picasso

To oczywiście nie jest normalne, a komunikat sugeruje uszkodzenie partycji. Co robiłeś bezpośrednio przed wystąpieniem błędu, czy ten dysk zewnętrzny był odpinany w jakiś "brutalny" sposób (z ominięciem Bezpiecznego usuwania sprzętu)? .

Twój główny problem nie pochodzi od infekcji. Komunikat podaje co jest nie tak: Nawet OTL to pokazuje: OTL logfile created on: 2012-01-19 12:56:06 - Run 1 Zła data systemowa, cofnięcie o ponad pół roku wstecz, a w takiej sytuacji są problemy z certyfikatami i cookies. Skoryguj czas komputera. Co do wyników, to nic szczególnego: antiwpa.dll (crack aktywacyjny XP) i rożne formy instalatorów adware czy podejrzanych o coś tam. Ale i tak jest tu co czyścić (jak mówię = to nie ma jednak związku z komunikatem certyfikatów). W systemie adware oraz ten plik infekcji: [2012-08-06 08:57:22 | 000,769,745 | ---- | M] () -- C:\Documents and Settings\jagoda.JAGODA-25AC68C5\Dane aplikacji\java_u.jar Wyczyść oczywiście: 1. Przez Dodaj / Usuń programy odinstaluj adware: BabylonObjectInstaller, Browser Manager, Incredibar Toolbar on IE, Optimizer Pro v3.0, OptimizerPro1, SweetIM for Messenger 3.7, Web Assistant 2.0.0.474. 2. Otwórz Google Chrome. W Rozszerzeniach odinstaluj Babylon Toolbar. W zarządzaniu wyszukiwarkami przestaw domyślną z Search the web (Babylon) na Google, po tym Search the web (Babylon) usuń z listy. 3. Zresetuj plik preferencji Firefox. Zamknij Liska (nie może być w procesach) i przenieś na Pulpit poniższy plik (potem go skasujesz): C:\Documents and Settings\jagoda.JAGODA-25AC68C5\Dane aplikacji\Mozilla\Firefox\Profiles\c3e0ykm8.default\prefs.js 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\jagoda.JAGODA-25AC68C5\Dane aplikacji\java_u.jar :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner. .

EDIT: Logi z nowszego OTL podstawione. Ja tu nie widzę nic w starcie, są tylko ślady w postaci folderów na dysku. Ponawiam pytanie czy konto Właściciel jest właściwym i jedynym w systemie? Na teraz usuwam tylko to co widzę: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Własciciel\Dane aplikacji\hellomoto C:\Documents and Settings\Własciciel\Dane aplikacji\Ruwu C:\Documents and Settings\Własciciel\Dane aplikacji\Otbaf C:\Documents and Settings\Własciciel\Dane aplikacji\Ibha C:\Documents and Settings\Własciciel\Dane aplikacji\Mozilla\Firefox\Profiles\w3txh0gz.default\extensions\DTToolbar@toolbarnet.com :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- "C:\WINDOWS\explorer.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Są tu ślady używania Combofix. Na przyszłość: KLIK. Przy okazji będę usuwać szczątki Firefox (wygląda na odinstalowany). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120620113936984&tb_oid=20-06-2012&tb_mrud=20-06-2012" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010812_906_cln_3112_8&babsrc=SP_ss&mntrId=4c44b7ea000000000000001060d0f756" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb165/?search={searchTerms}&loc=IB_DS&a=6R8wxGsvdU&i=26" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120620113936984&tb_oid=20-06-2012&tb_mrud=20-06-2012" O4 - HKLM..\Run: [update] C:\Documents and Settings\gozdi\Dane aplikacji\System\winlogon.exe () O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Tuwemixeet] C:\Documents and Settings\gozdi\Dane aplikacji\Uroz\veliu.exe () O4 - HKCU..\Run: [update] C:\Documents and Settings\gozdi\Dane aplikacji\System\winlogon.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\gozdi\Dane aplikacji\system\winlogon.exe () O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\gozdi\Dane aplikacji\system\winlogon.exe) - C:\Documents and Settings\gozdi\Dane aplikacji\System\winlogon.exe () :Files C:\Documents and Settings\gozdi\Dane aplikacji\System C:\Documents and Settings\gozdi\Dane aplikacji\Uroz C:\Documents and Settings\gozdi\Dane aplikacji\Saunqa C:\Documents and Settings\gozdi\Dane aplikacji\Iril C:\WINDOWS\System32\tmp*.FOT C:\WINDOWS\System32\WNLT C:\WINDOWS\System32\ARFC C:\Program Files\Mozilla Firefox :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\explorer.exe"=- "C:\Documents and Settings\gozdi\Dane aplikacji\system\winlogon.exe"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Secondary Start Pages"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Otwórz Google Chrome. W Rozszerzeniach odinstaluj Web Assistant, wxDfast. W zarządzaniu wyszukiwarkami przestaw domyślną z DAEMON Search na Google, po tym DAEMON Search usuń z listy. Z listy stron startowych wymaż search.babylon.com. Wyczyść też Historię przeglądarki. 4. Przez Dodaj / Usuń Programy odinstaluj: Ask Toolbar, Babylon toolbar on IE, BabylonObjectInstaller, DAEMON Tools Toolbar, 50 FREE MP3s +1 Free Audiobook!, Incredibar Toolbar on IE and Chrome, Download Updater (AOL LLC), Winamp Toolbar, Web Optimizer, wxDfast, Web Assistant 2.0.0.478. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 5. .

