picasso

Sprawa z plikiem rozwiązana. Idziemy dalej: 1. Otwórz Google Chrome. W zarządzaniu wyszukiwarkami przestaw domyślną wyszukiwarkę z Conduit na np. Google, po tym Conduit usuń z listy. Z listy stron startowych wymaż search.conduit.com. Wyczyść też Historię. 2. Otwórz Firefox i w Dodatkach odinstaluj DataMngr, Facemoods, Searchqu Toolbar, softonic.com, uTorrentBar Community Toolbar, Veoh Web Player Toolbar. 3. Przez Panel sterowania odinstaluj adware Babylon / Babylon Toolbar, Searchqu Toolbar, Softonic Toolbar, uTorrentBar Toolbar, Veoh Web Player Toolbar. Pozbądź się też wątpliwego DLL-files.com. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj, tym razem proszę o pełny log z plikiem Extras (poprzednio opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Dołącz log z usuwania AdwCleaner z punktu 4. .

Na koniec aktualizacje: KLIK. Konkretnie chodzi tu o (wszystkie stare Java i Adobe do deinstalacji): ========== HKEY_LOCAL_MACHINE Uninstall List ========== "{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0 "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java™ 6 Update 14 "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7 "{7148F0A8-6813-11D6-A77B-00B0D0142030}" = Java 2 Runtime Environment, SE v1.4.2_03 "{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3367781697-3170282490-3786960534-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome Temat rozwiązany. Zamykam. .

Na zakończenie: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej aplikacje. Szczegóły: KLIK. Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217001F0}" = Java™ 7 Update 1 "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Spyware Doctor" = Spyware Doctor 6.0 PS. Gadu-Gadu 10 też sugeruję wymienić czymś lżejszym. Propozycje: WTW, Kadu, Miranda, AQQ. Opisy: KLIK. .

