picasso

Mój profil ma wyraźnie zaznaczone = nie udzielam pomocy przez PW, to oznacza też nie wysyłanie mi PW z linkiem do tematu. Mój dział, wiem co w nim mam, udzielam pomocy zgodnie z moimi czasowymi możliwościami. Do usuwania są obiekty Live Security Platinum na dysku i wpis na liście zainstalowanych, innogatunkoy trojan attrrmap.dll w AppCertDlls oraz drobne odpadki adware: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\6F63A588473B63270D6E9E4181CB3EF3 C:\Documents and Settings\Kamil Administrator\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\Kamil Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\93bxxhal.default\searchplugins\askcom.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL FF - prefs.js..browser.search.order.1: "Ask.com" O4 - HKCU..\Run: [ASRockIES] File not found O4 - HKCU..\Run: [ASRockOCTuner] File not found O4 - HKCU..\Run: [zASRockInstantBoot] File not found O36 - AppCertDlls: HPZiavaw - (C:\WINDOWS\system32\attrrmap.dll) - C:\WINDOWS\system32\attrrmap.dll () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z wynikami usuwania OTL z punktu 1. .

Na przyszłość na temat używania ComboFix: KLIK. Uruchomiony niepotrzebnie, log nie wykazuje by cokolwiek z zakresu infekcji robił. Czy używałeś czegoś innego do czyszczenia infekcji? Wg logów są do doczyszczenia tylko małe odpadki: 1. Przez Dodaj / Usuń programy odinstaluj wątpliwy Przyspiesz Komputer oraz archaiczny Skaner on-line mks_vir. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\ba\Dane aplikacji\hellomoto C:\Documents and Settings\ba\Dane aplikacji\OpenCandy C:\Documents and Settings\ba\Dane aplikacji\pdfforge C:\Documents and Settings\All Users\Dane aplikacji\Ask :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{2A9F32C1-C188-427F-B4BA-D4B6812BCE83}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{2A9F32C1-C188-427F-B4BA-D4B6812BCE83}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Services Catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 3. Do oceny wystarczy tylko log z wynikami usuwania OTL. Nowy skan niepotrzebny. Nie wystarczy sama deinstalacja Alcohola, należy jeszcze odinstalować główny sterownik SPTD: DRV - File not found [Kernel | On_Demand | Unknown] -- -- (abgprp6v)DRV - [2011-12-25 20:34:20 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Ale zostaw to już. .

Co do Panów, teraz udziela pomocy Pani. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-1401630422-737009789-3217332949-1000..\Run: [MSIDLL] C:\Windows\SysWOW64\rundll32.exe msisqx32.dll,EPVlEuhWYhnO File not found :Files C:\ProgramData\7531CCB1000D2207D8D45F0B4F147CE7 C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\user\Desktop\Live Security Platinum.lnk :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. Programy zaczną się uruchamiać. 2. Z poziomu Trybu normalnego zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z wynikami usuwania OTl z punktu 1. .

