Landuss

Jest tu aktywna infekcja i tym trzeba się zająć w pierwszej kolejności. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - LiveVDO plugin 1.3 / Deinstalator Strony V9 Usuwanie popraw za pomocą AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Konrad\AppData\Roaming\*.exe C:\Users\Konrad\AppData\Local\Temp\DC2D.tmp :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-708121205-4011098803-2703746496-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-708121205-4011098803-2703746496-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [HKEY_USERS\S-1-5-21-708121205-4011098803-2703746496-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{7E3C070A-A64A-41E3-9123-BB1F62EAB52E}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{7E3C070A-A64A-41E3-9123-BB1F62EAB52E}" :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=2&cf=3cb7c1b6-64a2-11e1-8f6c-002522ada739" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=3cb7c1b6-64a2-11e1-8f6c-002522ada739&q=" O4 - HKU\S-1-5-21-708121205-4011098803-2703746496-1000..\Run: [ASRockIES] File not found O4 - HKU\S-1-5-21-708121205-4011098803-2703746496-1000..\Run: [ASRockOCTuner] File not found O4 - HKU\S-1-5-21-708121205-4011098803-2703746496-1000..\Run: [zASRockInstantBoot] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko poprawnie się wykonało. Możesz przejść do czynności finalnych. 1. Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Karol1\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj poniższe oprogramowanie do najnowszych wersji (Firefox koszmarnie stary): "{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7 "{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9 Lite "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.0.1)" = Mozilla Firefox (3.0.1) Szczegóły aktualizacyjne: KLIK 5. Przeskanuj się za pomocą Malwarebytes Anti-Malware 6. Pozmieniaj sobie hasła logowania do serwisów na wszelki wypadek

Log z FSS to nie jest log główny do pokazania tutaj tylko dodatkowy, który pokazuje tylko czy działa poprawnie siec i podstawowe usługi systemu. Jedyne do czego można się doczepić to usługa Windows Defender kierująca na nieprawidłowy plik do wersji 32 bitowej a tu jest system 64 bitowy. To już było tu raz naprawiane. Napraw ponownie (instrukcja w spoilerze) Generalnie to nie wygląda na winę infekcji. Błąd CLR to się wiąże ze środowiskiem .NET Framework. Sporządź logi z OTL. Chodzi głównie o raport ekstras żeby sprawdzić dziennik zdarzeń (o ile OTL poprawnie go oczyta). Temat zmienia dział.

Jest w porządku, tylko ten folder jeszcze sobie usuń z dysku: C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2 Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK To wszystko.

Jest wyraźnie napisane, że logi wklejamy jako ZAŁĄCZNIKI, a nie do posta. Zapamiętaj to sobie, zmieniam za ciebie powyżej. ComboFix dokasował co trzeba było, pozostaje wykonać tylko drobną poprawkę. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services se2Bnd5 vcdrom PCAMPR5 mbr esgiguard catchme :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ClipSrv] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie (opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" aby powstały dwa logi), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W takim razie leć dalej i wykonuj kolejne czynności. Usunie się go skryptem na siłe, który wyżej nieco zmodyfikowałem.

Logi wklejaj jako załączniki a nie do posta. Przerabiam to za ciebie. 1. Przejdź w panel usuwania programów i odinstaluj Smart Fortress 2012 oraz Skaner on-line mks_vir ( firma MKS już nie istnieje) 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services gupdatem gupdate catchme :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_USERS\S-1-5-21-2191895835-1699143235-1803633641-1006\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_USERS\S-1-5-21-2191895835-1699143235-1803633641-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012] :OTL O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe () O4 - HKU\S-1-5-21-2191895835-1699143235-1803633641-1006..\Run: [winlogon] C:\Documents and Settings\Mariusz_W\winlogon.exe () O4 - HKU\S-1-5-21-2191895835-1699143235-1803633641-1006..\RunOnce: [F4D55F3E00735B91000B375A0CDF10C2] C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2\F4D55F3E00735B91000B375A0CDF10C2.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 22572 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\msdubmna.pif () [2012-04-06 19:54:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mariusz_W\Menu Start\Programy\Smart Fortress 2012 [2012-04-06 18:37:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\F4D55F3E00735B91000B375A0CDF10C2 [2012-04-06 19:54:32 | 000,001,214 | ---- | M] () -- C:\Documents and Settings\Mariusz_W\Pulpit\Smart Fortress 2012.lnk :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Brak SP1 powoduje, że system nie ma krytycznych aktualizacji i jest bardziej narażony między innymi na infekcje. Antywirusy - Avast, MSSE, Avira

Logi czyste, infekcji brak. Temat zmienia dział. Sprawdź jak się ma problem po uruchomieniu przeglądarki w trybie awaryjnym - klawisz z flagą Windows + R i wklej polecenie: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode Przy okazji masz nie najnowszą wersję (zaktualizuj do wersji 11): "Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl) BTW: I system też jest nieaktualny, brak Service Pack 1 oraz IE w wersji 9: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Wykonaj aktualizację: KLIK

Wklej tutaj jeszcze nowe logi z OTL z opcji Skanuj. I sprawdź czy dalej masz te przekierowania.

