picasso

ZeroAccess w ogóle nie wygląda na ruszony. Co do instrukcji na tamtym forum: nie chodzi o bity kluczy, tylko o nieprawidłowe usuwanie (bez odładowania ZA z pamięci, Kosz w ogóle nie został odblokowany = zła komenda + zapis pliku jako FIX.REG a nie FIX.BAT, pliki desktop.ini od ZeroAccess nie zaadresowane). I nie zostało odinstalowane w prawidłowy sposób adware (w skrypcie tylko pliki uwzględniano, co nie załatwia sprawy). 1. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} Zresetuj system, by odładować ZeroAccess z pamięci. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files (x86)\mozilla firefox\extensions\{32eed359-e1f6-7149-5434-32995f9dd58b} C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini rd /s /q C:\$Recycle.Bin /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Przez Panel sterowania odinstaluj Browsers Protector + Contextual Tool Extrafind. 4. Zrób nowy log z SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s :dir C:\$Recycle.Bin /s .

slawekBerlin, sprecyzuj o co Ci chodzi i po co podajesz logi, czyli jaki jest problem w systemie.

Też możesz to skasować, to już do niczego niepotrzebne.

Pokaż link do oryginalnego tematu. Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Tu jeszcze z Firefoxa należy usunąć rozszerzenie malware "z", ale to potem. A ingerencje ZeroAccess tu owszem widać. Wymagane dodatkowe skany: 1. Na początek odblokuj Kosz. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: icacls C:\$Recycle.Bin /grant Wszyscy:F /T Następnie zrób dir Kosza. Uruchom SystemLook x64 i w oknie wklej: :dir C:\$Recycle.Bin /s Klik w Look. Przedstaw raport. 2. Zrób log z Farbar Service Scanner. .

Widzisz, dałeś radę. Wszystko poprawnie wykonane. Możemy przejść do czynności finalizujących: 1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, a GrantPerms / SetACL i pliki fix ręcznie dokasuj. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

Wykonujesz skan zgodnie z opisem w przyklejonym temacie, czyli zaznaczasz wszystko.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Private\Dane aplikacji\msconfig.dat C:\Documents and Settings\Private\Dane aplikacji\msconfig.ini C:\Documents and Settings\Private\Dane aplikacji\Yvxywu C:\Documents and Settings\Private\Dane aplikacji\Ugcuqo C:\Documents and Settings\Private\Dane aplikacji\Isciu C:\WINDOWS\System32\drivers\etc\hosts.*.backup C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Private\Ustawienia lokalne\Dane aplikacji\AskToolbar C:\Documents and Settings\Private\Dane aplikacji\ArcaBit C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Program Files\TeaTimer (Spybot - Search & Destroy) netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/fft/fft_1325431974_396721 IE - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = www.v9.com/fft/fft_1325431974_396721 IE - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://www.google.com.br/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A8691855295&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}" IE - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-725345543-1637723038-2147145749-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found O4 - HKU\S-1-5-21-725345543-1637723038-2147145749-1003..\Run: [Vynuxiy] C:\Documents and Settings\Private\Dane aplikacji\Yvxywu\qaot.exe () O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found O8 - Extra context menu item: Download with GetRight - E:\Program Files\GetRight\GRdownload.htm File not found O8 - Extra context menu item: Open with GetRight Browser - E:\Program Files\GetRight\GRbrowse.htm File not found O8 - Extra context menu item: Ściągnij wszystko przy pomocy FlashGet'a - E:\Program Files\FlashGet\jc_all.htm File not found O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} "http://skaner.mks.com.pl/SkanerOnline.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- /R -- (RAMDrivService) SRV - File not found [Auto | Stopped] -- F:\Comodo\Firewall\cmdagent.exe -- (CmdAgent) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (rkhdrv10) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (GMSIPCI) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\Drivers\PROCEXP151.SYS -- (PROCEXP151) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motodrv.sys -- (MotDev) DRV - File not found [Kernel | Boot | Stopped] -- System32\DRIVERS\inspect.sys -- (Inspect) DRV - File not found [Kernel | System | Stopped] -- System32\DRIVERS\cmdmon.sys -- (CmdMon) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Amps2prt.sys -- (Amps2prt) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\adiusbae.sys -- (adiusbae) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\a347scsi.sys -- (a347scsi) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\a347bus.sys -- (a347bus) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Do danych na dysku jest doklejona olbrzymia liczba strumieni KAVICHS. To jest pozostałość po archaicznym Kasperskym. Usuń wszystkie KAVICHS za pomocą jednego z programów wyliczonych w tym artykule: KLIK. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras + zaznacz opcję Pomiń pliki Microsoftu). .