Tytuł poprawiam, UKASH tu nie ma. Log z HijackThis niezdane i usuwam. Całkowicie zastępuje go OTL. Przepuszczałeś jakiś skrypt do OTL - jaki / skąd? Wszystkie obiekty są procesami systemowymi. 1. Otwórz Firefox. Wpisz w pasku adresów about:config. Wyszukaj frazy browser.newtab.url, browser.search.defaultengine, browser.search.defaultenginename, browser.search.defaultthis.engineName, browser.search.defaulturl, browser.search.order.1, keyword.URL oraz claro. Wszystko co znajdziesz zresetuj z prawokliku do poziomu domyślnego. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "pl.v9.com/idg/idg_1334231438_336597" O2 - BHO: (Help the General-Search Project) - {CA4520F3-AE13-4FB1-A513-58E23991C86D} - C:\Documents and Settings\Piotrek\Dane aplikacji\Media Finder\Extensions\gencrawler_gc.dll () O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found :Files C:\Documents and Settings\Piotrek\Dane aplikacji\Media Finder C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\pwyp2c6r.default\searchplugins\conduit.xml C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\pwyp2c6r.default\searchplugins\startsear.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\TSearch C:\Program Files\smartdl C:\Program Files\uik.dat C:\Program Files\is.dat C:\WINDOWS\is-1QHQK.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Przez Dodaj / Usuń programy odinstaluj nośnik adware vShare.tv plugin 1.3. To zresztą chyba jakiś szczątek. 4. Zrób nowy log OTL, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne na Brak + wyszukiwanie plików na Żadne i klik w Skanuj. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\User\AppData\Roaming\msconfig.dat C:\Users\User\AppData\Roaming\msconfig.ini C:\Users\User\AppData\Roaming\Yxil C:\Users\User\AppData\Roaming\Enef C:\Users\User\AppData\Roaming\Dadyaw :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Uvbaazdoig"=- :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_3_&babsrc=SP_ss&mntrId=7c4e86d40000000000004c80934da991" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=414&sr=0&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie i już w Trybie normalnym działasz: 2. Przez Panel sterowania odinstaluj adware Searchqu Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={4A3213BC-CB9B-4951-8F93-0F9F9F1D79C9}&mid=1519d5c7220647d1b49b49c72577a99a-15a735048ce4ecb044513684a7f1863a9d7f30af&lang=en&ds=AVG&pr=fr&d=2011-10-31 22:35:57&v=8.0.0.34&sap=dsp&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid=%7Bc7a6be1b-dfbd-4a9c-bb6b-6c2f4f63553d%7D&mid=1519d5c7220647d1b49b49c72577a99a-15a735048ce4ecb044513684a7f1863a9d7f30af&ds=AVG&v=8.0.0.34.1&lang=en&pr=pr&d=2011-10-01%2009%3A11%3A16&sap=ku&q=" O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\RunOnce: [0C1CFB130009B259EE49A63D4F147CE7] C:\ProgramData\0C1CFB130009B259EE49A63D4F147CE7\0C1CFB130009B259EE49A63D4F147CE7.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\0C1CFB130009B259EE49A63D4F147CE7 C:\Users\Sony\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Users\Sony\Desktop\Live Security Platinum.lnk C:\Users\Sony\AppData\Local\Temp*.html C:\Users\Sony\AppData\Roaming\mozilla\firefox\profiles\227uqax1.default\searchplugins\avg-secure-search.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Przez Panel sterowania odinstaluj adware Winamp Toolbar. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. .

Flame usuń to sprzed moich oczu. Jest to bezczelny pirat. I zwykły kulawy XP (dlatego takie "boskie wymagania" z 256RAM = KB314865), którego "podrasowali" (instalacja nienadzorowana i edycja plików źródłowych Windows). Integracja tych widoków ala Windows 7 to tylko pic, myślisz że to coś "przyśpieszy"? .

Sfinalizuj czyszczenie: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. Sprzątanie przekonfiguruje opcje widoku (patrz niżej). 2. Wyczyść foldery Przywracania systemu: KLIK. Te pliki desktop.ini służą do nakładania polonizowanej nazwy "Pulpit" zamiast "Desktop" i specjalnej ikonki Pulpitu. Widać je, jeśli masz odznaczoną opcję Ukryj chronione pliki systemu operacyjnego. Cytuję: .

No tak, ale o jakim systemie tu mowa, Windows 32-bit czy 64-bit? Powyższa komenda jest przeznaczona do uruchomienia spod działającego Windows a nie z poziomu środowiska zewnętrznego WinRE (czyli F8 > Napraw komputer). W środowisku zewnętrznym ta komenda wygląda inaczej. .

Tak, prowadziłam tu procedurę leczenia zainfekowanego pliku systemowego oraz usuwanie produktów ubocznych tej infekcji. Dlatego Avast już się uspokoił. Natomiast robota jeszcze przed nami. Ten trojan uszkodził usługi Windows, całkowicie skasował z rejestru Zaporę systemu Windows, Centrum zabezpieczeń, Windows Defender i Windows Update. I tym się zajmiemy teraz. Później jeszcze usuniesz szczątki po komercyjnej wersji Avast Internet Security. 1. Rekonstrukcja usług Zapory systemu Windows (BFE+ MpsSvc + SharedAccess i ich uprawnień): KLIK. Omiń sfc /scannow, nie jest potrzebne. 2. Rekonstrukcja pozostałych usług oraz inne drobne korekty. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{DDE73E3B-E9BF-483D-A846-CE1ADC552A4B}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" Adnotacja dla innych czytających: import dopasowany do Windows Vista. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 3. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. .

