwał połowę i nie zainteresował się głównym wpisem w starcie. Jego użycie było bezproduktywne i miało też skutki uboczne w postaci usunięcia tych prawidłowych obiektów Fakturki i 100 najsłynniejszych budowli: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))). . c:\documents and settings\All Users\Menu Start\Programy\Fakturka c:\documents and settings\All Users\Menu Start\Programy\Fakturka\Fakturka.lnk c:\windows\IsUn0415.exe - - - - USUNIĘTO PUSTE WPISY - - - - . AddRemove-100 najsłynniejszych budowli - c:\windows\IsUn0415.exe Moje działania usunęły infekcję i możemy już kończyć temat: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Start > Uruchom > wklej komendę: "C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall Gdy komenda ukończy działanie, w OTL zastosuj Sprzątanie. Przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 2. Do aktualizacji cały Windows (krytyczny poziom aktualizacji) i poniżej wymienione aplikacje. Podstawowe szczegóły: KLIK. Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "{DBC3FDEC-D5F4-439C-9A18-EF454A74E3DE}_is1" = NOD32 FiX "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Gadu-Gadu" = Gadu-Gadu 7.7 "KLiteCodecPack_is1" = K-Lite Codec Pack 3.8.0 Full "Mozilla Firefox 14.0.1 (x86 en-US)" = Mozilla Firefox 14.0.1 (x86 en-US) "NOD32" = System Antywirusowy NOD32 W podsumowaniu: - Pełna aktualizacja Windows. Stare Adobe, Java i kodeki do deinstalacji (zastąp najnowszymi wersjami). Firefox do aktualizacji. - Antywirus całkowicie do wymiany, stasznie stary ESET, czteroletni i na dodatek crackowany. Usunięcie go wg kroków: deinstalacja przez Panel sterowania antywirusa i NOD32 FiX, po tym z poziomu Trybu awaryjnego poprawka specjalizowanym usuwaczem ESET Uninstaller . - Gadu-Gadu 7.7 też tu zakreślam. Jest to wersja przestarzała, niepełnosprawna i słabo zabezpieczona. Do wglądu artykuł Darmowe komunikatory i alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. .

stanley50 Oczekiwana odpowiedź konkretna a nie spekulacje. soczez28 Jaki powód do zakładania tematu w dziale diagnostyki infekcji? Nie widzę podstaw do szukania infekcji i temat przesuwam do działu Windows. Wyjaśnij czy Ci się tylko "zdaje" czy to fakt, i jakie czasy. Komputer podpięty pod domenę? W Dzienniku zdarzeń pluje takimi błędami: Error - 2012-09-30 06:45:17 | Computer Name = 05GABRYELCZYK | Source = Userenv | ID = 1054Description = System Windows nie może określić nazwy kontrolera domeny tej sieci komputerowej. (Określona domena nie istnieje lub nie można się z nią skontaktować. ). Przetwarzanie zasad grupy zostało przerwane. Error - 2012-09-30 06:45:19 | Computer Name = 05GABRYELCZYK | Source = AutoEnrollment | ID = 15 Description = Automatyczne rejestrowanie certyfikatów dla system lokalny nie może skontaktować się z usługą Active Directory (0x8007054b). Określona domena nie istnieje lub nie można się z nią skontaktować. Rejestrowanie nie zostanie wykonane. Error - 2012-09-30 06:45:16 | Computer Name = 05GABRYELCZYK | Source = NETLOGON | ID = 5719 Description = Dla domeny ZELTNET nie jest dostępny żaden kontroler domeny z następującego powodu: %%1311. Upewnij się, że komputer jest podłączony do sieci i ponów próbę. Jeśli problem będzie się powtarzał, skontaktuj się z administratorem domeny. Możliwe przyczyny spowolnie startu i zamykania sugerowane logami: 1. Rozbudowany pakiet F-Secure (duże skomasowanie procesów). Stary zresztą, sprzed dwóch lat sterowniki. Sugeruję testową deinstalację. 2. Aplikacje firmowe Toshiba. Sugeruję przegląd i deinstalację tych nie używanych. 3. Możesz przeprowadzić i test z czystym rozruchem: KB310353. PS. Drobna uwaga, w systemie są mikro szczątki adware. Ich usuwanie to kosmetyka bez wpływu na stan rzeczy. W Google Chrome w Rozszerzeniach odinstaluj uTorrentControl2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3456856148-1371900162-2829777652-1010\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found :Commands [emptytemp] Klik w Wykonaj skrypt. Po restarcie uruchom Sprzątanie. .