Logi nie wskazują tu na jakąkolwiek infekcję więc Gmera myślę, że możesz odpuścić. Ewentualnie pomęcz się z nim w trybie awaryjnym. Temat zmienia dział. Zacznij od sprawdzenia czy aby AVG tutaj nie ma coś do rzeczy w kwestii spowolnienia i zawieszania. na próbę go odinstaluj i sprawdź efekty.

Bez logów ci na pewno nie pomożemy. Przejdź od razu do usuwania wstępnego. 1. Z poziomu trybu awaryjnego użyj narzędzia ComboFix. 2. Gdy program ukończy prace wklej z niego wynikowy raport a w dalszej kolejności wykonaj raporty z OTL + Gmer

ComboFix to nie jest narzędzie do używania na start bez zalecenia. Użyty bez sensu praktycznie bo nic konkretnego nie wykonał. Zacznij od sporządzenia wymaganych tutaj logów z OTL + Gmer

Spróbuj w trybie awaryjnym.

Podepnij urządzenie do komputera. Nastepnie wykonaj raporty z OTL + Gmer oraz z USBFix z opcji Listing Raporty zaprezentuj na forum jako zalączniki

To by było na tyle z usuwania, Możesz przejść do czynności końcowych. 1. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-507921405-1644491937-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner. 3. Opróżnij folder przywracania systemu: KLIK 4. System w krytycznym stanie aktualizacji, brak Service Pack 3 więc to musisz uzupełnić. Pozostałe wymienione programy też do aktualizacji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Jest w porządku, można przejść do czynności finalnych. 1. Wklej do OTL skrypt kosmetyczny: :OTL IE - HKU\S-1-5-21-1287235045-2387776622-3465627747-1001\..\SearchScopes\{DF7C624B-3D4A-497D-8A6D-CC9E0E946FB2}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=NRO&o=101913&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=EW&apn_dtid=YYYYYYYYPL&apn_uid=F1239F8A-3327-44A8-9406-7A06236DAAB2&apn_sauid=4606D67D-B1D8-462D-9B0B-12E1EC45BA83 O3 - HKU\S-1-5-21-1287235045-2387776622-3465627747-1001\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. :Reg [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012] Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny, należy zainstalować Service Pack 1. Aktualizacji wymagają też pozostałe wymienione programy: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły tutaj: KLIK 4. Możesz na koniec zrobić skan za pomocą Malwarebytes Anti-Malware