Masz zainfekowany systemowy plik services.exe. Przy okazji, system jest zaśmiecony porażającą ilością pasków adware. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKLM\..\SearchScopes\{5903A2A2-872C-4FE1-AAEC-69324A987DCB}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={5ADDEBCE-3BAC-49A5-9867-F465D1668BD9}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=GLSV5&o=10168&src=kw&q={searchTerms}&locale=en_UK&apn_ptnrs=GL&apn_dtid=YYYYYYYYGB&apn_uid=42D0576C-75DA-4CF6-A877-1083D689B90A&apn_sauid=00A0AFDD-862C-4E2A-8C67-0CD32F244876" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{5903A2A2-872C-4FE1-AAEC-69324A987DCB}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=7d7178bc-88be-11e1-96f9-a4badb9b125f&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{925ACB3B-B312-44DC-B16F-E244BDB0F82D}: "URL" = "http://search.igeared.com/dispatcher.aspx?i=63&tp=chrome&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=390&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}: "URL" = "http://search.imesh.com/web?src=ieb&systemid=1&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{B87233A2-5593-42FF-8E2C-E8B2BD386941}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}: "URL" = "http://eu.ask.com/web?l=dis&o=APN10383&gct=sb&qsrc=2869&apn_dtid=^YYYYYY^YY^GB&apn_ptnrs=^ABI&apn_uid=3942031720714343&p2=^ABI^YYYYYY^YY^GB&q={searchTerms}" IE - HKU\S-1-5-21-628717615-3471028248-1964116091-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={5ADDEBCE-3BAC-49A5-9867-F465D1668BD9}" O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O2 - BHO: (no name) - {37B85A21-692B-4205-9CAD-2626E4993404} - No CLSID value found. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O2 - BHO: (no name) - {E4E6BF2A-1667-11DF-A01F-1F9655D89593} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKU\S-1-5-21-628717615-3471028248-1964116091-1000..\Run: [sysFxUI] C:\Users\Robert\AppData\Local\Microsoft\Windows\1067\SysFxUI.exe () O20:64bit: - Winlogon\Notify\GoToAssist: DllName - (C:\Program Files (x86)\Citrix\GoToAssist\514\G2AWinLogon_x64.dll) - File not found :Files C:\Windows\SysNative\%APPDATA% C:\Windows\Installer\{6f17c38f-690a-058e-09e0-3cc98c00d8ff} C:\Users\Robert\AppData\Local\{6f17c38f-690a-058e-09e0-3cc98c00d8ff} C:\Users\Robert\AppData\Local\Microsoft\Windows\1067 C:\Users\Robert\AppData\Roaming\hellomoto C:\Users\Robert\AppData\Roaming\OpenCandy C:\Users\Robert\AppData\Roaming\ClickPotatoLite C:\Users\Robert\AppData\Local\Temp*.html C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions] "ClickPotatoLite@ClickPotatoLite.com"=- [HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions] "{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zdjęta i działasz już w Trybie normalnym: 4. Odinstaluj adware: - Otwórz Google Chrome i w rozszerzeniach odinstaluj Facemoods, SweetIM for Facebook, LiveVDO plugin, vshare plugin - Przez Panel sterowania odinstaluj: Ask Toolbar, blinkx beat, BS_Player Toolbar, Conduit Engine, DAEMON Tools Toolbar, Facemoods Toolbar, iLivid, Internet Explorer Toolbar 4.6 by SweetPacks, MediaBar (dwie pozycje), InstallIQ Updater, LiveVDO plugin 1.3, My Global Search Bar, PriceGong 2.2.0, SearchCore for Browsers, Windows iLivid Toolbar, Searchqu Toolbar, ShopperReports, Simppull Toolbar, Softonic-Polska Toolbar, SpeedUp Toolbar 2.010.019.002, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0, vShare Plugin, vShare.tv plugin 1.3. Odinstaluj też: Toolbar Cleaner 1.0 (ta aplikacja zdaje się ma ... adware w instalatorze) oraz te bardziej normalne paski Bing Bar, Google Toolbar, Yahoo! Toolbar (jeśli nie instalowałeś ich celowo). 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Dołącz log z usuwania AdwCleaner z punktu 5. Logi wstaw jako załączniki. .

