Landuss

Stare Javy należy odinstalować a zostawić tylko najnowsze. Wersję 64 bitową Javy masz najnowszą i to się zgadza, ale ja ci podałem tam żebyś 32 bitową wersję też zainstalował. Ten crack tak naprawdę nie jest groźny, to był po prostu fałszywy alarm. Tak dobry. Temat zamykam.

No a co z logami? Masz problem?

To przestarzałe narzędzie, którego od dawna nie stosujemy, a na systemy 64 bitowe w ogóle się nie nadaje. Usuń to i zapomnij raz na zawsze o tym programie. Link do loga z tego narzędzia usuwam aby nie wprowadzał w błąd. Natomiast w pozostałych logach nie notuję infekcji. Temat zmienia dział. Wykonaj uruchomienie systemu w stanie czystego rozruchu i sprawdź efekty: KLIK

Skrypt poprawnie wykonany, infekcja usunięta. Dwie rzeczy na koniec wykonaj: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK

Infekcji Sality się tu nie spodziewam gdyż logi tego nie wykazują. Rzeczywiście mógł to być fałszywy alarm. 1. Wejdź w panel usuwania programów i odinstaluj - Babylon toolbar on IE oraz Softonic toolbar on IE and Chrome 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Services mmba kwlcakod EagleNT :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To nie jest wina infekcji, logi masz czyste i nie ma się do czego przyczepić. Przyczyna musi tkwić gdzieś indziej. Obecnie nie mam pomysłu o co tu chodzi, może to kwestia portu(?), no chyba że ktoś inny się jeszcze wypowie. Temat przesuwam do odpowiedniego działu.

Jest tu infekcja odpowiedzialna za wyłączenie Centrum i MSSE. Dopóki ona jest aktywna nie włączysz tych rzeczy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\pszmpe.job C:\Windows\System32\keymgr9.dll :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. MSSE: podobnie jak wyżej - usługa o nazwie Microsoft Antimalware Service, a Typ uruchomienia ma mieć przestawiony na Automatyczny. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja podstawia tu systemowy ws2_32.dll i pliku rjlb.dll nie wolno usuwać bez uprzedniej podmiany tego pliku. Usunięcie go skutkuje właśnie takim problemem jak u ciebie. Spróbuj wykonać logi z OTL + Gmer Gdybyś nie dał rady ich zrobić to napisz chociaż jaki to system i wersja Service Packa.

Wszystko wykonane jak należy. Kroki końcowe: 1. Wklej do OTl skrypt kosmetyczny: :OTL FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.1010000.10011&q=" :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "c:\windows\mdm.exe"=- "C:\Users\Public\HEX-5823-6893-6818\jusched.exe"=- Klikasz w Wykonaj skrypt. Logów żadnych nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2.Opróżnij folder przywracania systemu: KLIK

Tutaj także nie ma żadnej infekcji więc możesz być spokojny. Tylko sobie system zaktualizuj, instalując Service Pack 1: KLIK

Wszystko poprawnie wykonane. Możesz przejść do czynności końcowych. 1. Wklej do OTL ten tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-1451179296-2106293565-644611054-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found Klikasz w wykonaj skrypt. Logów żadnych nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wykonaj aktualizacje oprogramowania: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 30 Szczegóły aktualizacyjne: KLIK Tu zrobiłeś błąd bo to był przecież crack do twojego Office'a

Odpowiedź będzie krótka - w logach brak śladu aktywnej infekcji.

Tu nadal jest aktywna infekcja i tak jakby nic ni wykonane. Powtórz skrypt ten poprzedni ponownie (wymazałem emtytemp)

Infekcji w logach nie notuję. Temat zmieni dział. Jedyne co tu będzie do usuwania to śmieciarskie toolbary (instrukcja w spoilerze) 1. Wejdź w panel usuwania programów i odinstaluj Conduit Engine / Crawler Toolbar / DAEMON Tools Toolbar / Free Lunch Design Toolbar / gry Toolbar / Windows iLivid Toolbar / Softonic-Polska Toolbar / uTorrentBar Toolbar 2. Użyj narzędzia AdwCleaner z opcji Delete W kwestii głównego problemu - sprawdź co się stanie po odinstalowaniu Avasta, bo na podstawie logów on jest tu pierwszym podejrzanym.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\eksplorasi.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\csrss.exe C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin C:\Documents and Settings\User\Menu Start\Programy\Autostart\Empty.pif :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_USERS\S-1-5-21-1202660629-1409082233-839522115-1001\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KernelFaultCheck"=- :Commands [reboot] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach infekcji aktywnej ani śladu. Temat zmienia dział. Jedynie drobny szczątek do usunięcia. Wejdź w start > Uruchom > regedit i usuń te numerkowe klucze: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3101bd75-54c1-11de-9ca9-fbb140373f31} HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{52f50fb8-43cc-11de-9c8a-0018de8cf6e3} HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9095309f-bff6-11de-9d16-0018de8cf6e3} Warto sprawdzić co zajmuje najwięcej miejsca a do tego użyj programu SpaceSniffer. Przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space Co do "spowolnienia" to nic nie piszesz jak się to objawia konkretnie, niewykluczone, że spowalniać system może sam G-Data.