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{0e2553a6-37a1-c30c-c87e-704663c4430e} C:\Users\JaDowity\AppData\Local\{0e2553a6-37a1-c30c-c87e-704663c4430e} C:\Users\JaDowity\AppData\Roaming\mozilla\Firefox\Profiles\e4pl2a2e.default\extensions\toolbar@ask.com C:\Users\JaDowity\AppData\Roaming\mozilla\firefox\profiles\e4pl2a2e.default\searchplugins\askcom.xml C:\Users\JaDowity\AppData\Roaming\mozilla\firefox\profiles\e4pl2a2e.default\searchplugins\askcomsearch.xml C:\Program Files\mks_vir_9 :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com Search" FF - prefs.js..browser.search.defaultenginename: "Ask.com Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.order.1: "Ask.com Search" FF - prefs.js..browser.search.selectedEngine: "Ask.com Search" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=LMW2&o=16050&locale=en_DE&apn_uid=792947E0-F6E1-428C-9E8C-3F27689CBB62&apn_ptnrs=OF&apn_sauid=582A8503-DCB7-493E-96DD-E2590308A441&apn_dtid=VIN001NTDE&&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\..\SearchScopes\{CB5BB9DD-D23F-4395-822C-ABF678931ED7}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=yIwe_qd4ve8nWGFtp1YqhEkSK64?q={searchTerms}" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1210541" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\..\SearchScopes\{CB5BB9DD-D23F-4395-822C-ABF678931ED7}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKU\S-1-5-21-2476290609-3752394115-1800974415-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" O4 - HKLM..\Run: [] File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found SRV - File not found [Auto | Stopped] -- C:\Program Files\mks_vir_9\bin\mks_services.exe -- (mks_services) SRV - File not found [Disabled | Unknown] -- C:\Program Files\Alwil Software\Avast5\afwServ.exe -- (avast! Firewall) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\igdkmd32.sys -- (igfx) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\ElbyVCD.sys -- (ElbyVCD) :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Przez Panel sterowania odinstaluj adware Ask Toolbar, download-boosters Toolbar. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :filefind services.exe Dołącz też log z wynikami usuwania AdwCleaner. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD21} IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&sr=0&q={searchTerms}" IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ppcb&s={searchTerms}&f=4&hl={language}&src=chrm" IE - HKLM\..\SearchScopes\{60CD077E-CEC9-4797-823B-AC4596B0BA68}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=406&q={searchTerms}" IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=d2569f23-dbb4-11e0-8f62-90fba648100f&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{A55A7804-8838-4493-A5B8-B1967AF6931C}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" IE - HKLM\..\SearchScopes\{CA5267B4-3EBA-4228-BAAA-D19F82508B20}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ppcb&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=090812_ppc_3212_4&babsrc=SP_ss&mntrId=260574f600000000000000025b052161" IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=260574f600000000000090fba648100f&tlver=1.4.19.19&ss=1&affID=18047" IE - HKCU\..\SearchScopes\{60CD077E-CEC9-4797-823B-AC4596B0BA68}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{68465BC7-FF32-403E-9CCA-C13976814567}: "URL" = "http://isearch.avg.com/search?cid={09EBBF0F-2C24-4606-A9C6-B93CB0FA6332}&mid=d6d0a256a08a47d19fc641b2e0acf9fc-98325a0788630574ae6fb2b8aa6e4c192b263f36&lang=pl&ds=AVG&pr=fr&d=2012-01-27 22:06:33&v=10.0.0.7&sap=dsp&q={searchTerms}" IE - HKCU\..\SearchScopes\{8A96AF9E-4074-43b7-BEA3-87217BDA7406}: "URL" = "http://www.searchqu.com/web?src=ieb&systemid=406&q={searchTerms}" IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={09EBBF0F-2C24-4606-A9C6-B93CB0FA6332}&mid=d6d0a256a08a47d19fc641b2e0acf9fc-98325a0788630574ae6fb2b8aa6e4c192b263f36&lang=pl&ds=AVG&pr=fr&d=2012-01-27 22:06:33&v=12.2.5.32&sap=dsp&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=393&systemid=1&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{A55A7804-8838-4493-A5B8-B1967AF6931C}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2304157" IE - HKCU\..\SearchScopes\{CA5267B4-3EBA-4228-BAAA-D19F82508B20}: "URL" = "http://downloads.phpnuke.org/en/index.php?rvs=google" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}" IE - HKCU\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKCU\..\URLSearchHook: {8532a8b7-c06a-41bb-936a-8ce73e4711ed} - No CLSID value found IE - HKCU\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKCU\..\URLSearchHook: {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - No CLSID value found IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found O2:64bit: - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{95B7759C-8C7F-4BF1-B163-73684A933233} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~2\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [stmRst] C:\Windows\StmClean.exe File not found O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" File not found O4 - HKCU..\Run: [jnsweqjygfqegha] C:\ProgramData\jnsweqjy.exe (Oracle Corporation) O4 - HKCU..\Run: [Voocytucpo] C:\Users\Juzef\AppData\Roaming\Ofozn\ibog.exe () :Files C:\ProgramData\aqmwsdbggcxxtpz C:\ProgramData\deqdjajlwraeecv C:\Users\Juzef\AppData\Roaming\Poyst C:\Users\Juzef\AppData\Roaming\Oqridy C:\Users\Juzef\AppData\Roaming\Ofozn C:\Users\Juzef\AppData\Roaming\mozilla\firefox\profiles\1n1rbdt2.default\searchplugins\BabylonMngr.xml C:\Users\Juzef\AppData\Roaming\mozilla\firefox\profiles\1n1rbdt2.default\searchplugins\Search_Results.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchppcb.xml C:\Program Files (x86)\mozilla firefox\searchplugins\SearchquWebSearch.xml C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Search_Results.xml C:\Users\Juzef\AppData\Local\promo.exe C:\user.js netsh advfirewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyOverride"=- "ProxyEnable"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Default_Page_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Secondary Start Pages"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie. I kolejne kroki usuwające już z poziomu Trybu normalnego: 2. Odinstaluj adware: - Otwórz Firefox i w Dodatkach odinstaluj: Babylon, Browser Manager, SpeedBit Video Downloader. - Przez Panel sterowania odinstaluj: Babylon toolbar on IE, BabylonObjectInstaller, Browser Manager, Browsers Protector, Contextual Tool Extrafind, DAEMON Tools Toolbar, DealPly, MediaBar, MyPlayCity Toolbar, Windows iLivid Toolbar, SpeedBit Video Downloader, StartSearch Toolbar 1.3, uTorrentBar Toolbar, Windows iLivid Toolbar, XfireXO Toolbar, Yontoo 1.10.02. Od razu usuń też zbędny Akamai NetSession Interface. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Skutkiem ubocznym uruchomienia AdwCleaner będzie usunięcie AVG Secure Search, program traktuje to jako sponsora. 4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3. .

Nie podawaj swojego e-maila w poście (boty spamujące), zedytowane. To co podałeś na wklej.org to nawet nie jest cały adres i nikt logów nie otworzy. Proszę załączyć logi z OTL w postaci załączników, teraz nie będzie problemu z ich załadowaniem (naprawiłam usterkę).