Nie potrafię odpowiedzieć na to pytanie, tego nie da się przewidzieć. Nie jest wykluczone, że skan pójdzie szybciej, nie jest wykluczone że jednak nie.

I wszystko się teraz zgadza, komenda wykonana poprawnie. Teraz musisz powtórzyć operację jeszcze dwa razy, tworząc kolejne pliki fix.txt dla usług MpsSvc i SharedAccess i zapuszczając w cmd dopasowane do tych plików komendy. Po ukończeniu tej akcji resetujesz system i przeprowadzasz zaległe instrukcje z punktów 2+3 rozpisanych w poście numer 26. .

I to właśnie błąd. W C:\Windows nie ma być całego folderu, w C:\Windows ma leżeć bezpośrednio tylko plik SetACL.exe (wersja z folderu 64-bit). Czyli: z folderu 64-bit skopiuj plik SetACL.exe wprost do C:\Windows, a z C:\Windows wywal cały folder SetACL. .

Wygląda na to, że opcją służącą zrzuceniu na dysk Windows w stanie zaraz po instalacji jest "przywróć z początkowej kopii zapasowej". Przed uruchomieniem tego zgraj sobie ważne dane z dysku, bo zawartość zostanie zastąpiona. .

Skrypt pomyślnie wykonany. Czy masz zapisane raporty z usuwania MBAM i Avast? A "Sprzątanie w OTL" służy tylko do usuwania programu OTL z dysku. Czym wyłączałeś podejrzane wpisy? Czy są dane co to były za wpisy? Jeśli do deaktywacji użyłeś systemowego msconfig, to pokaż mi skan dodatkowy (OTL nie skanuje domyślnie tej partii), tzn. uruchom SystemLook i w oknie wklej: :Reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s Klik w Look i przedstaw wynikowy raport. .

