Landuss

Użyj tym razem opcji Delete w AdwCleaner. Nastepnie wykonaj z niego nowy log z opcji Search i zaprezentuj.

Uruchom plik z prawokliku jako administrator.

Tu jest po pierwsze infekcja rootkitem ZeroAccess po drugie infekcja z urządzeń przenośnych. Zacznij od zastosowania w trybie awaryjnym ComboFix i wklej z niego wynikowy raport. Po tym działaniu wykonaj nowe logi z OTL i też zaprezentuj na forum.

Teraz jest w porządku. Ostatnie rzeczy na koniec do zrobienia. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner - w ten sposób odinstalujesz prawidłowo oba programy wraz z ich logami. Opróżnij folder przywracania systemu: KLIK

Spróbuj zrobić logi z trybu awaryjnego. Ale notebookiem się zajmij później jak już skończymy z obecnym komputerem żeby się nie pomieszało.

Użyj teraz AdwCleaner z opcji Delete. Następnie wykonaj z niego nowy log z opcji Search.

Wykonaj reset sieci - wklej w notatnik: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Network /v Config /f ipconfig /flushdns netsh winhttp reset proxy netsh advfirewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Zapisz ten plik jako FIX.BAT i uruchom go. Restart i zobacz czy coś się zmieniło.

To teraz zasadnicze pytanie - czy masz dostęp do sieci czy nadal go nie ma?