Skorygowałam sprawę załączników. Są w pierwszym poście. Wykonaj zalecone czynności i przedstaw log z AdwCleaner, jak prosiłam. Jest to adware monitorujące odwiedzane witryny. Przykładowe opisy: KLIK / KLIK. Gdyby został podany log z GMER, widać byłoby wszczepienie biblioteki Relevant Knowledge do innych procesów. .

Proszę poprawić te logi, są na złym ustawieniu, ustawione Wszystko a ma być Użyj filtrowania: KLIK.

Ta komenda wywołuje wbudowaną w system autonaprawę plików. Prosiłam o log z SystemLook. I to nie koniec działań, gdyż będą jeszcze adware do deinstalacji.

To nadal Ask, tylko pod "inną" nazwą. Przykładowy log: KLIK. O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) [2015-06-18 12:49:19 | 000,000,000 | ---D | M] (Avira SearchFree Toolbar plus Web Protection) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zt8l5ymw.default\extensions\toolbar@ask.com ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar ========== HKEY_CURRENT_USER Uninstall List ========== [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{79A765E1-C399-405B-85AF-466F52E918B0}" = Avira SearchFree Toolbar plus Web Protection Updater .

Temat przenoszę do działu malware (infekcja keyloggerem z Tibia). djlb.dll = masz na myśli rjlb.dll. A ten skrypt nie będzie działać, próbujesz podmieniać bibliotekę 64-bit: :Files C:\Windows\System32\ws2_32.dll|C:\ws2_32.dll /replace To nie ten plik jest zainfekowany, tylko 32-bitowy w SysWOW64. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\SysWOW64\ws2_32.dll Zresetuj system. 2. Uruchom SystemLook x64 i w oknie wklej: :filefind ws2_32.dll Klik w Look. Przedstaw wynikowy raport. .

To może modyfikowany wygląd jest problemem. Czy aktualnie jest coś zmienione w stylach? A jeśli to w jaki sposób? .

Potrzebne dodatkowe skany: 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe Klik w Look. 2. Zrób też log z Farbar Service Scanner. .

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej: :OTL O4 - HKU\Karol_ON_C..\Run: [] File not found O7 - HKU\Karol_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O20 - HKLM Winlogon: Shell - (C:\ProgramData\pngjhyndv_S) - C:\ProgramData\pngjhyndv_S.exe () [2012/09/07 14:45:07 | 000,120,320 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\pngjhyndv_S.exe [2012/09/07 14:45:07 | 000,120,320 | ---- | M] () -- C:\Users\Karol\AppData\Local\pngjhyndv_S.exe SRV - File not found [On_Demand] -- -- (ACDaemon) DRV - File not found [Kernel | On_Demand] -- -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand] -- -- (UIUSys) DRV - File not found [Kernel | On_Demand] -- -- (hwdatacard) DRV - File not found [Kernel | On_Demand] -- -- (GenericMount) DRV - File not found [Kernel | On_Demand] -- -- (btwl2cap) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Run Fix. Na C powstanie log z usuwania. Logujesz się normalnie do Windows, bo blokada zostanie zdjęta: 2. Przez Panel sterowania odinstaluj adware StartSearchToolBar / vShare Toolbar. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób klasyczne logi z OTL. Dołącz log utworzony przy usuwaniu AdwCleaner. .

Wg OTL istniał. OTL nie mógłby pobrać informacji o przeglądarce, gdyby go nie było. Czy na pewno miałeś włączone wszystkie opcje widoku (zaznaczone Pokaż ukryte pliki i foldery + odptaszkowane Ukryj chronione pliki systemu operacyjnego)? .

Ale to nie koniec działań. Prosiłam o dane: .

Infekcja pomyślnie usunięta. 1. W OTL uruchom Sprzątanie, które skasuje z dysku inwentarz OTL oraz szczątki nieprawidłowo odinstalowanego ComboFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Wersje aktualnie widziane w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{5335DADB-34BA-4AE8-A519-648D78498846}" = Skype™ 5.3 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 4.1.10329.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Google Chrome" = Google Chrome 21.0.1180.83 4. Przy okazji ... notuję, że tu jest bieda z RAMem. Pomyśl o inwestycji w kości. 746,90 Mb Total Physical Memory | 173,45 Mb Available Physical Memory | 23,22% Memory free1,73 Gb Paging File | 0,67 Gb Available in Paging File | 38,73% Paging File free Paging file location(s): ?:\pagefile.sys [binary data] Podglądnij zawartość tego dysku analizerem dedykowanym: SpaceSniffer. Jeśli system to Windows 7 lub Vista, z prawokliku na SpaceSniffer "Uruchom jako Administrator". Hobby. .