Do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Oba posty sklejam. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKU\S-1-5-21-1454471165-1343024091-1584864819-1004..\Run: [Paavola] D:\Documents and Settings\CF\Dane aplikacji\Yhuw\rybo.exe () :Files D:\Documents and Settings\CF\Dane aplikacji\msconfig.dat D:\Documents and Settings\CF\Dane aplikacji\msconfig.ini D:\Documents and Settings\CF\Dane aplikacji\Yhuw D:\Documents and Settings\CF\Dane aplikacji\Biow D:\Documents and Settings\CF\Dane aplikacji\Awmu D:\Documents and Settings\CF\Dane aplikacji\Ezso D:\Documents and Settings\All Users\Dane aplikacji\Babylon D:\Documents and Settings\CF\Dane aplikacji\Babylon D:\Documents and Settings\CF\Dane aplikacji\YourFileDownloader D:\Documents and Settings\CF\Ustawienia lokalne\Dane aplikacji\funmoods.crx D:\Documents and Settings\CF\Dane aplikacji\Mozilla\Firefox\Profiles\zrj843lh.default\extensions\ffxtlbr@funmoods(2).com D:\Documents and Settings\CF\Dane aplikacji\Mozilla\Firefox\Profiles\zrj843lh.default\searchplugins\BabylonMngr.xml D:\Program Files\mozilla firefox\searchplugins\babylon.xml D:\WINDOWS\tasks\YourFile Update.job D:\user.js netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i operujesz już w Trybie normalnym: 2. Zresetuj plik preferencji Firefox. Zamknij Firefox (nie może być uruchomiony). Przenieś na Pulpit ten plik (potem go skasujesz): D:\Documents and Settings\CF\Dane aplikacji\Mozilla\Firefox\Profiles\zrj843lh.default\prefs.js 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Tu nie ma śladów typu wpisy startowe infekcji, tylko plik na dysku. Czy to na pewno log z właściwego konta? Albo może coś już usuwałeś? 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\6F638C230045EF49B9FA959181CB3EF3 C:\Documents and Settings\Admin\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\Admin\Dane aplikacji\msconfig.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

To nie koniec czyszczenia. Prosiłam o dane: I nadal proszę o wyjaśnienie z jakim konkretnie problemem tu przyszedłeś. .