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{0F7A65B5-EC24-40C3-908E-AED0B9E0C43F}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=2ffbed20-e52c-11e0-a7ff-002186b25987&q={searchTerms}" IE - HKLM\..\SearchScopes\{1EBFDF22-4E7E-4745-A0B4-40CFDDA5BC35}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl" IE - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000\..\SearchScopes\{0F7A65B5-EC24-40C3-908E-AED0B9E0C43F}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=2ffbed20-e52c-11e0-a7ff-002186b25987&q={searchTerms}" IE - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000\..\SearchScopes\{1EBFDF22-4E7E-4745-A0B4-40CFDDA5BC35}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl" IE - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000\..\SearchScopes\{85AF22F1-D01F-4D57-AB51-A40BEBA447CA}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000\..\SearchScopes\{E9C4C973-0779-4094-98BE-89732F6D61CC}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=2ffbed20-e52c-11e0-a7ff-002186b25987&q={searchTerms}" [2011-02-20 23:18:24 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Users\Piotr\AppData\Roaming\mozilla\Firefox\Profiles\u70ode2b.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2012-03-13 22:16:35 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{67f6540b-8e44-f210-5cba-86511b648741} O3 - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKLM..\Run: [HPPQVideo] "C:\Program Files\HP\ScheduledLaunch\HP Color LaserJet CM2320 MFP Series\bin\hppschlnch.exe" -r SOFTWARE\Hewlett-Packard\ScheduledLaunch\CLJ_CM2320_MFP_Series -f PQOptimizerVideo.xml -o remindLater File not found O4 - HKU\S-1-5-21-1170484699-3687905009-3699366713-1000..\Run: [Ncr] File not found O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj te pozycje - Pasek narzędzi AOL 5.0 / Browsers Protector / HyperCam Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Documents and Settings\Pawelek\Local Settings\Application Data\lyleishf.exe C:\Documents and Settings\Pawelek\Local Settings\Application Data\tcrfemyj.exe C:\Program Files\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01} :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\systom32\svchost.exe -- (RasAuto) SRV - File not found [Auto | Stopped] -- C:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\phra.sys -- (ypxtj) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Pawelek\LOCALS~1\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found IE - HKCU\..\URLSearchHook: {cc376ed9-9e09-4b39-bad5-083d151eaa86} - No CLSID value found FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3 FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" O2 - BHO: (no name) - {1B169632-4FA6-4BE0-B980-460B5BF7FD08} - No CLSID value found. O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {093B3D46-0F87-44CF-B44B-79537F1597E5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [NIS] "C:\Program Files\NortonInstaller\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS\A5E82D02\17.5.0.127\InstStub.exe" /RELAUNCH /RUNONCE /PRODID NIS File not found O4 - HKLM..\Run: [unlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe" File not found O4 - HKCU..\Run: [FlashGet 3] "C:\Program Files\FlashGet Network\FlashGet 3\FlashGet3.exe" -minimize File not found O8 - Extra context menu item: ????3?? - Reg Error: Value error. File not found O8 - Extra context menu item: ????3?????? - Reg Error: Value error. File not found O8 - Extra context menu item: Translate this web page with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/ActionTU.htm File not found O8 - Extra context menu item: Translate with Babylon - res://C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Action.htm File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programó i odinstaluj zbędną wtyczkę vShare.tv plugin 1.3 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Masz infekcję odpowiedzialną za problem z Centrum zabezpieczeń. MBAM tego nie wykrywa. Poza tym brakuj tu drugiego loga z OTL. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma byc zaznaczona na "Użyj filtrowania". Dopilnuj tego w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\ldbpiurvm.job C:\Windows\SysWow64\RacRules4.dll C:\Program Files (x86)\mozilla firefox\extensions\quickstores@quickstores.de :OTL O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKCU..\Run: [ASRockXTU] File not found O4 - HKCU..\Run: [zASRockInstantBoot] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Według logów nie widać tutaj infekcji ZeroAccess w stanie czynnym. Są jedynie pozostałości po tej infekcji i to należy usunąć. I na przyszłość nie baw się tak ComboFixem bo to nie jest podstawowe lekarstwo na każdy problem i może też zaszkodzić. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\DevUpper.dll -- (XBCD) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mcpromgr.dll -- (uploadmgr) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\quickhealfirewall.dll -- (UpdateCenterService) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\arrayssl_vpn_service3,0,1,9.dll -- (Uim_IM) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\HSFHWICH.dll -- (tosrfcom) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SQTECH905C.dll -- (sysplant) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nsm1serd.dll -- (se58bus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\KMWDFilter.dll -- (s716mdfl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\nimdbgk.dll -- (nvstor32) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dlabmfsm.dll -- (MREMP50) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\winvnc.dll -- (L8042mou) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ipsec.dll -- (kpfwsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\iaimtv2.dll -- (itmrtsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\xcomm.dll -- (IJPLMSVC) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctdvda2k.dll -- (ctaud2k) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\PSDFilter.dll -- (asusgsb) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ABVPN2K.dll -- (amusbprt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Cam5607.dll -- (adpu160m) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cltnetcnservice.dll -- ({eda5f5d3-9e0f-4f4d-8a13-1d1cf469c9cc}) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdserd.sys -- (sscdserd) SAMSUNG CDMA Modem Diagnostic Serial Port (WDM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdmdm.sys -- (sscdmdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdmdfl.sys -- (sscdmdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM) DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\netrcacm.sys -- (netrcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\klucz\AppData\Local\Temp\catchme.sys -- (catchme) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 [2012-02-23 21:53:43 | 000,000,000 | -HS- | M] () -- C:\windows\System32\dds_trash_log.cmd [2012-02-22 12:47:50 | 000,000,112 | ---- | M] () -- C:\ProgramData\78Q72a.dat [2012-02-17 15:56:11 | 000,000,000 | ---D | C] -- C:\Users\klucz\AppData\Roaming\xevpinwjidcurtkupvhr2tcxrohmgmio2 [2012-02-16 19:53:54 | 000,000,000 | ---D | C] -- C:\Users\klucz\AppData\Roaming\xspfd3iemzn1dpqklijqjlnz3hqlu3l22 [2012-02-16 19:53:52 | 000,000,000 | ---D | C] -- C:\Users\klucz\AppData\Roaming\xfmf1xbshtlrgnrfdaxxphrupegtiaok2 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Notatnik systemowy i wklej taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost] "netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\ 63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\ 00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\ 00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\ 00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\ 54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\ 6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\ 00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\ 69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\ 00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\ 73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\ 00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\ 61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\ 73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\ 00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\ 69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\ 00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\ 44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\ 00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\ 64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\ 00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\ 6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\ 00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\ 69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\ 00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\ 00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\ 00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\ 00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\ 00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\ 74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\ 00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\ 70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 3. Następnie uruchamiasz OTL ponownie na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wpisz netsvcs Wywołujesz opcję Skanuj. 4. Pokazujesz nowe logi z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcja wygląda na zażegnaną, ale ten obiekt się nie usunął: Folder move failed. C:\Windows\$NtUninstallKB26811$ scheduled to be moved on reboot. 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB26811$ Klik w Unlock. 2. Wklej do OTL nastepujący skrypt: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB26811$ /C C:\Windows\$NtUninstallKB26811$ :Commands [reboot] 3. Zaprezentuj log z usuwania OTL oraz nowy ze skanu wklejając dodatkowy warunek: C:\Windows|$NtUninstallKB26811$;true;true;false /FP

