Landuss

A kto ci w ogóle kazał używać ComboFix, skąd masz takie informacje? Na pewno nie z tego forum bo tutaj używanie tego narzędzia na start jest zabronione co zresztą jest napisane w temacie przyklejonym jak na tacy. Zacznij od wykonania wymaganych tutaj logów z OTL + Gmer oraz z USBFix z opcji Listing. Raport z USBFix wykonuj przy podpiętym urządzeniu przenośnym. Logi wklejaj jako załączniki, a nie do posta.

To nie był wcale log z punktu 3 tylko log ze skanu OTL i to zrobiony na nieprawidłowych ustawieniach (wklejanie dodatkowych warunków do okna). Nie wiem skąd to brałeś skoro ja niczego takiego nie zalecałem zrobić. Log powielony usunąłem. Wirus ci nie odcina klawiatury ani myszy bo nie ma takich wirusów więc to akurat nie tego wina. To może być problem sprzętowy i jeżeli ten problem nadal będzie występował to właśnie w dziale sprzętowym radzę założyć temat. Jeśli nie zalecam ci nic zaznaczać to nie zaznaczasz to oczywiste. Zaś sam skrypt powinien wykonać się szybko. Jeśli masz z tym problem to możesz próbować w trybie awaryjnym ale wcześniej chcę dostać nowe logi z OTL aby sprawdzić czy rzeczywiście coś się wykonało czy nie.

Skrypt zupełnie nie wykonany. Wyłącz Avasta na czas jego wykonywania. Zrób to raz jeszcze.

A gdzie jest log powstały w punkcie 3? Jeśli chodzi o sam skrypt to nie został wykonany. Proszę to powtórzyć przy wyłączonym oprogramowaniu zabezpieczającym.

1. Wejdź w panel usuwania programów i odinstaluj - Akamai NetSession Interface Service oraz DealPly 2. Użyj opcji Delete w AdwCleaner. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=20&systemid=2&sr=0&q=" [2012-01-09 00:11:17 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O2 - BHO: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Prosze pokazać logi z OTL oraz z AdwCleaner z opcji Search

Nie ma się tu do czego przyczepić, logi nie wykazują żadnej aktywnej infekcji. Temat przenoszę na dział sprzętowy póki co. Swoją drogą ten system jest nieaktualny: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Należy zainstalować Service Pack 2 oraz IE 9: KLIK

Logi infekcji tutaj zupełnie nie wykazują. Temat przenoszę do Sieci. Zacznij od pokazania raportu z Net-log Na podstawie logów drobne instrukcje do wykonania w spoilerze (bez znaczenia dla twojego problemu):

Nie możesz bo próbowałeś załączać plik .LOG a nie .TXT a jest wyraźnie napisane, że tu tylko format txt przyjmujemy do załączników. Wystarczyło zmienić rozszerzenie. Poprawiłem to za ciebie. Poza tym nie opisujesz problemu, co to znaczy "podejrzenie trojana" skąd te podejrzenia? co się dzieje? I Gmer to nie jedyny obowiązkowy tu log, zabrakło logów z OTL więc to uzupełnij.

Logi zupełnie nie wskazują tu na infekcję. Temat zmienia swój dział. Do usuwania stosuj firmowe narzędzie Avast Uninstall Utility W kwestii bluescreenów to do wykonania punkt 5 tego tematu: KLIK I wyjaśnij co to znaczy "tryb awaryjny jest nieobecny", co się dzieje przy próbie wejścia w ten tryb?

To by było na tyle. Możesz przejść do kroków końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Jesli nie chcesz instalować SP3 to chociaż zaktualizuj pozostałe wymienione programy do najnowszych wersji (nawet jeśli ich nie używasz): Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK

Wszystko zostało poprawnie wykonane i problem powinien zniknąć. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji - KLIK