Ale czy na pewno wpisujesz właściwą literę Cd-ROMu? Skoro są z tym taki problemy proponuję zmienić narzędzie i metodę robienia raportu, czyli: F8 > Napraw komputer > Wiersz polecenia > uruchom zgodnie z opisem narzędzie FRST z pendrive. .

Zadania wykonane. Kończymy: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Windows (brak SP1+IE9) i wyliczone poniżej programy. Szczegóły: KLIK. Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 13 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "{B7B3E9B3-FB14-4927-894B-E9124509AF5A}" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) "Gadu-Gadu" = Gadu-Gadu 7.7 "Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28) Gadu-Gadu 7.7 też zakreślam. Wersja niepełnosprawna (brak pełnej obsługi własnej sieci) i słabo zabezpieczona. Sugeruję obejrzenie alternatyw z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. .

Zasady działu: KLIK. Wymagane obowiązkowe logi z OTL + GMER. .

Czy na pewno mówimy o tym samym programie? Opcja Delete na dłoni: Zrzut ekranu pochodzi ze starszej wersji programu. Najnowsza ma nieco inny układ graficzny okna i przyciski Search, Delete, Uninstall w poziomie a nie w pionie. .

Zadanie zdaje się wykonane. Tak więc czy są tu jakieś dodatkowe problemy? Na zakończenie: 1. W AdwCleaner zastosuj Uninstall. 2. Na wszelki wypadek zrób jeszcze skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Jeśli nic: 3. Wyczyść foldery Przywracania systemu: KLIK. .

Skoro masz CD z OTL, to podpinasz pod ten komputer. Następnie wchodzisz w Tryb awaryjny z obsługą Wiersza polecenia i w linii komend wpisujesz ścieżkę do OTL.exe na CD. Czyli jeśli CD to powiedzmy przykładowo litera X:, a OTL.exe był zgrany bezpośrednio na płytę (nie w podfolderze), to w linii komend wpisujesz X:\OTL.exe i ENTER, co uruchomi program. .

Oglądasz nie ten Pulpit co należy, a właściwie widzisz tylko połowę zawartości Pulpitu czyli zawartość tego katalogu Public: C:\Users\Public\Desktop - Parameters: "/s" ---Files--- desktop.ini --ahs-- 174 bytes [12:48 02/11/2006] [16:54 02/02/2012] Mozilla Firefox.lnk --a---- 846 bytes [14:41 23/08/2012] [14:41 23/08/2012] Opera.lnk --a---- 1614 bytes [17:53 09/07/2012] [17:53 09/07/2012] Winamp.lnk --a---- 776 bytes [14:29 20/07/2012] [14:29 20/07/2012] Pulpit jako wirtualna przestrzeń to składowa dwóch folderów, Twojego konta użytkownika + Public: C:\Users\MD\Desktop C:\Users\Public\Desktop Z jakiś względów po korekcie ścieżek (które teraz zdają się prawidłowe) Twój Pulpit nie jest wyświetlany prawidłowo i nie interpretuje katalogu C:\Users\MD\Desktop. I nie zauważyłam ... Twój log z SystemLook pokazuje, że był uruchamiany ... z poziomu konta SYSTEM (a nie Twojego konta użytkownika MD): Log created at 15:37 on 18/09/2012 by SYSTEM To jakieś cuda. Kompletnie się wyloguj z systemu, zamykając komputer, następnie zaloguj się na konto MD i powiedz mi co widać. Tu podobnie jak wyżej, to nie jest prawidłowy katalog Twoich Dokumentów. Ten błąd powinien zniknąć przy prawidłowym kontekście zalogowanego konta. .

Plik ten edytowany był na forum wiele razy i nigdy nie wystąpił taki przypadek. Również w locie go edytuje program AdwCleaner nagminnie tu stosowany. Czy na pewno Google Chrome było zamknięte podczas tej akcji i żaden proces chrome.exe nie tkwił w tle? Google Chrome nie może być uruchomione podczas tej operacji, bo zmiany zostaną wyzerowane, to tak jak z plikiem prefs.js Firefox. I tylko homepage było do edycji, dns_prefetching nie ma celu (to jest cache uruchamianych stron). Założeniem jest, że poprawnie zedytowałeś ciągi i nie naruszyłeś czegoś dodatkowego (np. zamknięcia jakiejś linii). Nie wiem. Jak mówiłam, widoczne były tylko zmodyfikowane preferencje w przeglądarkach, ale log nie sugeruje jaki instalator to zrobił. Czy ustawienia ukrytych utrzymują się po restarcie? .