Brak oznak infekcji. Nie został jednak wdrożony skan pod kątem rootkitów, to na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller. 1. Jest tu bardzo mało miejsca na dysku, a na takim skraweczku defragmentacja może być nieefektywna (i jeszcze pytanie czym defragmentujesz): Drive C: | 34,21 Gb Total Space | 1,84 Gb Free Space | 5,37% Space Free | Partition Type: NTFS 2. Sprawdź tryb transferu dysku, DMA czy PIO: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Oceniasz linię "bieżący tryb transferu". 3. Można rozważać czy Avast nie dokłada tu cegły. 4. W Dzienniku zdarzeń niezbyt dużo konkretów, choć zanotowane błędy Adobe Reader (ale to może być skutek a nie przyczyna): Error - 2012-09-25 09:30:52 | Computer Name = DB0SCE82 | Source = Application Hang | ID = 1002Description = Hanging application AcroRd32.exe, version 9.1.0.163, hang module hungapp, version 0.0.0.0, hang address 0x00000000. Pojawił się też jakiś BSOD (to było jednorazowe?): Error - 2012-09-29 11:06:31 | Computer Name = DB0SCE82 | Source = System Error | ID = 1003Description = Error code 00000024, parameter1 001902fe, parameter2 a9481678, parameter3 a9481374, parameter4 f8290d62. W podanym przykładzie nie widzę nic dziwnego. Przykład ten mówi, że był uruchamiany Outlook Express i jego strona startowa. Dopóki będzie startowany, pliki będą regenerowane. Do czyszczenia Tempów możesz zastosować TFC - Temp Cleaner. .

W GMER nic niepokojącego. Plik odk_qc.exe to Odkurzacz ... Jeżeli AVG go klasyfikuje jako "psw.generic10.usj", to jest to fałszywy alarm. Natomiast "obiekt nie istnieje lub uzyskanie dostępu do niego jest niemożliwe" to nie wykluczone, że to błąd Odkurzacza: KLIK. Na wszelki wypadek zrób nowy log z OTL (bez Extras). Tak, opróżnianie kwarantanny jest równoznaczne z usunięciem całkowicie tego obiektu z kwarantanny. .

Skrypt wykonany, zamknij prawidłowo temat: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizj wyliczone poniżej aplikacje: KLIK. Aktualnie zanotowane w systemie wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 26 "{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java™ 7 Update 1 "{32A3A4F4-B792-11D6-A78A-00B0D0170000}" = Java™ SE Development Kit 7 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1) "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Gadu-Gadu" = Gadu-Gadu 7.7 - Te stare Java po prostu hurtem odinstaluj, w razie potrzebny wprowadź w system najnowszą wersję. - Gadu-Gadu 7.7 tu zakreślone, gdyż aplikacja jest przestarzała, niepełnosprawna (brak pełnej obsługi własnej sieci), słabo zabezpieczona (brak szyfrowania). Do rozważenia alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. Cache Java już wyczyszczone ... Najpierw Avast z niego usuwał obiekt, potem w skrypcie czyściłam pliki temp, a komenda [emptytemp] zawiera podkomendę [emptyjava]. Wyniki przetwarzania skryptu: [EMPTYTEMP] User: krz ->Java cache emptied: 0 bytes User: mik ->Java cache emptied: 425683325 bytes A alert o aktualizacji Java słuszny, jak wskazuję w wątku powyżej. .