1. Z poziomu OTLPE uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL IE - HKU\marek_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=110809&tt=3312_8&babsrc=HP_ss&mntrId=1c8afd73000000000000002215de7e80" O4 - HKLM..\Run: [update] C:\Documents and Settings\marek\Dane aplikacji\system\winlogon.exe () O4 - HKU\marek_ON_C..\Run: [Ekyzelizs] C:\Documents and Settings\marek\Dane aplikacji\Agnepa\laim.exe () O4 - HKU\marek_ON_C..\Run: [update] C:\Documents and Settings\marek\Dane aplikacji\system\winlogon.exe () O7 - HKU\marek_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\marek\Dane aplikacji\system\winlogon.exe () O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\marek\Dane aplikacji\system\winlogon.exe) - C:\Documents and Settings\marek\Dane aplikacji\system\winlogon.exe () [2012/09/20 09:39:43 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\marek\Dane aplikacji\System [2012/09/08 01:41:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\marek\Dane aplikacji\Weyt [2012/09/08 01:41:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\marek\Dane aplikacji\Ireda [2012/09/08 01:41:22 | 000,000,000 | ---D | C] -- C:\Documents and Settings\marek\Dane aplikacji\Agnepa [2012/08/17 03:27:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\marek\Dane aplikacji\Babylon [2012/08/17 03:27:51 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon :Reg [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\marek\Dane aplikacji\system\winlogon.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Na C powstanie log z usuwania. 2. Zaloguj się normalnie do systemu i zrób tradycyjne logi OTL z opcji Skanuj. .