W logach infekcji nie notuję. To nie tędy droga. Temat zmienia dział. Zacznij od sprawdzenia jak się zachowuje system na czystym rozruchu: KLIK

A widzisz to zmienia postać rzeczy. Logi muszą by wykonywane spod zarażonego konta abym ja widział komponenty infekcji. 1. Wykonaj następujący skrypt: :OTL IE - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17176 IE - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\SearchScopes\{881471CD-C778-46DC-B0EE-D17117BBFDCF}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=3AC8C23B-89EB-4A16-8DC1-D2A41DC34964&apn_sauid=38DE2288-DA7A-401F-879B-D14140B88C70 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=100000027&locale=en_US&apn_uid=3AC8C23B-89EB-4A16-8DC1-D2A41DC34964&apn_ptnrs=U3&apn_sauid=38DE2288-DA7A-401F-879B-D14140B88C70&apn_dtid=OSJ000YYPL&&q=" FF - user.js - File not found [2011-09-05 07:26:14 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Mozilla\Firefox\Profiles\epnk3m1r.default\extensions\ffxtlbr@babylon.com [2012-04-16 07:54:31 | 000,002,580 | ---- | M] () -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Mozilla\Firefox\Profiles\epnk3m1r.default\searchplugins\askcom.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Mozilla\Firefox\Profiles\epnk3m1r.default\searchplugins\startsear.xml O3 - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-2316896871-2897791480-2256634338-1138\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2012-04-17 08:20:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Adyn [2012-04-17 08:19:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3B008B0A94001FEE7C0CDF108C [2012-04-20 13:48:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\BabylonToolbar :Commands [emptytemp] 2. Użyj AdwCleaner z opcji Delete 3. Prezentujesz nowe logi z OTL i z ADwCleaner.

W logach infekcji ani śladu. Drobna kosmetyka do wykonania. 1. Przejdź w panel usuwania programów i odinstaluj zbędny sponsoring DAEMON Tools Toolbar 2. Użyj AdwCleaner z opcji Delete 3. Zaprezentuj nowe logi z OTL.

Wykonaj to w trybie awaryjnym Windows.

No to usuń sobie ten folder - C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\coor1zkk.Piotrek\extensions\{991A772A-BA13-4c1d-A9EF-F897F31DEC7D} Więcej nic tu nie ma do roboty i możesz przejść do czynności na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji - KLIK

A co ja napisałem wyżej? Log pokazuje że tak: Logged in as Administrator. Ależ skąd, log pokazuje, że tu było normalne uruchamianie: Current Boot Mode: Normal I nie widzę abyś wyjaśnił o co chodzi z brakiem boot.ini. Mimo wszystko ja bym Symantec na próbe odinstalował.

W logach infekcji ani śladu. Temat zmienia swój dział. A skąd ta pewność że "brak pliku"? Gdyby nie było tego pliku to system albo by nie zbootował albo wyświetlił stosowny komunikat o braku pliku i rozruchu z C:\Windows. A plik boot.ini ma atrybuty H + S a więc ukryty i systemowy i trzeba przestawić stosowne opcje widoku w panelu sterowania aby go zobaczyć. Sprawdź czy na czystym rozruchu też jest ten problem: KLIK. Niewykluczone, ze tu Symantec może być źródłem problemów.

A skąd to przypuszczenie o ataku? W logach nie widać aktywnej infekcji. Jedynie podstawiony startsearch w przeglądarce IE i to trzeba skorygować. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2052111302-73586283-1801674531-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2052111302-73586283-1801674531-500\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. [2011-11-04 08:15:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask [2011-09-05 07:27:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\BabylonToolbar [2012-04-17 08:20:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Moiw [2012-04-17 09:38:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\elektrycy.TN\Dane aplikacji\Qyno [2011-09-05 07:34:48 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W tej kwestii się nie wypowiem gdyż nie używam tego typu programów. Jeśli uważasz, że ten jest dobry dla Ciebie to nie ma potrzeby zmiany. A co to znaczy "testować"? Jeśli pracujesz na systemie sam widzisz czy działa prawidłowo i zgodnie z oczekiwaniami czy nie. Jeśli nic się nie dzieje i nie widać problemów to znaczy, że jest wszystko w porządku. Temat jako rozwiązany zamykam.