Infekcja została pomyślnie usunięta. Przejdź do czynności końcowych: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wtyczki Adobe i doinstaluj SP1 dla Office 2010: KLIK. Aktualnie w systemie są widziane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{95140000-0070-0000-0000-0000000FF1CE}" = Microsoft Office 2010 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll () Te wtyczki Adobe po prostu odinstaluj, a po tym zamontuj najnowszą w Firefox. .

gregores, nie skończyłeś swojego poprzedniego tematu (nie otrzymałeś też instrukcji końcowych) i prosiłam wyraźnie o materiał dodatkowy: KLIK. Log z GMER nadal aktualny. Z logów nic nie wynika, ale upewnij się, że problemu nie tworzy Kaspersky Anti-Virus 2013. W tu podanym OTL brak oznak infekcji, tylko minimalne szczątki adware, co nie ma znaczenia dla problemu podstawowego. Wygląda też na to, że Spybot - Search & Destroy nie został kompletnie odinstalowany, na liście zainstalowanych brak takiej pozycji, ale widać składniki tego programu w Internet Explorer. Podobnie z Google Chrome. Ale dlaczego data systemowa jest przesunięta do przodu: OTL Extras logfile created on: 2012-11-30 13:56:17 - Run 7 Do przeprowadzenia drobnostki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe"=- :Files C:\Documents and Settings\Admin\Dane aplikacji\SendSpace C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Program Files\Spybot - Search & Destroy C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\tasks\OptimizerPro1UpdaterTask{259D5C76-C6BA-40EF-AE00-E1F359BD4F09}.job :OTL O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O34 - HKLM BootExecute: (aswBoot.exe /M:1cd6c45231d0) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Do oceny wystarczy tylko log z wynikami usuwania. .

Tak, definitywnie jest tu infekcja UKASH: O20 - HKU\S-1-5-21-3379276292-1483760212-174044166-1001 Winlogon: Shell - (C:\Users\Powstańców 45A\AppData\Roaming\msconfig.dat) - C:\Users\Powstańców 45A\AppData\Roaming\msconfig.dat ()[2012-09-27 14:09:56 | 000,000,045 | ---- | M] () -- C:\Users\Powstańców 45A\AppData\Roaming\msconfig.ini 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Powstańców 45A\AppData\Roaming\msconfig.dat C:\Users\Powstańców 45A\AppData\Roaming\msconfig.ini C:\found.* :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Services jlblmwhj :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a objawy ustąpią. 2. Pozbądź się szczątków Symantec: via Panel sterowania odinstaluj LiveUpdate 3.2 (Symantec Corporation) + LiveUpdate Notice (Symantec Corporation). Po tym popraw narzędziem Norton Removal Tool. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1. Wymienione tu obiekty \Device\HarddiskX\DRX to nie są "pliki". Więcej na temat schematu nazewniczego: KLIK. Przypuszczalnie to są zmapowane szczątki urządzeń wymiennych, urządzenia nieobecne to skan czy cokolwiek uzyskującego dostęp do tej partii rejestru może mieć zastrzeżenia "braku urządzeń". Co do pendrive, to tu z pewnością być podpinany zainfekowany, tylko nie wiadomo kiedy, o czym świadczą te wpisy mapowania MountPoints2 (już usuwam moim skryptem do OTL): O33 - MountPoints2\{03efc9d6-ff8a-11df-a7cc-001fd00806d8}\Shell\AutoRun\command - "" = J:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exeO33 - MountPoints2\{03efc9d6-ff8a-11df-a7cc-001fd00806d8}\Shell\open\command - "" = J:\SYSTEM\S-1-5-21-1482476501-1644491937-682003330-1013\system32.exe .

Zasady działu: KLIK. Tu są obowiązkowe logi diagnostyczne: OTL i GMER (odpada na systemie 64-bit). OTL występuje w alternatywnej wersji *.COM, co ma zastosowanie przy problemie z otwieraniem *.EXE. .