Goldus, zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Temat wydzielony w osobny. Uruchamiałeś jakiś skrypt do OTL = jeśli brany z innego tematu, nie wolno tego robić, skrypt nie zadziała (robiony pod konkretny system), a w szczególnym przypadku można sobie coś uszkodzić. Na początek objaśnij mi sytuację z kontami. Logi zrobione z poziomu konta Justyna, bez uprawnień administracyjnych: Computer Name: DOM-B2D26CCDD80 | User Name: Justyna | NOT logged in as Administrator. Log sugeruje, że to nie jest prawidłowe konto na którym jest infekcja, ponieważ we wpisach startowych infekcji jest skierowanie na katalog GOLD a nie Justyna. Logi muszą być zrobione z poziomu konta na którym jest problem. EDIT: Logi podmienione. Zalogowane konto właściwe i wszystko widać, a wpisy infekcji nie są wcale "not found" jak to insynuował odczyt z Justyny. jest tu też i adware, widzę ślady używania AdwCleaner, ale on nie podołał resetowi określonych preferencji przeglądarek. Przechodzimy do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\xhunter1.sys -- (xhunter1) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\vtany.sys -- (vtany) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) IE - HKU\S-1-5-21-220523388-1645522239-1417001333-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/ins/ins_1326556677_473381" IE - HKU\S-1-5-21-220523388-1645522239-1417001333-1004\..\SearchScopes\{FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD}: "URL" = "http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1" O3 - HKU\S-1-5-21-220523388-1645522239-1417001333-1005\..\Toolbar\WebBrowser: (no name) - {90B49673-5506-483E-B92B-CA0265BD9CA8} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1645522239-1417001333-1005\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1645522239-1417001333-1005\..\Toolbar\WebBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found. O3 - HKU\S-1-5-21-220523388-1645522239-1417001333-1005\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [GEST] = File not found O4 - HKLM..\Run: [update] D:\Documents and Settings\Gold\Dane aplikacji\System\winlogon.exe () O4 - HKU\S-1-5-21-220523388-1645522239-1417001333-1004..\Run: [PlayNC Launcher] File not found O4 - HKU\S-1-5-21-220523388-1645522239-1417001333-1004..\Run: [update] D:\Documents and Settings\Gold\Dane aplikacji\System\winlogon.exe () O4 - HKU\S-1-5-21-220523388-1645522239-1417001333-1004..\Run: [Ywnuygefxu] D:\Documents and Settings\Gold\Dane aplikacji\Ukamwy\yzys.exe () O4 - Startup: D:\Documents and Settings\Gold\Menu Start\Programy\Autostart\IMVU.lnk = File not found O7 - HKU\S-1-5-21-220523388-1645522239-1417001333-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = D:\Documents and Settings\Gold\Dane aplikacji\system\winlogon.exe () O20 - HKLM Winlogon: Shell - (D:\Documents and Settings\Gold\Dane aplikacji\system\winlogon.exe) - D:\Documents and Settings\Gold\Dane aplikacji\System\winlogon.exe () :Files D:\Documents and Settings\Gold\Dane aplikacji\System D:\Documents and Settings\Gold\Dane aplikacji\Vaup D:\Documents and Settings\Gold\Dane aplikacji\Ukamwy D:\Documents and Settings\Gold\Dane aplikacji\Egmuna D:\Documents and Settings\All Users\Dane aplikacji\bb0294be2b640e7b9b190a5f921e7d9d_c D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\extensions\ffxtlbr@babylon.com D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\extensions\ffxtlbr@Facemoods.com D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\searchplugins\conduit.xml D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\searchplugins\sweetim.xml D:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml D:\Program Files\mozilla firefox\searchplugins\v9.xml netsh firewall reset /C :Reg [HKEY_USERS\S-1-5-21-220523388-1645522239-1417001333-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. 2. Zresetuj plik preferencji Firefox zamordowany przez adware. Zamknij Firefox (nie może być w procesach). Przesuń poniższy plik na Pulpit (potem go usuniesz): D:\Documents and Settings\Gold\Dane aplikacji\Mozilla\Firefox\Profiles\y3jsj8sz.default\prefs.js 3. Otwórz Google Chrome. W ustawieniach z listy stron startowych wymaż search.babylon.com, a w Rozszerzeniach odmontuj Facemoods. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Twój post został wydzielony w nowy temat. Nie wygląda na to, że logi zostały zrobione z poziomu właściwego konta. Logi zrobione z poziomu Trybu normalnego (czyli nie było blokady w momencie ich tworzenia), a w logach tylko jeden wpis startowy. Ów wpis kieruje na folder C:\Users\ROBERT1, ale zalogowane konto to Malinka. Konta mają inne rejestry i foldery, logi muszą być zrobione z poziomu konta zainfekowanego. Aktualnie mogę wyczyścić tylko to co widzę (i to nie wszystko co zapewne utworzyła infekcja, ale to można ujrzeć tylko będąc zalogowanym na właściwym koncie). 1. Z poziomu konta Malinka uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O4 - HKLM..\Run: [update] C:\Users\ROBERT1\AppData\Roaming\system\winlogon.exe () O4 - HKCU..\Run: [LG LinkAir] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zaloguj się na konto Robert i zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Logi zrobiłeś z poziomu wbudowanego w system konta Administrator a nie konta użytkownika (wg logów Filip): Computer Name: NA-F3D9AD551A29 | User Name: Administrator | Logged in as Administrator. Widać na dysku świeży zrzut tego folderu (konto uprzednio nie było aktywne). Konta mają różne foldery i rejestry, co powoduje niewidzialność określonych wpisów między kontami. Wprawdzie widzę aktualnie wpisy infekcji, ale nie jest pewne jak to wygląda na koncie zasadniczym. Przypuszczalnie = wszystkie konta są zainfekowane i należy je po kolei czyścić. Na teraz mogę usunąć tylko to co widzę: 1. Z poziomu konta Administrator uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [update] C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\System\winlogon.exe () O4 - HKCU..\Run: [update] C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\System\winlogon.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\system\winlogon.exe () O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\system\winlogon.exe) - C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\System\winlogon.exe () :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Filip Wolnik\Dane aplikacji\system\winlogon.exe"=- "C:\Documents and Settings\Administrator.NA-F3D9AD551A29\Dane aplikacji\system\winlogon.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Z poziomu konta Filip zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Nie zapomnij o aktualizacjach, są istotne. Temat rozwiązany. Zamykam.

Tak, to wszystko. Temat rozwiązany. Zamykam.

Dyski F i G są dotknięte plagą LNK. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q C:\$Recycle.Bin /C rd /s /q F:\$RECYCLE.BIN /C rd /s /q F:\RECYCLER /C rd /s /q G:\$RECYCLE.BIN /C rd /s /q G:\RECYCLER /C attrib /d /s -s -h G:\* /C F:\*.lnk G:\*.lnk Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zrób nowy log USBFix z opcji Listing. Swoją drogą to ta "Zastrzeżona przez system" nie jest już takową. Nie jest ukryta (ma literę), no i przepinasz dysk swobodnie (co wyklucza jej udział w rozruchu Windows). To C pełni taką rolę dla systemu właściwego, bo na niej są pliki startowe Windows (katalog Boot + plik bootmgr). To co na F wygląda na jakiś odpadek po innym systemie. Czy jest jakiś powód dla którego tę "Zastrzeżoną" F trzymasz? .