Teraz należy z linii komend uruchomić program OTL wpisując "pełną ścieżkę dostępu do OTL.exe" i ENTER. Czy w ogóle pobrałeś program OTL na dysk?

Skrypty są unikatowe, ich stosowanie na innych systemach jest bezcelowe i nie pomoże, a i w szczególnych okolicznościach można sobie coś uszkodzić. W skryptach są robione różne rzeczy, niekiedy kompletnie nie związane z infekcją. Zaś sama infekcja ma parametry losowe, u każdego zupełnie inne nazwy. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "ST-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=2&q=" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKCU\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD772C3C-0967-459D-A2E1-E69DB894328E}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=050412_30b&babsrc=SP_ss&mntrId=a4b10ad5000000000000d8d385182f0b" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541825658482485" O4 - HKLM..\Run: [recdisc] C:\Documents and Settings\Lap Honorata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4598\recdisc.exe () O4 - HKCU..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) :Files C:\Documents and Settings\Lap Honorata\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4598 C:\Documents and Settings\Lap Honorata\Dane aplikacji\hellomoto C:\Documents and Settings\Lap Honorata\Dane aplikacji\Mozilla\Firefox\Profiles\8l6j8s07.default\searchplugins\conduit.xml C:\Documents and Settings\Lap Honorata\Dane aplikacji\Mozilla\Firefox\Profiles\8l6j8s07.default\searchplugins\daemon-search.xml C:\Documents and Settings\Lap Honorata\Dane aplikacji\Mozilla\Firefox\Profiles\8l6j8s07.default\searchplugins\MyStart Search.xml C:\Documents and Settings\Lap Honorata\Dane aplikacji\Mozilla\Firefox\Profiles\8l6j8s07.default\searchplugins\startsear.xml C:\Documents and Settings\Lap Honorata\Dane aplikacji\Mozilla\Firefox\Profiles\8l6j8s07.default\searchplugins\web-search.xml C:\Program Files\Mozilla Firefox\extensions\{48bf2ce4-8282-329d-8d8f-74ea234d959d} C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Secondary Start Pages"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0C2A4564-9DDB-4F6E-B177-5B0641B64F5E}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0C2A4564-9DDB-4F6E-B177-5B0641B64F5E}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie, toteż działasz już w Trybie normalnym: 2. Odinstaluj adware: - Otwórz Google Chrome i w Rozszerzeniach odinstaluj DealPly, LiveVDO plugin, StartSearch Video plug-in. - Otwórz Firefox i w Dodatkach odinstaluj Babylon, Conduit Engine, DAEMON Tools Toolbar, DealPly, IncrediMail MediaBar 2 Community Toolbar, ST-Polska Community Toolbar, uTorrentControl2 Community Toolbar. - Przez Panel sterowania odinstaluj Browsers Protector, Contextual Tool Extrafind, DAEMON Tools Toolbar, DealPly, IncrediMail MediaBar 2 Toolbar, LiveVDO plugin 1.3, Softonic-Polska Toolbar, StartSearch Toolbar 1.3, uTorrentControl2 Toolbar, vShare Plugin. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

Spróbuj uruchomić Tryb awaryjny z obsługą Wiersza polecenia. W linii komend uruchom OTL. .