W raportach aktywna infekcja Loop + Conficker. Poza infekcją są tutaj śmieciarskie toolbary o charakterze sponsoringowym i tego też się musisz pozbyć. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje: pdfforge Toolbar v5.4 / Ask Toolbar / MediaBar 2.0 / DVDVideoSoft Toolbar / Max_IT Toolbar / yBabylon_English Toolbar / ooVoo_Video_Chat Toolbar / PHPNukeIT Toolbar / Softonic-Eng7 Toolbar / programma di aggiornamento Ask Toolbar Updater 2. Zastosuj narzędzie AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Programmi\File comuni\Spigot C:\Programmi\Application Updater C:\WINDOWS\Tasks\AE99BA3B918A2ABB.job C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\UserXp\Dati applicazioni\Search Settings C:\Documents and Settings\UserXp\Dati applicazioni\phone bend cool C:\Documents and Settings\All Users\Dati applicazioni\Bleh kind cool memo :Services xvnum xlbrd wofkfam gchqfzrho czfqw clr_optimization_v2.0.50727_32 cdmmsfmyl acahn sony_ssm.sys MRENDIS5 catchme Application Updater :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ApnUpdater] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "2322:TCP"=- [HKEY_USERS\S-1-5-21-57989841-884357618-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cool Memo First Boob"=- "SearchSettings"=- :OTL NetSvcs: wofkfam - file not found NetSvcs: acahn - file not found NetSvcs: gchqfzrho - file not found NetSvcs: xlbrd - file not found NetSvcs: czfqw - file not found NetSvcs: exirvgfu - file not found NetSvcs: xvnum - file not found NetSvcs: cdmmsfmyl - file not found IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=browsersearch IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=it_IT&apn_ptnrs=UG&apn_dtid=&apn_uid=90B57FCC-C700-4FB4-8902-075E86FE6B0C&apn_sauid=C5F755EC-2018-4B82-B290-D3BAB3D07EF4 IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/webResults.html?src=ieb&q={searchTerms} IE - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1572363 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "ooVoo Video Chat Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:5.4 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:5.4 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&q=" [2010/01/29 22.52.39 | 000,000,000 | ---D | M] (PHPNukeIT Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} [2010/08/07 14.07.34 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2010/03/16 22.15.52 | 000,000,000 | ---D | M] (Max IT Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{609368c3-88c6-4b9d-9f8e-28e29bbb6131} [2010/08/23 13.34.00 | 000,000,000 | ---D | M] (ooVoo Video Chat Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{e5a1e26f-0d1d-4307-868f-fbd9a374ab54} [2010/08/07 14.08.30 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f} [2012/02/01 17.35.48 | 000,002,392 | ---- | M] () -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\searchplugins\askcom.xml [2010/05/16 17.39.28 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\UserXp\Dati applicazioni\Mozilla\Firefox\Profiles\zgn1bjun.default\searchplugins\conduit.xml [2009/03/10 16.12.31 | 000,000,000 | ---D | M] (PHPNukeIT Toolbar) -- C:\Programmi\Mozilla Firefox\extensions\{2c965f3f-8efd-4bfc-a2c5-1672845fdbbf} [2009/01/10 15.04.58 | 000,000,000 | ---D | M] (BearShare MediaBar) -- C:\Programmi\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} [2012/04/13 11.48.12 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAMMI\PDFFORGE TOOLBAR\FF [2012/02/03 16.35.11 | 000,000,744 | ---- | M] () -- C:\Programmi\mozilla firefox\searchplugins\eBay-it.xml O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKU\S-1-5-21-57989841-884357618-1606980848-1003\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowasz. 4. Następnie uruchamiasz OTL ponownie (zaznacz opcję pomiń pliki Microsoftu), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log powstały w punkcie 3.

@switch48 zasady działu radzę poczytać. I tutaj jest więcej do usuwania i nie tylko v9. @Bajdek 1. Wejdź w panel usuwania programów i odinstaluj te pozycje - Browsers Protector / Programa de Desinstalação para Página Inicial V9 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Documents and Settings\Bajdek\Dane aplikacji\Mozilla\Firefox\Profiles\autwa98f.default\searchplugins\askcom.xml C:\Documents and Settings\Bajdek\Dane aplikacji\Mozilla\Firefox\Profiles\autwa98f.default\extensions\{e9df9360-97f8-4690-afe6-996c80790da4} :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "CustomizeSearch"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{DEEAE9A5-333F-4EF6-8020-23BF03842E36}" [HKEY_USERS\S-1-5-21-436374069-57989841-1644491937-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-436374069-57989841-1644491937-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{DEEAE9A5-333F-4EF6-8020-23BF03842E36}" [-HKEY_USERS\S-1-5-21-436374069-57989841-1644491937-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_USERS\S-1-5-21-436374069-57989841-1644491937-1003\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] [-HKEY_USERS\S-1-5-21-436374069-57989841-1644491937-1003\Software\Microsoft\Internet Explorer\SearchScopes\{CC5099EF-A362-403C-BE4A-4DC1F4D0C702}] [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" :OTL FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..browser.startup.homepage: "http://www.v9.com/?utm_source=b&utm_medium=fft" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Skrypt prawidłowo wykonany i powinno być po problemie tylko potwierdź to. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK To wszystko.