"Nie mam czasu kodowac" = ekhm, "kodowanie" to opinia na wyrost (tylko wycięcie dwóch bloków owych wtyczek) i to jest robota na pół minuty ... Obiekty są śmieciami. 1. Wyniki MBAM: większość to trojany (oraz instalatory adware) i usuń. Do ominięcia te, bo zdają się fałszywymi alarmami: C:\Downloads\Mass.Effect.3.Multi7-RU.Repack\DVD2\Redistributables\DirectX\dsetup.dll (Malware.Packer.Gen) -> Nie wykonano akcji.C:\Users\r\Downloads\BitComet 1.25.exe (Trojan.StartPage) -> Nie wykonano akcji. C:\Users\r\Downloads\word_2003.exe (Trojan.StartPage) -> Nie wykonano akcji. C:\Users\r\Downloads\LigiMT2.exe (Trojan.Downloader) -> Nie wykonano akcji. C:\Users\r\Downloads\Update_Service_Setup-2.10.11.10.exe (Trojan.StartPage) -> Nie wykonano akcji. C:\Users\r\Downloads\HLC_1_setup.exe (Worm.Magania) -> Nie wykonano akcji. C:\Users\r\Downloads\ventrilo-2.1.4-Windows-i386.exe (Trojan.Dropper) -> Nie wykonano akcji. C:\Users\r\Downloads\VLCMediaPlayerSetup.exe (PUP.BundleInstaller.BI) -> Nie wykonano akcji. C:\Users\r\Downloads\Metin 2 Client 091022.exe (Trojan.StartPage) -> Nie wykonano akcji. C:\Users\r\Downloads\BSM\BSM\BiNPDA.Security.Manager.v1.0.S60v3.SymbianOS9.Internal-BiNPDA\RootSiGN.exe (Hacktool.RootSign) -> Nie wykonano akcji. C:\Users\r\Downloads\Connect Changer 1.7.2\Metin2 Connect Changer\CruelMT2.exe (Trojan.Downloader) -> Nie wykonano akcji. C:\Users\r\Downloads\Connect Changer 1.7.2\Metin2 Connect Changer\Galapagos.exe (Trojan.Downloader) -> Nie wykonano akcji. C:\Users\r\Downloads\Connect Changer 1.7.2\Metin2 Connect Changer\ligi.exe (Trojan.Downloader) -> Nie wykonano akcji. C:\Users\r\Downloads\Connect Changer 1.7.2\Metin2 Connect Changer\m2.bin (Trojan.Downloader) -> Nie wykonano akcji. C:\Users\r\Downloads\Connect Changer 1.7.2\Metin2 Connect Changer\Sandia.exe (Trojan.Downloader) -> Nie wykonano akcji. C:\Users\r\Downloads\Connect Changer 1.7.2\Metin2 Connect Changer\YheRun.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\Galapagos.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\ligi.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\LigiMT2.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\Sandia.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\Spolszczenie.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\YheRun.exe (Trojan.Downloader) -> Nie wykonano akcji. D:\Nowy folder\PrivyHamachi\[A]Safir.exe (Backdoor.Hupigon) -> Nie wykonano akcji. D:\Gry\SafirMT2\Safir\metin2.bin (Backdoor.Hupigon) -> Nie wykonano akcji. D:\Gry\SafirMT2\Safir\[A]Safir.exe (Backdoor.Hupigon) -> Nie wykonano akcji. 2. Po operacji usuwania w MBAM jeszcze na wszelki wypadek ponów czyszczenie lokalizacji tymczasowych (TFC - Temp Cleaner) + wyczyść foldery Przywracania systemu. 3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Aktualnie widać wersje i starego antywirusa: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 5.0.61118.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "PC Tools AntiVirus_is1" = PC Tools AntiVirus4.0 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-2741791824-338667453-693480273-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome 21.0.1180.89 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () I możesz odinstalować zbędny McAfee Security Scan. 4. Prewencyjnie zmień hasła logowania w serwisach. .

O logi Cię nie prosiłam wcale, usuwam załączniki. Na koniec: 1. Odinstaluj starą wtyczkę Adobe Flash Player 10 ActiveX. Zaktualizuj Google Chrome (jest już nowsza wersja). 2. Wyczyść foldery Przywracania systemu: KLIK. .