Blokada UKASH to tylko jeden z problemów. Pomijając już to że są odpadki Live Security Platinum, w systemie są obiekty sugerujące rootkita Necurs: SRV - [2012-09-15 23:30:18 | 000,070,144 | ---- | M] () [unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\ce38f4e828997f2b.sys -- (ce38f4e828997f2b)DRV - [2012-09-15 23:30:18 | 000,070,144 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\ce38f4e828997f2b.sys -- (ce38f4e828997f2b) DRV - [2012-09-15 23:30:16 | 000,070,144 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\194c278.sys -- (194c278) 1. Uruchom Kaspersky TDSSKiller. Zostaw akcje domyślne, a powinna to być dla wyniku Rootkit.Win32.Necurs.gen akcja Delete. Zresetuj system. Na C powstanie log z usuwania. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2012-09-15 23:30:14 | 000,365,568 | ---- | M] (Motion computing) [Auto | Stopped] -- C:\WINDOWS\Installer\{747506B3-6D2C-D954-9827-3AAB7810039C}\syshost.exe -- (syshost32) IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=DAT&o=15240&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=FD&apn_dtid=YYYYYYYYPL&apn_uid=FDE24DB1-2747-402A-B4C3-01C37042033B&apn_sauid=2692596F-19DB-4B4B-A30C-E30436483D1F" IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" IE - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}\InprocServer32 File not found O2 - BHO: (Arcade Town Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Arcade Town Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-448539723-1450960922-682003330-1003\..\Toolbar\WebBrowser: (Arcade Town Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Files C:\Documents and Settings\Kacper\Dane aplikacji\msconfig.dat C:\Documents and Settings\Kacper\Dane aplikacji\msconfig.ini C:\Documents and Settings\All Users\Dane aplikacji\036E193202C2E1CE37E6D8E981CB3EF3 C:\Documents and Settings\All Users\Dane aplikacji\ajfncqmmpunkgfb C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Z usuwania powstanie log. Blokada zniknie i działasz już w Trybie normalnym Windows: 3. Odinstaluj adware: - Otwórz Google Chrome. W Rozszerzeniach odinstaluj uTorrentControl2, Vid-Saver. Z listy stron startowych wymaż search.conduit.com. W zarządzaniu wyszukiwarkami przestaw domyślną z Conduit na Google, po tym Conduit usuń z listy. - Przez Dodaj / Usuń programy: Ask Toolbar, uTorrentControl2 Toolbar, Yahoo! Companion, Vid-Saver. Sugeruję też pozbyć się wątpliwych reputacją aplikacji Uniblue. 4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. Dołącz logi, które utworzyły narzędzia podczas usuwania: TDSSKiller z punktu 1, OTL z punktu 2, AdwCleaner z punktu 4. .

KrisDOA, do uzupełniania odpowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty powyżej sklejam. A duplikaty załączników usuwam. "Obawiam się", że obserwowane efekty nie mają związku z usuwaną wcześniej infekcją (brak śladów). Tu jednak niestety KIS 2010 wysuwa się na prowadzenie w kwestii szybkości systemu, a na forum mamy sporo tematów w których Kaspersky powodował spadki wydajności i mulenie. W kwestii niemożności instalacji KIS 2011, to być może ta szczególna wersja nie może po prostu tu być (niekompatybilne sterowniki). Swoją drogą, czemu takie stare edycje próbujesz, aktualną jest KIS 2013. Proponuję kompletnie wywalić aktualnie rezydującego w systemie Kasperskiego, spróbować najnowszą wersję, a przy niepowodzeniu na dobre pożegnać się z Kasperskym. Dodatkowe uwagi: 1. W Dzienniku zdarzeń są następujące błędy: Error - 2012-09-16 03:58:40 | Computer Name = KriSS | Source = Microsoft-Windows-TaskScheduler | ID = 413Description = Usługa Harmonogram zadań nie może załadować zadań podczas uruchamiania usługi. Dane dodatkowe: Wartość błędu: 2147549183. Start > w polu szukania wpisz services.msc > jaki jest status usługi Harmonogram zadań, tzn. czy usługa ma stan "Uruchomiono"? Start > w polu szukania wpisz taskschd.msc > czy przystawka przy otwieraniu zwraca błąd? Dodatkowo podsuwam ten temat, gdzie ten błąd rozwiązywałam: KLIK. Error - 2012-09-16 04:00:21 | Computer Name = KriSS | Source = WinMgmt | ID = 10Description = Ten błąd zlikwiduje automat z KB2545227. 2. Zastanowił mnie ten zestaw obiektów, nie wiadomo od czego to pochodzi (acz, sterownik mi się skojarzył w pierwszym odruchu z Kasperskym): DRV:64bit: - [2012-08-23 13:03:27 | 000,556,632 | ---- | M] () [File_System | System | Stopped] -- C:\Windows\SysNative\drivers\2155035drv.sys -- (2155035drv)[2002-07-01 16:13:30 | 000,000,243 | -HS- | C] () -- C:\ProgramData\system16driver.dat Na dodatek ten sterownik sypie błędami: Error - 2012-09-16 03:59:04 | Computer Name = KriSS | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: 2155035drv Na wszelki wypadek usuńto wszystko. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklep komendę sc delete 2155035drv. Po tym usuń z dysku te dwa pliki: C:\Windows\system32\drivers\2155035drv.sys C:\ProgramData\system16driver.dat 3. Usuń adware. Przez Panel sterowania odinstaluj Winamp Toolbar. Otwórz Firefox i w Dodatkach odmontuj Conduit Engine, uTorrentBar Community Toolbar, Winamp Toolbar. Następnie uruchom AdwCleaner i zastosuj Delete. Przez SHIFT+DEL skasuj ten odpadkowy folder: C:\Program Files (x86)\v9Soft 4. Używałeś ComboFix i wcale go nie odinstalowałeś w prawidłowy sposób. Pobierz ponownie na Pulpit (KLIK). Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\KRISS\Desktop\ComboFix.exe /uninstall .

