Landuss

Możesz przejść do kończenia tematu: 1. Wklej do OTL skrypt kosmetyczny o tej zawartości: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {90B49673-5506-483E-B92B-CA0265BD9CA8} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found Klik w Wykonaj skrypt. Logów żadnych nie pokazujesz. Używasz opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Mozille Firefox do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To sugeruje, ze jednak nie wszystko zostało poprawnie wykonane. Wciśnij klawisz z flagą Windows + R wpisz services.msc dwukliknij na usługę Podstawowy aparat filtrowania i podaj jaki błąd zwraca próba jej uruchomienia.

Masz to co wszyscy, ta infekcja to od kilku dni plaga. 1. Wejdź w panel usuwania programów i odinstaluj śmieci - Ask Toolbar / Babylon toolbar on IE / softonic-de3 Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe WMP54Gv4.exe -- (WMP54Gv4SVC) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | Auto | Stopped] -- C:\Dens\Anti Trojan Elite\ATEPMon.sys -- (ATE_PROCMON) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\lgandadb.sys -- (androidusb) FF - prefs.js..browser.search.defaultthis.engineName: "softonic-de3 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "softonic-de3 Customized Web Search" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.1.100013 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2431245&q=" [2012-06-09 15:06:31 | 000,000,000 | ---D | M] (ST-de3 Community Toolbar) -- C:\Documents and Settings\Dens\Dane aplikacji\Mozilla\Firefox\Profiles\06md0xrs.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065} [2012-05-24 13:34:48 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Documents and Settings\Dens\Dane aplikacji\Mozilla\Firefox\Profiles\06md0xrs.default\extensions\toolbar@ask.com [2010-05-27 14:52:19 | 000,002,071 | ---- | M] () -- C:\Documents and Settings\Dens\Dane aplikacji\Mozilla\Firefox\Profiles\06md0xrs.default\searchplugins\absearch-search.xml [2010-03-16 11:42:56 | 000,000,927 | ---- | M] () -- C:\Documents and Settings\Dens\Dane aplikacji\Mozilla\Firefox\Profiles\06md0xrs.default\searchplugins\conduit.xml [2010-04-24 12:37:48 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Dens\Dane aplikacji\Mozilla\Firefox\Profiles\06md0xrs.default\searchplugins\daemon-search.xml O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Anti Trojan Elite] C:\Dens\Anti Trojan Elite\TJEnder.exe :NO File not found O4 - HKLM..\Run: [lxccmon.exe] "C:\Program Files\Lexmark 3300 Series\lxccmon.exe" File not found O4 - HKLM..\Run: [Windows Media Center] bye File not found O4 - HKLM..\Run: [zmxgajmyfpudhve] C:\Documents and Settings\All Users\Dane aplikacji\zmxgajmy.exe () O4 - HKU\S-1-5-21-1292428093-1229272821-1417001333-1003..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found O4 - HKU\S-1-5-21-1292428093-1229272821-1417001333-1003..\Run: [zmxgajmyfpudhve] C:\Documents and Settings\All Users\Dane aplikacji\zmxgajmy.exe () O4 - Startup: C:\Documents and Settings\Dens\Menu Start\Programy\Autostart\w301.exe () O4 - Startup: C:\Documents and Settings\Dens\Menu Start\Programy\Autostart\WinSvc.exe () O33 - MountPoints2\{c22f03d7-5e93-11df-b66d-002129dd72ed}\Shell\AuToPlaY\cOMmaND - "" = F:\npyo.exe O33 - MountPoints2\{c22f03d7-5e93-11df-b66d-002129dd72ed}\Shell\AutoRun\command - "" = F:\npyo.exe O33 - MountPoints2\{c22f03d7-5e93-11df-b66d-002129dd72ed}\Shell\explorE\CoMMaNd - "" = F:\npyo.exe O33 - MountPoints2\{c22f03d7-5e93-11df-b66d-002129dd72ed}\Shell\oPEn\cOmmanD - "" = F:\npyo.exe [2012-07-02 00:30:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\gppsgnvdaknorae [2012-07-02 06:06:00 | 000,000,232 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2012-07-02 00:30:54 | 000,000,052 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\mjtzhnsumudtdks [2012-07-02 00:30:49 | 000,072,192 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\fypenfxu.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Cóż nie przychodzi mi nic innego do głowy jak po prostu wszystko od początku wykonać. A więc importy do rejestru i naprawa przez SetACL BFE + MpsSvc + SharedAccess. Nie chce mi się wierzyć, że mimo poprawnego (jak sugerujesz) wykonania nadal masz błąd. Jeśli wszystko przebiegłoby tak jak trzeba nie ma prawa być tego problemu.

A więc problem sprzętowy i temat wędruje do takiego działu. Czyli rozumiem, że problem rozwiązałeś? Bo dość niejasno to opisałeś.

Zaprezentuj nowy log z FRST i sprawdź czy coś się zmieniło jeśli chodzi o główny problem.