Skoro narzędzie nie podaje listy do deinstalacji, to po prostu musimy ręcznie "odinstalować" ActiveSync. Trochę trwało przygotowanie poniższej instrukcji, ze względu na dokładne przeszukanie dosłanego rejestru. Przy okazji usunę mini odpadki po innych aplikacjach. 1. Przez Dodaj / Usuń programy odinstaluj LiveReg (Symantec Corporation). EDIT: tu jest jeszcze na liście Norton AntiVirus 2003 Professional Edition. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\7BD25099295922545A854571BBDA84EE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\7BD25099295922545A854571BBDA84EE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7BD25099295922545A854571BBDA84EE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\02A818C93C5C04C4E9C9381296FCA841] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\043F1FCB6CA512E49A5E39E6545559B0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\052B9DC5FD1991B4BB70FB3C346DACB0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\07E9509CE08D48445B8DAB8AE99F3BAF] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\07FC7AC441169AE4195F373681B02840] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0B01D952920A5C240A6C6748B78BF2A8] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0F131341EA1242C43A95BA3723D49EAF] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\14B13353B32362648BE4F6EB6B9253A9] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\19A0C4AEAF82141439F5A9CF50864531] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A37967D7C32D5C438F92D9740C27134] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1AF746C8E122E4D4EB6A417849B02355] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1E13D0046ED50D24098D206A4ED5BF7A] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F2FAFFC8E25B404AA310F8899F1B449] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\21F43BEAAD27B8A42AF62CD8AFDD4100] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\22F386BDC253A9B428AC5DFED76E4A0C] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\24130478699ABCC40B2E31F7864C3886] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\248344BCA14334B4586305B7CEF387E3] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\262B393AFED242C4BAD04A885EA18DCF] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\32F5ABB413EC29840965EE01B1AA0EC9] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\37C9018862CDDDD418D927241A12BF07] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\39776D142B84E9E49BAE2707400B4609] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3F1D597B95BB3EF47B3C7BAE495D74D4] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\41A20BFAA4F440142AA92598C64D66ED] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4BF69664B3012474FB13241DACE3BDCE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4E998EE750A414D4FA31419965D6B6F0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\549F290D94378D64B9369A664ED6069B] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\58777141D4E0F44478793FB0DBCD878E] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5EE19065D8DF619478B02F0E71B151B0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5F55F6226D5D90C49BCF2D27DA27729F] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\5F897B6915CF93D42A3295A4D3CEBD36] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6501AA0628E6E1140A4A7D55DC1DEC51] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\67E661789D1E29A4E8C6E5CE66DE2519] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6EB4722CE5E380A4B8C4958FB491B663] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\754B4A0847DB6D54592D6FAB8056BFA2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\76631D229A3E7E64FB38BC5E44B524DA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7C9C796D05096BD429DD3272280CC04A] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\849E04A3949CA1443899CEEDF1026A8C] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\88034EA4922618849B40A7C4E2EC658E] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\900267CA9719544489E128E9E8A24670] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\976817CD2F93F31428DFFED3071DF5CA] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\987F8FF5A6F3B6E4BB38F9BCDE55DA02] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A8D82A7C8E389F741B812EC524C60A9D] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\AAF2379BFEB8FE945807E2800A537807] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B752E0F53D62A4846B29AF96336F0085] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B77DB1334340DFE4383F649A2A7BEC10] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\C0DA7B09C0F57A841A58CA4A87FC8A59] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D04013F6013F7344B9FD43EDEC7DFF4A] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D900EA52F21024A43A1452F9F06B920A] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DB7E6DED2A495D04B9DCFAB288DF310E] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD0141F2C3C4E574F9C47A5E42665F2C] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DFDBB3A7A8AF1F64AA202691E71E8CD7] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E371669F0B486C64C9014EBCE7C67D06] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EBC467D64D0CA2B439AF4D942A367A04] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EBF286DECE179004FA641E68459BE314] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EC2AB5590357FF841A28CA58F9CFD495] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FD9075DAC0ACCC043968EA01E5576E7B] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FD9A56451FD931B43A1F6A1B024C956B] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\FDAD5CCF1927AB4499E209DF603473F6] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{99052DB7-9592-4522-A558-5417BBAD48EE}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSync] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Pegasus] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\CEAPPMGR.EXE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SYNCMGR.EXE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WCESCOMM.EXE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WCESMGR.EXE] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows CE Services] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs] "C:\\WINDOWS\\Help\\activesync.chm"=- "C:\\Program Files\\Microsoft ActiveSync\\Drivers\\wceusbsh.inf"=- "C:\\Program Files\\Microsoft ActiveSync\\Drivers\\wceusbsh.sys"=- "C:\\Program Files\\Microsoft ActiveSync\\richink.