Logi nie wykazują infekcji i temat raczej zmieni dział. Pytanie tylko co to za plik bat: [2012-02-24 15:17:29 | 000,000,212 | ---- | C] () -- C:\a2x.bat Otwórz go w notatniku i przeklej jego zawartość. W dzienniku zdarzeń powtarzający się błąd: Error - 2012-03-13 16:07:13 | Computer Name = ADAM-2A6EC08CEB | Source = Disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok. To może sugerować problem z dyskiem (podobnie jak "pusty" Program Files). Do wykonania diagnostyka za pomocą MHDD

Wszystko co znajduje się w Temp jest tymczasowe co oznacza, że może znikać i pojawiać się w zależności od potrzeby. Pliki tymczasowe tworzy nie tylko sam system ale też wiele programów zewnętrznych. Temat zamykam bo nie ma tu nad czym rozmyślać.

Infekcja ZeroAccess tutaj jest i działa w najlepsze. Przejdź w tryb awaryjny Windows i uruchom z jego poziomu narzędzie ComboFix z którego zaprezentuj wynikowy raport. Po jego działaniu wykonaj nowe logi z OTL oraz Gmer i załącz też do posta.

Plik jest w porządku. Identyczne sumy kontrolne jak na moim Win7 64-bit a więc Avira nieprawidłowo klasyfikuje plik. Po prostu dodaj go do wyjątków w programie, gdzieś tam powinna być taka opcja.

Nic szkodliwego nie ma. Jedynie możesz lekko podnieść wersję Javy do najnowszej wersji - KLIK

ComboFix poradził sobie z infekcją i wygląda, że niewiele tu jeszcze jest do roboty. Pomijając fakt, że nie powinieneś go używać na własną reke. Zaprezentuj jednak logi z OTL dla potwierdzenia tego.

Logi czyste, infekcji brak. Temat zostaje przeniesiony do innego działu. Fakt odinstaluj tutaj toolbar sponsoringowy DAEMON Tools Toolbar a usuwanie popraw przez narzędzie AdwCleaner z opcji Delete Zaś co do długiego uruchamiania to możliwe, ze winnym jest tu sam Avast i na próbę bym go odinstalował.

W jakiej lokalizacji plik się znajduje? Od razu zapewniam ,że to nie jest żaden keylogger.

Wykonaj log z OTL na dodatkowym warunku. Przestaw wszystkie opcje na Żadne + Brak i w oknie Własne opcje skanowania/Skrypt wklej: /md5start user32.dll /md5stop Kliknij w Skanuj. Zaprezentuj log.

W logach nie widać aktywnej infekcji. Lokalizacja, w której znajduje się plik jest tymczasowa (Temp) podobnie jak sam plik jest tymczasowy (rozszerzenie .tmp) i nie jest to żadna infekcja. Lokalizacje tymczasowe możesz oczyszczać za pomocą TFC - Temp File Cleaner

Obiekty usunięte, pozostały tylko puste wpisy ale to zaraz doczyścisz. Wykonaj na koniec jeszcze poniższe zalecenia. 1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Mój\Desktop\ComboFix.exe" /uninstall 2. Wklej do OTL ten poprawkowy skrypt: :OTL O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKU\S-1-5-21-2045188607-4176302909-3739370939-1000..\Run: [Akamai NetSession Interface] "C:\Users\Mój\AppData\Local\Akamai\netsession_win.exe" File not found O4 - HKU\S-1-5-21-2045188607-4176302909-3739370939-1000..\Run: [expconfig] C:\ProgramData\expconfig.exe File not found O4 - HKU\S-1-5-21-2045188607-4176302909-3739370939-1000..\Run: [viewfix] C:\Users\Mój\AppData\Roaming\viewfix.exe File not found Klikasz w Wykonaj skrypt. Logów już żadnych nie pokazujesz. Używasz opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK

To by było na tyle z usuwania. Infekcja w całości załatwiona. Na koniec pare rzeczy do wykonania. 1. Wciśnij kombinacje klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Laptop\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj aktualizacje do najnowszych wersji wymienionych programów: Internet Explorer (Version = 8.0.6001.19190) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox 5.0.1 (x86 pl)" = Mozilla Firefox 5.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK 5. Na wszelki wypadek zmień hasła logowania do serwisów bowiem tego typu infekcja mogła pozyskać te dane.