Artykuł ESET: KLIK. Przy czym śpiewka o pliku HOSTS tu się nie aplikuje, bo plik nie zawiera nic niestandardowego: O1 HOSTS File: ([2012-09-09 15:38:47 | 000,000,027 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhost Owszem, nie jest idealnie zgodny z zawartością domyślnego pliku Windows 7 i możesz to zresetować: KB972034. Nie ma to jednak zazębienia z wyżej omawianymi adnotacjami ESET. PS. A tytuł tematu "Prośba o sprawdzenie logów" zmieniam, z oczywistych względów (zasady działu). .

Wejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) :Files C:\Program Files\Spybot - Search & Destroy Klik w Wykonaj skrypt. Gdy zadanie się wykona, do wdrożenia punkty 2 do 4 z poprzedniego mojego posta. .

Zabrakło obowiązkowego raportu z GMER. W OTL nie notuję żadnych oznak infekcji. Sprzątnij sobie tylko mikro odpadki adware i martwe usługi: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=hp&babsrc=lnkry_nt" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=afecf29f-5d3f-41c9-bd5d-66bbd0307d39&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Po restarcie zastosuj Sprzątanie w OTL. 2. Wyczyść foldery Przywracania systemu: KLIK. 1. Wstępnie podstawe działania. Do sprawdzenia wpływ Avast oraz test z czystym rozruchem (KB310353). 2. I stosunkowo mało wolnego miejsca na dysku (jeśli toto silnie sfragmentowane, to możliwe widoczne spowolnienie): Drive C: | 29,29 Gb Total Space | 3,75 Gb Free Space | 12,80% Space Free | Partition Type: NTFS .

Z logów nic więcej nie wynika. 1. Doczyść szczątki po odinstalowanym Ad-aware i innych skanerach. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Program Files\Ad-Aware Antivirus C:\Program Files\Spybot - Search & Destroy C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\GFI Software C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\Gość\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\LocalService\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\NetworkService\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\Michał\Dane aplikacji\Ad-Aware Antivirus C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Sunbelt Software C:\Documents and Settings\Michał\DoctorWeb C:\WINDOWS\System32\rp_stats.dat C:\WINDOWS\System32\rp_rules.dat C:\WINDOWS\System32\statistics.dat :Services SBRE Klik w Wykonaj skrypt. Gdy skrypt ukończy działanie, w OTL zastosuj Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. Odinstalowałeś ESET, ale upewnij się, że nie pozostały gdzieś zagrzebane jego szczątki. Z poziomu Trybu awaryjnego uruchom narzędzie ESET Uninstaller. PS. Apropos napisałeś = jestem kobietą. .

Słabo opisany problem. To tylko tytuł insynuuje, że notujesz wysokie obciążenie zasobów (?) na procesie spoolsv.exe. Plik usługi Bufor wydruku, toteż ma w systemie być. Usuwanie pliku powoduje jego powrót, gdyż działa Ochrona systemu plików. I nie sądzę, by to w wersji pliku był problem. Spróbuj wyzerować cache buforowania: 1. Przejdź w Tryb awaryjny Windows (nie będzie działać usługa Bufor wydruku oraz inne związane z drukarką procesy). 2. Usuń całą zawartość folderu C:\Windows\System32\Spool\Printers. 3. Zresetuj system. .

Apropos: To wygląda na pochodną aktywności emulatora napędów wirtualnych, losowe produkty towarzyszące głównemu sterownikowi SPTD: KLIK. SPTD tu jest obecny: 88c19000 88d34000 sptd sptd.sys Sat Mar 3 17:42:03 2012 (4F5249DB) .