W logach brak śladu jakiejkolwiek infekcji. Temat migruje do Sieci. Na podstawie obecnych logów mam jedno zastrzeżenie System nie ma pliku HOSTS: Hosts file not found + Error - 2012-07-01 17:33:01 | Computer Name = Glowny | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. Plik musisz odbudować. Włącz pokazywanie rozszerzeń: w Mój komputer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc.

1. Wejdź w panel usuwania programów i odinstaluj śmieci - IMVU Inc Toolbar / DealBulldog Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Mp3Tube Toolbar\Mp3TubeSvc.exe -- (Mp3Tube Toolbar Service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Gosia\AppData\Local\Temp\jfdcd.sys -- (jfdcd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029 IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKCU\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {448C5943-186A-4335-9539-AFAF5645D975} IE - HKCU\..\SearchScopes\{448C5943-186A-4335-9539-AFAF5645D975}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2612669 IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http: //mp3tubetoolbarsearch.com/?tmp=nemo_results_removelink2&keywords={searchTerms} [2012-06-03 21:19:01 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\NafukanyMlekiem\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-05-01 03:10:30 | 000,000,000 | ---D | M] (IMVU Inc Community Toolbar) -- C:\Users\NafukanyMlekiem\AppData\Roaming\mozilla\Firefox\extensions\{90b49673-5506-483e-b92b-ca0265bd9ca8} [2012-03-18 13:42:23 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Users\NafukanyMlekiem\AppData\Roaming\mozilla\Firefox\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2010-01-31 10:59:37 | 000,002,038 | ---- | M] () -- \searchplugins\MyStart Search.xml [2012-01-07 05:26:06 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2007-07-26 14:05:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml [2010-01-01 10:00:00 | 000,001,406 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fbc-pl.xml [2012-06-28 21:11:42 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Bigpoint Games PL Toolbar) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - C:\Program Files\Bigpoint_Games_PL\prxtbBig0.dll File not found O3 - HKLM\..\Toolbar: (Bigpoint Games PL Toolbar) - {5c81f57f-3cf7-4785-b4ef-11ace31aec4f} - C:\Program Files\Bigpoint_Games_PL\prxtbBig0.dll File not found O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (Bigpoint Games PL Toolbar) - {5C81F57F-3CF7-4785-B4EF-11ACE31AEC4F} - C:\Program Files\Bigpoint_Games_PL\prxtbBig0.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKLM..\Run: [Jaguar] C:\WINDOWS\OPTIMAL\mms.exe () O4 - HKLM..\Run: [syncCenter] C:\Users\NafukanyMlekiem\AppData\Local\Microsoft\Windows\3971\SyncCenter.exe () O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [fsm] File not found O4 - HKCU..\Run: [Jaguar] C:\Users\NafukanyMlekiem\AppData\Roaming\KLIPPO\klippo.exe () O4 - HKCU..\Run: [MicroUpdate] C:\Users\NafukanyMlekiem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msdcsc.exe (Microsoft Corp.) O4 - Startup: C:\Users\NafukanyMlekiem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msdcsc.exe (Microsoft Corp.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Jaguar = C:\Windows\OPTIMAL\mms.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Jaguar = C:\Windows\OPTIMAL\mms.exe () [2012-07-02 02:45:45 | 000,000,000 | RHSD | C] -- C:\Users\NafukanyMlekiem\AppData\Roaming\KLIPPO :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

A więc tak - infekcji tutaj nie widać, natomiast wszystko wskazuje na Eseta jako winnego tych problemów. W dodatku on tu jest już przestarzały (sterowniki datowane na rok 2009) więc nie ma czego żałować. Po prostu go odinstaluj. Możesz w tym celu użyć firmowego narzędzia ESET Uninstaller Poinformuj o efektach.

Wszystko poprawnie wykonane. Wykonaj jeszcze poniższe zalecenie: 1. Użyj opcji Sprzątanie z OTL 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji (bardzo stara Java, FF i Adobe(!)): "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

SweetPacksa wykończył AdwCleaner chyba bo go nie widzę w logach. Możesz wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL, Uninstall z AdwCleaner oraz usuń ten folder z dysku C:\ProgramData\ciccajnudrmntxw 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj obydwie Javy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja zdjęta, teraz musisz naprawić inne szkody - skasowane usługi. 1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Pokazujesz nowy log z FSS po wykonaniu wszystkiego.

Logi nie wykazują by tu była jakaś infekcja. Temat zostaje przeniesiony na dział systemowy. Opisz co to znaczy "system się nie zamyka". Więcej konkretów potrzebne. I sprawdź czy w trybie awaryjnym jest ten problem.