W Preferences brak ustawienia związanego z incredimail (są tylko adresy URL w dns prefetching ale to nie to), za to w rozszerzeniach jest adware Web Assistant. OTL go nie pokazywał, a jeśli w Rozszerzeniach Google Chrome jest to niewidzialne do deinstalacji, to ręcznie z pliku Preferences wymaż cały ten blok: "dlnembnfbcpjnepmfjmngjenhhajpdfd": { "active_permissions": { "api": [ "plugin", "tabs", "webNavigation" ], "explicit_host": [ "http://*/*", "https://*/*" ], "scriptable_host": [ "http://*/*", "https://*/*" ] }, "disable_reason": 1, "events": [ "runtime.onInstalled" ], "from_bookmark": false, "from_webstore": false, "install_time": "12992250956304600", "location": 3, "manifest": { "background_page": "background.html", "content_scripts": [ { "all_frames": true, "js": [ "libraries/ContentScript.js" ], "matches": [ "http://*/*", "https://*/*" ], "run_at": "document_end" } ], "description": "", "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCgmkD2kWeuSqXT4Lo9RdJ66FakQMaLHVRJQcSRattesPWg34ol8hDf5Q0XI0NTKS8dCjxg7U3giCJgkyEIexQCb6IsD9hVHzLU/cwxSk7eRfbGos67d8F3bgOES3aAYtrSpDRDlgzge9SRwE0fzaXS2VPrH5MAXdvcw64KlP7S6QIDAQAB", "name": "Web Assistant", "permissions": [ "tabs", "webNavigation", "http://*/*", "https://*/*" ], "plugins": [ { "path": "npbrowserext.dll", "public": false } ], "run_at": "document_start", "version": "2.0.0.100" }, "path": "dlnembnfbcpjnepmfjmngjenhhajpdfd\\2.0.0.100_0", "state": 2 }, Pokaż mi na obrazku gdzie konkretnie widać w Google Chrome tę wyszukiwarkę incredimail. I czy w Ustawieniach czyściłeś historię? .

Folder jest, ma atrybuty HS (ukryty systemowy). Nie widzisz go, gdyż nie masz włączonych wszystkich opcji widoku: Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > opcja Ukryj chronione pliki systemu operacyjnego ma zostać odznaczona. To nie są pliki będące częścią instalacji Windows. Coś musiało je wtórnie utworzyć. .

Na koniec zaktualizuj wyliczone poniżej aplikacje. Szczegóły: KLIK. Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3 "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18 "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{DC48E09D-4E5F-4039-B93A-FCED36EFBE55}" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player Plugin (wtyczka dla Firefox) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus Avira też zakreślona, wersja z roku 2009. .

Proszę o przedstawienie raportów z OTL.

Zrobione. Idziemy dalej: 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

Adware zostało pomyślnie usunięte. Na czym więc teraz stoimy? Zaś zjawisko "komputer zamula straszliwie" to wątpię, by pochodził od tych szczególnych adware, gdyż to nie ten poziom ingerencji. 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .