Landuss

Po prostu trzeba być bardziej ostrożnym i tyle, innej rady nie ma. A wcale nie ma tutaj dużo śmieci patrząc na najnowsze logi i tylko drobnostka do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^HJ^xdm007^YY^pl&ptb=F864C102-3057-4CF2-A651-5E58D8030514&si=CO39m6K5trYCFURd3godYgMAQg IE - HKCU\..\URLSearchHook: {D8278076-BC68-4484-9233-6E7F1628B56C} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=52EFD0278895DD10 [2013-04-15 01:13:55 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins [2013-04-15 01:13:55 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji następnie w zarządzeniu wyszukiwarkami przestaw bieżącą DeltaSearch na Google, po tym Deltę usuń z listy. Stronę startową przeglądarki też zmień najlepiej na pustą. 3. Uruchom AdwCleaner z opcji Usuń 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=64599CB70DC5160B IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=64599CB70DC5160B IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119535&babsrc=SP_ss&mntrId=64599CB70DC5160B O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. [2013-04-11 23:22:35 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins [2013-04-11 23:22:35 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BrowserProtect / Delta toolbar / Delta Chrome Toolbar / PC Performer Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Logi absolutnie nie wskazują na infekcję i nie ma tutaj żadnego rootkita z prawdziwego zdarzenia. Gmer wskazuje proces prawidłowy. Temat jednak przechodzi do działu XP. Na początek radzę sprawdzić co zajmuje ci tyle miejsca za pomocą SpaceSniffer

W logach nie widać żadnej aktywnej infekcji. Temat zostaje stąd przeniesiony. Pierwsza sprawa, która rzuca się w logach to uszkodzone ścieżki definiujące specjalne foldery systemowe: Tym trzeba się zająć najpierw i żeby zobaczyć co tu się stało będzie potrzebny dodatkowy raport. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Kliknij w Look i pokaż wynikowy raport.

Jest trochę śmieci do usunięcia, infekcji nie ma. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchou.com/?affil=7&uid=f61d4e26-4708-11e2-af39-b05e3f4ac98e IE - HKLM\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKLM\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKLM\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKLM\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?ctid=CT3176921&octid=CT3176921&SearchSource=61&CUI=UN88406023324118292&UM=2&UP=SPAA61D53B-A400-42D6-B414-6507CAC6B12D IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{00D414A9-9A51-41B6-BED5-BC0C7F9E2090}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN55101227911398304&UM=1 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=c280d968000000000000000000000000 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=A036A453-A663-41E3-BB18-2A0E5A3A3C94&apn_sauid=776977A7-94D5-495E-8398-4A8CE14E6393 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{C7722F35-84BE-4974-831A-21F3363B8219}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN88406023324118292&UM=2 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{C8672574-3B63-47F9-B285-5F749F69B755}: "URL" = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8yKYG6qr&i=26 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://searchou.com/?affil=7&uid=f61d4e26-4708-11e2-af39-b05e3f4ac98e&q={searchTerms} O2 - BHO: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found. O2 - BHO: (no name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found. O2 - BHO: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found. O2 - BHO: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found. O4 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000..\Run: [] File not found O4 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000..\Run: [searchProtect] C:\Users\Dawid\AppData\Roaming\SearchProtect\bin\cltmng.exe (Conduit) [2012-02-03 15:44:06 | 001,718,352 | ---- | C] (Funmoods) -- C:\Users\Dawid\AppData\Local\funmoods.exe [2012-07-12 12:43:06 | 000,000,447 | ---- | M] () -- C:\user.js :Files C:\Users\Dawid\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.572 / express-files Toolbar / Search Protect by conduit / PC Speed Maximizer v3.1 / uTorrentControl_v6 Toolbar / Ask Toolbar Updater / DealPly oraz pozycja, która ma tylko spację w nazwie Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Wszystko poprawnie wykonane. Możemy kończyć. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 9.10.9200.16521) "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Logi nie wskazują na infekcję, brak jakiegokolwiek śladu. Jaki dźwięk, czy to jest sygnał BIOSu czy inny? Spróbuj uruchomić system na czystym rozruchu i zobacz czy problemy też wtedy występują: KLIK

Logi nie wykazują infekcji, tylko kosmetyczny skrypt wykonasz. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=stonicus&s={searchTerms}&f=4 IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=stonicus&s={searchTerms}&f=4 IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=38939a1b0000000000000025d34a92dc IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{B53CA74C-7A36-4818-9960-610CE6F0D672}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5474487F-CD84-4B15-9E61-9859B7DCD9DF&apn_sauid=A57D77A8-A42C-4237-8425-CAEB55AF8BCE [2011-09-12 18:03:29 | 000,002,051 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchstonicus.xml O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Usuń 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Nic podobnego. Logi są czyste a problem wygląda, że jest związany ze sterownikami nVidia: Error - 2013-04-03 07:24:37 | Computer Name = user-Komputer | Source = Application Error | ID = 1000 Description = Nazwa aplikacji powodującej błąd: Eula.exe, wersja: 11.0.0.379, sygnatura czasowa: 0x505fc5b0 Nazwa modułu powodującego błąd: nvdxgiwrap.dll, wersja: 8.17.12.5741, sygnatura czasowa: 0x4c3b1bd7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000025aa Identyfikator procesu powodującego błąd: 0x450 Godzina uruchomienia aplikacji powodującej błąd: 0x01ce305dd30b3c8d Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\Eula.exe Ścieżka modułu powodującego błąd: C:\Program Files (x86)\NVIDIA Corporation\CoProcManager\nvdxgiwrap.dll Identyfikator raportu: 110004b4-9c51-11e2-8499-20cf3060b915 Proponuje zaktualizować stery do najnowszej wersji. Temat zmienia dział.

W logach nie widać żadnych śladów infekcji. Dla pewności możesz zrobić jakieś skanowanie np. za pomocą Malwarebytes Anti-Malware

W logach nie widać tego o czym wspominasz i nie ma się tutaj do czego przyczepić. Na wszelki wypadek możesz użyć jeszcze AdwCleaner z opcji Usuń co doczyści ewentualne pozostałości.

W systemie jest ślad infekcji ZeroAccess i wygląda, że infekcja jest aktywna. 1. Wejdź w start > uruchom > cmd i wklep to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll File not found O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll File not found O3 - HKU\S-1-5-21-299502267-261903793-1644491937-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found :Files C:\WINDOWS\Installer\{14320611-06f7-0c9e-e264-fdae3d0a00aa} C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\{14320611-06f7-0c9e-e264-fdae3d0a00aa} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują na jakąkolwiek infekcję. Temat jedzie do Sieci. Od razu możesz zapoznać się z zasadami działu i zaprezentować raport z Net-log: KLIK

W logach widać infekcję z pendrive lub innego typu dysku przenośnego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=29df349a-3493-11e1-9793-485b39e8f392" IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=29df349a-3493-11e1-9793-485b39e8f392&q={searchTerms}" IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found IE - HKCU\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=50b4bc58000000000000485b39e8f392" IE - HKCU\..\SearchScopes\{45ED495C-B256-42D0-9D0F-A56CDE9876A6}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=29df349a-3493-11e1-9793-485b39e8f392&q={searchTerms} F3 - HKCU WinNT: Load - (D:\DOCUME~1\PAWE~1\USTAWI~1\Temp\{81403~1.EXE) - File not found O20 - AppInit_DLLs: (d:\docume~1\alluse~1.win\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\TEMP.MAFIA-C16D42A96\antzc.exe) - File not found O20 - Winlogon\Notify\adkmakgl: DllName - (adkmakgl.dll) - File not found O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - D:\Program Files\Common Files\logonInit.dll () O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) - File not found :Files autorun.inf /alldrives D:\WINDOWS\System32\arking1.dll D:\Program Files\Common Files\userInit.dll D:\Documents and Settings\Paweł\antzc.exe D:\Documents and Settings\Paweł\selqeq.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać śladów infekcji. Temat zmienia dział. Zacznijmy od prostego testu - uruchom system na czystym rozruchu i sprawdź efekt: KLIK