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\MediaSync.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\dtptdns.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pegconn.wav"=- "C:\\Program Files\\Microsoft ActiveSync\\SyncStat.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\tcp2udp.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pxl2xls.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\minshell.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\mobenc.ico"=- "C:\\Program Files\\Microsoft ActiveSync\\mobile.lnk"=- "C:\\Program Files\\Microsoft ActiveSync\\InkSync.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\rapimgr.exe"=- "C:\\Program Files\\Microsoft ActiveSync\\rapiproxystub.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\rapistub.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\SQLDB20.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\SQLQP20.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\SQLSE20.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\Drivers\\WceRndis.inf"=- "C:\\Program Files\\Microsoft ActiveSync\\Drivers\\WceIS.inf"=- "C:\\Program Files\\Microsoft ActiveSync\\WCESMgr.exe"=- "C:\\Program Files\\Microsoft ActiveSync\\certauth.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\httpsrv.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\httpsys.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\synceng.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"=- "C:\\Program Files\\Microsoft ActiveSync\\readme.doc"=- "C:\\Program Files\\Microsoft ActiveSync\\CEAPPMGR.EXE"=- "C:\\Program Files\\Microsoft ActiveSync\\2bp.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\bmp.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\office.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pegconv.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pwdcnv.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pwdreg.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pwiofcnv.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pwireg.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pwoffcnv.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pxlcnv.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\pxlfile.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\riresdll.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\xls2pxl.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\Wcesview.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\MailSync.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\outstore.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\FormInst.exe"=- "C:\\Program Files\\Microsoft ActiveSync\\INetRepl.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\InkReg.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\InkStore.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\astu.exe"=- "C:\\Program Files\\Microsoft ActiveSync\\cefstore.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\inkeng.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\inkres.dll"=- "C:\\Program Files\\Microsoft ActiveSync\\olregdll.dll"=- "C:\\Program Files\\SweetIM\\Toolbars\\Internet Explorer\\mgHelperApp.exe"=- "C:\\Program Files\\SweetIM\\Toolbars\\Internet Explorer\\mgToolbarProxy.dll"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Safer Networking Limited] [-HKEY_LOCAL_MACHINE\SOFTWARE\Swearware] [-HKEY_LOCAL_MACHINE\SOFTWARE\Windows] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 3. Otwórz Notatnik i wklej w nim: regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\2bp.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\bmp.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\cefstore.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\certauth.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\dtptdns.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\httpsrv.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\httpsys.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\INetRepl.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\inkeng.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\InkReg.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\inkres.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\InkStore.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\InkSync.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\MailSync.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\MediaSync.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\minshell.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\office.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\outstore.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pegconv.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pxl2xls.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pxlcnv.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pxlfile.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pwdcnv.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pwiofcnv.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pwireg.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\pwoffcnv.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\rapistub.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\rapiproxystub.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\richink.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\riresdll.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\SQLDB20.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\SQLQP20.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\SQLSE20.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\synceng.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\SyncStat.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\tcp2udp.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\Wcesview.dll" regsvr32 /u /s "C:\Program Files\Microsoft ActiveSync\xls2pxl.dll" rd /s /q "C:\Program Files\Microsoft ActiveSync" rd /s /q C:\WINDOWS\Installer\{99052DB7-9592-4522-A558-5417BBAD48EE} del /q C:\WINDOWS\Installer\7c131.msi del /q C:\WINDOWS\Help\activesync.chm netsh firewall reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik 4. Zresetuj system. Po w/w operacjach znikną błędy i obiekty ActiveSync. Jeśli oprogramowanie ActiveSync jest Ci potrzebne, zainstaluj po prostu ponownie. .