Tyle, że to jest wtyczka wątpliwej reputacji i klasyfikowana jako szkodliwa. Gdyby służyła tylko do oglądania meczy nie podstawiała by stron startowych przeglądarek oraz wyszukiwarek na startsear. Dalsze czynności usuwające - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=89d4668c-11fb-11e1-a108-000f1f97421d IE - HKU\S-1-5-21-507921405-1644491937-682003330-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=89d4668c-11fb-11e1-a108-000f1f97421d FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.2 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=98edd7de000000000000000f1f97421d&tlver=1.4.35.10&affID=100474" [2011-11-18 16:40:00 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jkinqh48.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403} [2011-10-08 10:27:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jkinqh48.default\extensions\ffxtlbr@babylon.com [2010-12-19 20:54:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jkinqh48.default\extensions\vshare@toolbar [2012-02-11 16:41:18 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\jkinqh48.default\searchplugins\startsear.xml [2011-10-03 10:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll [2011-10-08 10:27:56 | 000,002,288 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml [2010-03-21 20:40:04 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\chrtmp :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Tasks\At*.job C:\WINDOWS\Tasks\Banh.job C:\WINDOWS\System32\main4.dll C:\WINDOWS\system32\ati.dll C:\WINDOWS\system32\drivers\tsk2.tmp C:\Documents and Settings\1\c422c8c6-5689.exe C:\Documents and Settings\1\Dane aplikacji\3F5FEB.dat C:\Documents and Settings\All Users\Dane aplikacji\e3d00a4 C:\Documents and Settings\All Users\Dane aplikacji\4q2TO0Gdk.dat C:\Documents and Settings\All Users\Dane aplikacji\2m5RHX73.exe C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Documents and Settings\1\Dane aplikacji\Mozilla\Firefox\Profiles\rg3knbgv.default\searchplugins\conduit.xml :Services zebrmdmc getPlusHelper sptd OCDE esgiguard EagleXNt EagleNT catchme BTCOMBUS BT AmdLLD 5689 35739911 MRxSmb :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" [HKEY_USERS\S-1-5-21-1801674531-343818398-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes,DefaultScope = {043C5167-00BB-4324-AF7E-62013FAEDACF} IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.facemoods.com/?a=bf3&s={searchTerms}&f=4 IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=&src=crm&q={searchTerms}&locale= IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} FF - prefs.js..browser.search.defaultthis.engineName: "MovieBario Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2680812&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2680812&q=" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-1801674531-343818398-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [GEST] = File not found O4 - Startup: C:\Documents and Settings\1\Menu Start\Programy\Autostart\_uninst_77423957.lnk = File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wpisujesz netsvcs i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Jeśli chodzi o logi - brak śladów aktywnej infekcji. Odinstaluj tylko sponsoring Babylon toolbar on IE. Użycie ComboFix nie było potrzebne - odinstaluj go prawidłowo: Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD > potem wklej i wywołaj polecenie "C:\Users\Karol\Desktop\ComboFix.exe" /uninstall Kosmetyczny skrypt do wykonania w OTL - w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- E:\Zainstalowane programy\SupServ.exe -- (OMSI download service) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LVcKap.sys -- (LVcKap) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\eoxr.sys -- (hsnl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Karol\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Skoro w awaryjnym problemu nie ma, to wniosek stąd taki, że problem musi powodować coś co ładuje się w trybie normalnym. Tu najbardziej podejrzanym jest właśnie Avast. Swoją drogą on tu jest zainstalowany luzem w E:\Programy bo chyba ktoś zapomniał stworzyć oddzielnego folderu dla niego: SRV - [2012-03-07 01:15:14 | 000,044,768 | ---- | M] (AVAST Software) [Disabled | Stopped] -- E:\Programy\AvastSvc.exe -- (avast! Antivirus) Na próbę odinstalowałbym Avasta i zaobserwował wtedy zachowanie systemu.

Nadal nie wykonałeś tego, pisałem: To jest aktualne.

Proces ggdrive.exe to nie jest wirus. To proces od nowego Gadu Gadu 11. Swoją drogą to wersja beta i ten proces jest do pary z tymi: PRC - [2012-03-30 14:53:06 | 003,078,240 | ---- | M] (GG Network S.A.) -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\GG\Application\ggdrive\ggdrive.exe PRC - [2012-03-27 20:20:52 | 003,246,176 | ---- | M] (GG Network S.A.) -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\GG\Application\gghub.exe PRC - [2012-03-27 20:20:50 | 000,047,712 | ---- | M] (GG Network S.A.) -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\GG\Application\ggapp.exe Infekcji w logach nie widać choć nie dałeś obowiązkowego loga z Gmer, są jedynie drobne śmieci sponsoringowe do usuwania. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - VshareComplete / Babylon toolbar on IE / vShare Plugin / vShare.tv plugin 1.3 2. Zastosuj AdwCleaner z opcji Delete 3. Pokazujesz nowe logi z OTL oraz Gmer.

Według logów infekcja zażegnana. Tylko te usługi sobie powłączaj (o ile jeszcze tego nie zrobiłeś). 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 9.0 (x86 pl)" = Mozilla Firefox 9.0 (x86 pl) Szczegóły znajdziesz tutaj: KLIK 4. Wykonaj pełne skanowanie przez Malwarebytes (którego posiadasz) i jeśli coś znajdzie wklej raport. 5. Na wszelki wypadek pozmieniaj hasła logowania do serwisów w sieci.

W logach widać infekcję w stanie aktywnym, która między innymi wyłącza Centrum zabezpieczeń Windows (nie wiem czy to zauważyłeś u siebie) 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\Iulphpdum.job C:\WINDOWS\System32\osuninstq.dll C:\Program Files\mozilla firefox\searchplugins\babylon.xml :OTL DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\UimBus.sys -- (UimBus) DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\Uim_IM.sys -- (Uim_IM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Radek\USTAWI~1\Temp\catchme.sys -- (catchme) O3 - HKU\S-1-5-21-1708537768-362288127-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Start > Uruchom > wklep services.msc Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie, usługę zastartuj przyciskiem. 3. Pokazujesz nowo wykonany log z OTL (bez ekstras) na normalnym ustawieniu 30 dni oraz log z Kaspersky TDSSKiller

Wszystko w porządku. Możesz przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL oraz opcji Delete z AdwCleaner. 2. Opróżnij folder przywracania systemu: KLIK 3. Wykonaj aktualizację poniższych programów do najnowszych wersji (Thunderbird jest przeraźliwie stary): "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Thunderbird (2.0.0.14)" = Mozilla Thunderbird (2.0.0.14) Szczegóły aktualizacyjne: KLIK