Wszystkie docinki proszę kierujcie sobie na PW, nie tutaj. W kwestii SP3 to niestety @mustang93 nie masz racji. To nie koliduje z żadnymi grami. Przemieliłem dawno temu dziesiątki gier na systemie Win XP SP3 i zero problemów, a nawet wiele gier już od dawna wymaga aby był SP3 zainstalowany. Poza tym musisz mieć świadomość, że w obecnym przypadku jesteś zablokowany przez Microsoft i odcięty od krytycznych aktualizacji systemu bo MS właśnie tak zrobił z systemami poniżej progu SP3. Również jesteś bardziej narażony na infekcje. A tak naprawdę XP to ogólnie stary system i należy myśleć o przesiadce na Windows 7. Ja osobiście zrobiłem to ponad 2 lata temu i teraz wiem, że nigdy nie wróciłbym do XP. A teraz przejdź do usuwania twoich problemów: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files del "\\?\C:\Documents and Settings\xp2\Pulpit\Vesania" /C del "\\?\C:\Documents and Settings\xp2\Moje dokumenty\xp2" /C :OTL IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = http: //startsear.ch/?q={searchTerms} FF - prefs.js..browser.search.defaultengine: "http://startsear.ch/?q=" FF - prefs.js..browser.search.defaultenginename: "http://startsear.ch/?q=" FF - prefs.js..browser.search.order.1: "http://startsear.ch/?q=" FF - prefs.js..keyword.URL: "http://startsear.ch/?q=" O3 - HKU\S-1-5-21-2000478354-838170752-725345543-1004\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Reader Speed Launch.lnk = File not found F3 - HKU\S-1-5-21-2000478354-838170752-725345543-1004 WinNT: Load - (C:\DOCUME~1\xp2\USTAWI~1\Temp\{56545~1.EXE) - File not found :Services pr2ah4nb yjvoey remisrlsfv kvkdpnyw gfufjahgvwler dgderdrv :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2000478354-838170752-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{45D96B41-1246-485E-B5E5-B5F9284DE869}" :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wykonaj jeszcze czynności na sam koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji - KLIK 4. Możesz wykonać skan za pomocą Malwarebytes Anti-Malware

Wszystko poprawnie wykonane i można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL oraz usuń ten plik ode mnie z C:\ i z pulpitu. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny, należy zainstalować Service Pack 1 oraz zaktualizować obydwie wersje Javy: 64bit-Windows 7 Home Premium (Version = 6.1.7601) - Type = System "{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 26 Szczegóły aktualizacyjne: KLIK Nie wiem.

Tak jak wspomniałem, popatrz czy nie ma go na dysku C:\ lub w C:\Qoobox ale jeśli nie to zostawimy to. Po prostu wykonaj nowy log z OTL z przeliczaniem sum kontrolnych tak jak poprzednio aby sprawdzić czy plik został prawidłowo wymieniony.

No ale wygląda, że narzędzie nie skończyło jeszcze swojej pracy. Jak widać wykryło zainfekowany plik i powinno go przywrócić samodzielnie bo ComboFix potrafi to robić jeśli znajdzie gdzieś prawidłową kopię pliku. Czy przypadkiem nie przerwałeś pracy programu przedwcześnie? Sprawdź czy masz folder C:\Qoobox a w nim plik ComboFix-quarantined-files.txt. Jeśli jest to załącz do wglądu. Jeśli nie ma uruchom program raz jeszcze. Możesz to zrobić w trybie awaryjnym.

Wydaje mi się, że omyłkowo dałem ci plik 64 bitowy (co teraz zauważyłem) zamiast 32 bitowego bo taki podstawia infekcja ale mimo wszystko i tak nie wygląda by plik został podmieniony. W takim razie uruchom narzędzie ComboFix i przedstaw wynikowy raport.

Jaką przyczynę? Infekcja mogła wejść po odwiedzeniu zainfekowanej strony www lub pobraniu zainfekowanego pliku i tego nie da się sprawdzić. Pytam cię czy nadal masz problem z uruchamianiem plików, więc?

FSS skopiował plik. Log z OTl mialbyć na dodatkowym warunku: /md5start ws2_32.dll /md5stop A nie wygląda by tak było.

OTL jakoś nie może podmienić tego pliku. Trzeba zmienić metodę. Zrobisz to z zewnątrz (WinRe). 1. Przygotuj w Notatniku następujący skrypt: CMD: copy /y C:\ws2_32.dll C:\Windows\system32\ws2_32.dll Plik zapisz pod nazwą fixlist.txt 2. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera daj F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. 3. Restartujesz do Windows. 4. Pokazujesz log powstały w punkcie 2 oraz nowy log z OTL tak jak poprzednio na dodatkowym warunku.

Może tu też pliku brakuje. Sprawdź czy masz plik C:\Windows\system32\wscsvc.dll Poza tym dostarcz jeszcze raport z Farbar Service Scanner (zaznacz wszystko do skanowania)