1. Powiedz czego Ci konkretnie brakuje na Pulpicie, bo log wykazuje obecność Twoich folderów: C:\Users\MD\Desktop\8wrzesien2012 C:\Users\MD\Desktop\Aplikacje C:\Users\MD\Desktop\Partnerski C:\Users\MD\Desktop\PhotosX Natomiast na Pulpicie masz nieprawidłowy katalog o nazwie "Pulpit", który owszem jest pusty: C:\Users\MD\Desktop\Pulpit Jak mówię, katalog nieprawidłowy, jest to folder w folderze Pulpit. To wyżej położony Desktop jest właściwym. Na Vista prawdziwa nazwa to Desktop, polska "Pulpit" jest robiona tylko "nakładkowo" przez plik desktop.ini. Podfolder "Pulpit" do usunięcia. 2. Jako skutek uboczny uprzedniej wady w rejestrze w katalogu C:\Windows\system32\config\systemprofile zostały utworzone foldery, których tam nie ma być, m.in. kolejny "Pulpit" na który był ściągany SystemLook: C:\Windows\system32\config\systemprofile\Desktop dr----- [07:37 18/09/2012]desktop.ini --ahs-- 282 bytes [07:37 18/09/2012] [07:37 18/09/2012] C:\Windows\system32\config\systemprofile\Desktop\Pulpit d------ [13:36 18/09/2012] SystemLook.exe --a---- 139264 bytes [13:36 18/09/2012] [13:36 18/09/2012] SystemLook.txt --a---- 0 bytes [13:37 18/09/2012] [13:37 18/09/2012] C:\Windows\system32\config\systemprofile\Documents dr----- [07:42 18/09/2012] desktop.ini --ahs-- 402 bytes [07:42 18/09/2012] [07:42 18/09/2012] C:\Windows\system32\config\systemprofile\Downloads dr----- [07:42 18/09/2012] desktop.ini --ahs-- 282 bytes [07:42 18/09/2012] [07:42 18/09/2012] SystemLook.exe --a---- 139264 bytes [13:35 18/09/2012] [13:35 18/09/2012] Skasuj te wszystkie foldery: C:\Windows\system32\config\systemprofile\Contacts C:\Windows\system32\config\systemprofile\Desktop C:\Windows\system32\config\systemprofile\Documents C:\Windows\system32\config\systemprofile\Downloads C:\Windows\system32\config\systemprofile\Favorites C:\Windows\system32\config\systemprofile\AppData\Local\Adobe C:\Windows\system32\config\systemprofile\AppData\Local\Macromedia C:\Windows\system32\config\systemprofile\AppData\Local\Mozilla C:\Windows\system32\config\systemprofile\AppData\Local\Opera C:\Windows\system32\config\systemprofile\AppData\Local\Sunbelt Software C:\Windows\system32\config\systemprofile\AppData\Local\Temp C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\IME12 C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\IMJP12 C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\IMJP8_1 C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\IMJP9_0 C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Internet Explorer C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\1045 C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Burn C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\GameExplorer C:\Windows\system32\config\systemprofile\AppData\Roaming\Adobe C:\Windows\system32\config\systemprofile\AppData\Roaming\Macromedia C:\Windows\system32\config\systemprofile\AppData\Roaming\Mozilla C:\Windows\system32\config\systemprofile\AppData\Roaming\Opera C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\IME12 C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\IMJP12 C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\IMJP8_1 C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\IMJP9_0 C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Speech C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Recent C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Themes Z katalogu Local usuń też te pliki: C:\Windows\system32\config\systemprofile\AppData\Local d------ [12:58 02/11/2006]d3d9caps.dat --a---- 1356 bytes [12:59 02/11/2006] [11:39 02/02/2012] desktop.ini --ahs-- 6 bytes [12:58 02/11/2006] [12:58 02/11/2006] GDIPFONTCACHEV1.DAT --a---- 48600 bytes [11:38 02/02/2012] [11:38 02/02/2012] IconCache.db --ah--- 1631410 bytes [07:39 18/09/2012] [10:14 18/09/2012] Z katalogu Cookies usuń pliki (z wyjątkiem index.dat): C:\Windows\system32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies d--hs-- [12:59 02/11/2006]md@contact.aqq[2].txt --a---- 362 bytes [09:52 18/09/2012] [09:52 18/09/2012] md@qrix[2].txt --a---- 340 bytes [09:52 18/09/2012] [09:52 18/09/2012] md@www.qrix[1].txt --a---- 105 bytes [09:52 18/09/2012] [09:52 18/09/2012] .

W raportach brak widocznych podejrzanych "wątków".

Nie odpowiedziałeś na pytanie, które konto ma zostać usunięte, tomekipaula? Log z usuwania OTL jest nagrywany w katalogu D:\_OTL. O niego jednak nie prosiłam. Chodziło mi o log z AdwCleaner, utworzony przez narzędzie automatycznie na dysku C. Dodaj go. .