Co masz na myśli? A w raportach nic co by wskazywało na czynną infekcję i temat zmienia dział. Tu trzeba będzie jeszcze wyczyścić adware, ale to przesuwam na potem, bo to rzecz podrzędna. Błąd ten jest nagrany w Dzienniku zdarzeń w postaci ("generic host process for win32" to po prostu opis procesu systemowego svchost.exe): [ Application Events ]Error - 2012-09-15 17:18:15 | Computer Name = ANDRZEJ-61ADDBB | Source = Application Error | ID = 1000 Description = Aplikacja powodująca błąd svchost.exe, wersja 5.1.2600.5512, moduł powodujący błąd kernel32.dll, wersja 5.1.2600.5781, adres błędu 0x0004c1ce. Błąd sam w sobie nie jest precyzyjny, aczkolwiek nasuwa mi skojarzenia. Wprawdzie tu jako moduł przyczynowy jest odwołanie do kernel32.dll, ale błąd "generic ..." jest też charakterystyczny dla przestarzałego oprogramowania HP: KB821690. W artykule jest punktowany inny moduł przyczynowy, wiem o tym, ale w Twoim systemie jest strasznie stary komponent HP: ========== Services (SafeList) ========== SRV - [2006-03-03 22:03:10 | 000,069,632 | ---- | M] (HP) [Auto | Running] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12) Ta szczególna usługa Pml Driver HPZ12 jest hostowana przez svchost.exe. Proponuję na teraz przeprowadzić te działania: 1. Uruchom Autoruns i w karcie Services odptaszkuj pozycję Pml Driver HPZ12. 2. Zresetuj system i sprawdź czy błąd nadal występuje. .

I kończymy: 1. Wyczyść po narzędziach: przez SHIFT+DEL skasuj folder C:\Kaspersky Rescue Disk 10.0, w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełną aktualizację systemu (notowany brak Service Packów i IE9) i wyliczonych poniżej aplikacji: KLIK. Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstationInternet Explorer (Version = 7.0.6000.16982) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java™ 6 Update 17 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1033-7B44-A93000000001}" = Adobe Reader 9.3 "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 .

1. Wymagane poprawki pod kątem szczątków adware. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found IE - HKU\S-1-5-21-706627600-16888601-3528229297-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKU\S-1-5-21-706627600-16888601-3528229297-1000\..\SearchScopes\{69ABAE4C-47BC-4EAD-A2B3-ED08ED617830}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=ct3135048" IE - HKU\S-1-5-21-706627600-16888601-3528229297-1000\..\SearchScopes\{E3F10EB3-40A6-42AB-B74F-5A73F1CFEB65}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" [2012/04/10 18:19:54 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\gdcga44i.default\extensions\ffxtlbr@funmoods.com [2012/04/28 13:06:41 | 000,000,000 | ---D | M] (Yontoo) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\gdcga44i.default\extensions\plugin@yontoo.com Klik w Wykonaj skrypt. 2. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{26A24AE4-039D-4CA4-87B4-2F83217006FF}" = Java 7 Update 6 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{90140011-0066-0415-0000-0000000FF1CE}" = Microsoft Office Starter 2010 - Polski Osobna uwaga na temat kalekiego Gadu-Gadu 7.7. Pod uwagę alternatywne nowocześniejsze programy z obsługą Gadu, takie jak: WTW, Kadu, Miranda czy AQQ. Opisy: KLIK. .

Po obecności polityki HideSCAHealth można się było spodziewać zmian ustawień w usługach Windows wykonanych przez infekcję. Polityka miała w zamiarze ukryć ikonę Centrum w obszarze powiadomień, a ukrycie służy zamaskowaniu blędów. Po jej usunięciu skryptem ujawnił się faktyczny błąd i na ten temat: To nie było potrzebne, choć wykonanie tego oczywiście rozwiązuje sprawę. Artykuł dedykuje całkowity brak usługi, a to nie był ten przypadek. Usługa Centrum była tylko wyłączona. To zresztą nie jedyna usługa wyłączona przez tę infekcję, również Windows Update oraz Windows Defender są poszkodowane. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender pomijam, w tle chodzi Avira. .

anek155 co miał znaczyć ten podwójny post? Usuwam nadwyżkę. No i co z logowaniem go Gmail, czy weryfikowałeś ustawienia sieciowe obu komputerów?