W raportach brak jakichkolwiek oznak infekcji. 1. Gdzie to widać "w procesach"? Zaprezentuj na zrzucie ekramu, bo trudno mi to sobie wyobrazić ... 2. Zamykanie D3D9window sugeruje problem z DirectX. Naprawiałeś system z płyty, taka naprawa ma skutki uboczne (wersje plików są cofane) i interesuje mnie czy zainstalowałeś najnowszy DirectX: KLIK. Do uzupełnienia także wszystkie aktualizacje z Windows Update oraz instalacja Internet Explorer 8. 3. W Dzienniku zdarzeń masz też taki błąd: Error - 2012-09-25 15:17:55 | Computer Name = CEFARM-3EC9E7DF | Source = Service Control Manager | ID = 7000Description = Nie można uruchomić usługi Cardex z powodu następującego błędu: %%183 Odinstaluj przestarzały tweaker VDOTool 6.1. Ta operacja usunie te sterowniki: DRV - [2007-03-16 11:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | Auto | Running] -- D:\WINDOWS\System32\drivers\TBPanel.sys -- (TBPanel)DRV - [2007-03-16 11:11:38 | 000,012,256 | ---- | M] (Windows ® 2000 DDK provider) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\TBPanel.sys -- (Cardex) .

To jest wina przeglądarki (np. Firefox), w Internet Explorer pobiera się bez nadwyżkowego rozszerzenia. Poza tym, wystarczy zmienić ręcznie nazwę pliku z sid.vbs.txt na sid.vbs.

Tym razem zrobione prawidłowo, Winsock został zresetowany pomyślnie. 1. Porządki po narzędziach: odinstaluj USBFix, usuń GrantPerms / SystemLook, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

1. Adware v9 w swojej nowszej wersji uruchamia się przez dorobione skróty LNK, widzę w raporcie co dopiero utworzony taki skrót: [2012-09-15 18:17:58 | 000,002,390 | ---- | M] () -- C:\Users\Stachu\Desktop\Google Chrome.lnk Skasuj z Pulpitu / Menu Start / Paska zadań wszystkie skróty przeglądarek, zrób sobie nowy do wybranej. 2. Następnie usuń v9 z konfiguracji Internet Explorer. Otwórz notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{9CC3E3F2-8B9F-45ED-8F56-AA3F42C6DA19}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{9CC3E3F2-8B9F-45ED-8F56-AA3F42C6DA19}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Przez SHIFT+DEL skasuj te foldery z dysku: C:\Users\Stachu\AppData\Local\Babylon C:\Users\Stachu\AppData\Roaming\Babylon C:\ProgramData\Babylon .

Uruchom OneKey Recovery i powiedz jakie scenariusze są proponowane (nic jeszcze nie zatwierdzaj).

Spowolnienie systemu raczej nie jest konsekwencją infekcji, ponieważ infekcja w obszarze czynnym usunięta (tylko nieaktywne odpadki widzialne). Za to jest adware. 1. Przez Panel sterowania odinstaluj Conduit Engine, Incredibar Toolbar on IE and Chrome, Linkury Smartbar, SProtector, SweetIM for Messenger 3.6, SweetPacks Toolbar for Internet Explorer 4.4, Update Manager for SweetPacks 1.0, V9 Homepage Uninstaller. Również od razu odinstaluj problematyczny firewall NVIDIA ForceWare Network Access Manager. 2. Otwórz Firefox i w Dodatkach odinstaluj: Babylon, Bcool, Incredibar Toolbar, Linkury Smartbar, softonic.com, ST-Polska Community Toolbar, SFT_Polska Community Toolbar, SweetIM Toolbar for Firefox, uTorrentControl2 Community Toolbar, uTorrentBar Community Toolbar, TheBflix. Następnie zamknij Firefox (nie może być w procesach) i zresetuj preferencje przenosząc na Pulpit ten plik (potem skasujesz): C:\Users\Piotrek\AppData\Roaming\mozilla\Firefox\Profiles\7dpfjs6r.default\prefs.js 3. Uruchom AdwCleaner i zastosuj Delete. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\qxxxerhrftdayji C:\ProgramData\nftuxqfchkebtim C:\Windows\tasks\OptimizerProUpdaterRefreshTask.job C:\Users\Piotrek\AppData\Roaming\OpenCandy C:\Program Files\mozilla firefox\searchplugins\v9.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner. .