Poniższe operacje wykonujesz przy podpiętym dysku zewnętrznym. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2013-01-06 12:12:37 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.claro-search.com/?affID=117423&tt=0413_8&babsrc=HP_ss&mntrId=e6f467a5000000000000004f78000d3b" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=117423&tt=0413_8&babsrc=SP_ss&mntrId=e6f467a5000000000000004f78000d3b" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" O4 - HKCU..\Run: [btcl] C:\Users\Dawid\AppData\Roaming\dist10\btcl.exe () O4 - HKCU..\Run: [MicroUpdate] File not found O4 - HKCU..\Run: [Pbkwkl] C:\Users\Dawid\AppData\Roaming\Pbkwkl.exe (ASRock) O4 - HKLM..\RunOnce: [] File not found :Files M:\*.lnk attrib /d /s -s -h M:\* /C C:\Users\Dawid\AppData\Roaming\sqlite.jar C:\Users\Dawid\AppData\Roaming\java_u.jar :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Claro Chrome Toolbar / Claro toolbar / uTorrentControl_v2 Toolbar 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z USBFix z Listingu.

Po pierwsze nie podbijaj tematu bo to wcale nie przyspieszy odpowiedzi a tylko może zaszkodzić. Po drugie jako, ze mineło sporo czasu od ostatnich raportów wykonaj raz jeszcze logi z OTL oraz brakujący z Gmer aby była jasna obecna sytuacja. Dodatkowo wykonaj przy podpiętym pendrive log z USBFix z opcji Listing i pokaż wynikowy raport. Nadwyżkę logów usuwam, OTL wystarczy i nie potrzeba powielać OTS i DDS.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Poza tym og z OTL to sieczka i niestety nie mogę go odczytać poprawnie. Log z Gmer zaś wskazuje na infekcję ZeroAccess w wariancie starszym (zainfekowany sterownik systemowy): ---- Kernel code sections - GMER 2.1 ---- C:\WINNT\system32\DRIVERS\netbt.sys suspicious PE modification 1. Wejdź w tryb awaryjny i użyj narzędzia ComboFix 2. Gdy program ukończy pracę, wklej z niego raport oraz nowe raporty z OTL i Gmer. Logi wstawiaj opcją załączniki na forum.

Infekcja wykluczona, logi masz czyste pod tym względem. Na próbę odinstalowałbym Avasta bo on wydaje się być najbardziej podejrzany. Temat zmienia dział. EDIT: tobikon, proszę się nie dopisywać. Temat wydzielony tu: https://www.fixitpc.pl/topic/17770-problem-z-długim-uruchamianiem-systemu/

Logi nie wskazują na infekcję, tylko kosmetyka do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jacek\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-2485347337-990669144-380460948-1000\..\SearchScopes\{4F99EA6C-40DF-416E-9091-F3CD94AE0B34}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=76B8DE07-E5CB-490A-90CE-BE5587C567C5&apn_sauid=0972074C-C6C1-4517-8412-FA07FB8B6ACE" IE - HKU\S-1-5-21-2485347337-990669144-380460948-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Logi nie wskazują na infekcję. Temat zmienia dział. Odinstaluj tylko śmieci - Web Assistant 2.0.0.572 / Ask Toolbar / Contextual Tool Extrafind / LiveVDO plugin 1.3 / vShare Plugin / vShare.tv plugin 1.3 Przejedź system przez AdwCleaner z opcji Delete Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. W kwestii problemu głównego uruchom system na czystym rozruchu i zobacz efekty: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q= [2013-03-31 10:42:38 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\searchplugins [2013-03-31 10:42:38 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\Extensions :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BrowserProtect / HomeTab 2.7 / Bundled software uninstaller / Browser Updater 1.1 / Delta toolbar / holasearch toolbar / Optimizer Pro v3.0 / Protected Search 1.1 Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchom SystemLook i w oknie wklej: :regfind certified protected search :folderfind *certified* protected search :filefind *certified* protectedsearch* protected search* Klik w Look 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z SystemLook.

MBAM możesz sobie zostawić, to dobry program i przyda się. Infekcji w logach nie widać. Możesz wykonać tylko finalizację. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 9.10.9200.16521) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) "Mozilla Thunderbird 17.0.4 (x86 pl)" = Mozilla Thunderbird 17.0.4 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Więc zrób to i przekopiuj je we właściwe miejsce, a folder infekcyjny usuń z tego dysku. Tego nie ruszaj, to foldery kosza systemowego. Tego nigdy nie możesz być pewny.

Czy w trybie awaryjnym też występuje ten problem?