Wszystko poprawnie usunięte. Możesz wykonać czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci

Jeśli wierzyć temu co pokazuje log to najważniejsze pliki systemowe są uszkodzone (w tym sam explorer.exe): C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!. C:\Windows\System32\wininit.exe IS MISSING <==== ATTENTION!. C:\Windows\SysWOW64\wininit.exe IS MISSING <==== ATTENTION!. C:\Windows\explorer.exe IS MISSING <==== ATTENTION!. C:\Windows\SysWOW64\explorer.exe IS MISSING <==== ATTENTION!. C:\Windows\System32\svchost.exe IS MISSING <==== ATTENTION!. C:\Windows\SysWOW64\svchost.exe IS MISSING <==== ATTENTION!. C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!. C:\Windows\System32\User32.dll IS MISSING <==== ATTENTION!. C:\Windows\SysWOW64\User32.dll IS MISSING <==== ATTENTION!. C:\Windows\System32\userinit.exe IS MISSING <==== ATTENTION!. C:\Windows\SysWOW64\userinit.exe IS MISSING <==== ATTENTION!. C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!. Uruchom system normalnie. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Może to kwestia jego rozszerzeń. Pobierz i uruchom ShellExView a następnie posegreguj za pomocą kolumny producenta wszystkie różowe (niedomyślne) rozszerzenia, z wciśniętym CTRL zaznacz hurtem i wyłącz. Zrestartuj system i zobacz czy problem nadal wystepuje.

Fakt jest tu jeszcze jakiś pusty zapis, który chce sie uruchamiać (nie zauważyłem wcześniej w logu) Wciśnij klawisz z flagą Windows + R wklep regedit i wejdx do klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i usuń wartość pcuibr Zawsze przy infekcji ZeroAccess zalecamy zmianę haseł. TO infekcja z najwyższej półki i nigdy nic nie wiadomo.

Masz tam przecież już gotowe pliki .txt do pobrania. Zmieniasz tylko rozszerzenie z .txt na .reg i importujesz z prawokliku opcją Scal. Błąd zignoruj, mimo tego powinno się wszystko wykonać.

Mój błąd, tego wiersza ma nie być. Już go wymazałem. Leć dalej.

Jaki błąd? Wykonaj log ze środowiska zewnętrznego - FRST x64

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=108921&babsrc=SP_ss&mntrId=6cbe70e9000000000000001fd0223e81 FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=108921&babsrc=adbartrp&mntrId=6cbe70e9000000000000001fd0223e81&q=" [2010-12-08 01:36:17 | 000,001,860 | ---- | M] () -- C:\Users\ADAM\AppData\Roaming\Mozilla\Firefox\Profiles\eeoi4sx0.default\searchplugins\search.xml [2011-12-13 19:28:15 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\extensions\ffxtlbr@babylon.com [2011-12-13 19:28:06 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [DivX Download Manager] "C:\Program Files (x86)\DivX\DivX Plus Web Player\DDmService.exe" start File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h File not found O4 - HKCU..\Run: [DATE863.tmp.exe] C:\Users\ADAM\AppData\Local\Temp\DATE863.tmp.exe File not found :Files C:\Windows\Installer\{ec3342c4-c6ef-4644-0ac3-ad4d01f39806} C:\Users\ADAM\AppData\Local\{ec3342c4-c6ef-4644-0ac3-ad4d01f39806} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Pokazujesz nowy log z OTL z opcji Skanuj (bez ekstras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

W porządku, finalizacja tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Usuń z dysku te pliki po ComboFix: [2012-07-01 18:35:43 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe [2012-07-01 18:35:43 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe [2012-07-01 18:35:43 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe [2012-07-01 18:35:43 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2012-07-01 18:35:43 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2012-07-01 18:35:43 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe 4. Zmień hasła logowania do serwisów w sieci.

Bardzo prawdopodobne, że coś ściągałeś i to było zainfekowane, ewentualnie odwiedziłeś trefną strone www. Utorrenta możesz odpalić, nic się nie powinno stać tylko uważaj co pobierasz.

Jest w porządku, możesz przejść do czynności finalnych: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: netsh winsock reset 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj do najnowszych wersji wymienione programy: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Musisz być bardziej konkretny - co to znaczy "jeszcze wszystko się nie uruchamia tak jak powinno"? Wykonaj czynności kosmetyczne, usuwając puste wpisy i inne odpadki: 1. Wejdź w panel usuwania programów i odinstaluj DAEMON Tools Toolbar oraz Akamai NetSession Interface 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=make&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search?q={searchTerms} [2011-12-30 13:17:47 | 000,000,000 | ---D | M] (Facemoods) -- C:\Users\Marcin\AppData\Roaming\mozilla\Firefox\Profiles\ps7aqanc.default\extensions\ffxtlbr@Facemoods.com [2011-12-30 13:18:21 | 000,002,047 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Marcin\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. [2012-06-29 19:52:28 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe [2012-06-29 19:52:28 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe [2012-06-29 19:52:28 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe [2012-06-29 19:51:11 | 000,000,000 | ---D | C] -- C:\Qoobox [2012-06-29 19:50:16 | 000,000,000 | ---D | C] -- C:\Windows\erdnt [2012-06-29 19:52:28 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe [2012-06-29 19:52:28 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe [2012-06-29 19:52:28 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2012-06-29 19:52:28 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2012-06-29 19:52:28 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe :Services StarWindServiceAE ZTEusbser6k ZTEusbnmea ZTEusbmdm6k massfilter ipswuio catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Podsumuj też zachowanie systemu na chwilę obecną.