trip017, nie, to nie ma znaczenia, jeśli SetACL.exe jest w C:\Windows. Po co akurat tam każę umieszczać ten program: ścieżka jest w Zmiennych środowiskowych, a to oznacza, że nie trzeba wpisywać pełnej ścieżki dostępu (C:\Windows\SetACL.exe) tylko sama nazwa SetACL + nie ma znaczenia na jakiej ścieżce jest ustawiona linia komend (C:\Windows\system32 to nie problem, system w oparciu o Zmienne znajdzie aplikację). C:\Windows\system32 to problem gdy: są uszkodzone Zmienne środowiskowe i system nie rozpoznaje skrótów lub program SetACL.exe wcale nie jest umieszczony w ścieżce adresowanej Zmiennymi. .

Na zakończenie: 1. Zaktualizuj wymienione poniżej aplikacje: KLIK. Aktualnie w systemie widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416014FF}" = Java™ 6 Update 14 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java™ 6 Update 14 "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4 "{3248F0A8-6813-11D6-A77B-00B0D0150080}" = J2SE Runtime Environment 5.0 Update 8 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.7 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.9 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Google Chrome" = Google Chrome Te wszystkie stare Java odinstaluj, po tym zainstaluj najnowszą wersję. 2. Prewencyjnie zmień hasła logowania w serwisie. PS. Gadu-Gadu 10 = sugeruję obejrzenie lżejszych dla systemu alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. .

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze tematy. Wydzielone w osobny temat. Log z OTL nieprawidłowo zrobiony, sekcja "Rejestr" ustawiona na "Wszystko", a ma być "Użyj filtrowania". Wygląda na to, że czymś już usuwałeś infekcję (opisz wcześniejsze działania), bo w raporcie w ogóle nie ma oznak czynnej infekcji. Są widoczne tylko nieaktywne odpadki. Czyli nie za wiele do roboty: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKU\S-1-5-21-730641660-455201627-3786116511-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120306&user_guid=5F61118A5DED43D98F08C7F8E6C53CEE&machine_id=7eecca67b5314f324d108f5b7309b39c&browser=IE&os=win&os_version=6.0-x86-SP2&iesrc={referrer:source}" IE - HKU\S-1-5-21-730641660-455201627-3786116511-1000\..\SearchScopes\{9FB59279-E5BD-4C5C-92AC-AE029564EAC4}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKU\S-1-5-21-730641660-455201627-3786116511-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found O3 - HKU\S-1-5-21-730641660-455201627-3786116511-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-730641660-455201627-3786116511-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found. O4 - HKLM..\Run: [] File not found [2012-08-07 12:47:26 | 000,000,000 | ---D | C] -- C:\ProgramData\drqgjtexqinpfel [2012-08-07 12:47:22 | 000,000,051 | ---- | C] () -- C:\ProgramData\gjmbyyccivwqeft :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. Do oceny wystarczy tylko log z wynikami usuwania. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1272498627-1595878052-2227634467-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=2912_5&babsrc=SP_ss&mntrId=ce6a964e00000000000000c0df0f3001" O4 - HKU\S-1-5-21-1272498627-1595878052-2227634467-1000..\Run: [budodoi] C:\Users\Zyga\AppData\Roaming\Hiedk\arni.exe () O7 - HKU\S-1-5-21-1272498627-1595878052-2227634467-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\Zyga\AppData\Roaming\msconfig.ini C:\Users\Zyga\AppData\Roaming\msconfig.dat C:\Users\Zyga\AppData\Roaming\Nuxior C:\Users\Zyga\AppData\Roaming\Hiedk C:\Users\Zyga\AppData\Roaming\Agpa :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{D465025E-019F-4868-882A-78B1D3C3656E}C:\users\zyga\appdata\roaming\hiedk\arni.exe"=- "UDP Query User{DD87961E-3495-437B-AB91-30723C5BB541}C:\users\zyga\appdata\roaming\hiedk\arni.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. .