Landuss

Czy można jakoś zabezpieczyń komputer przed instalowaniem różnych śmieci? Teraz, ponieważ szkodliwego oprogramowania jest więcej, daję nowe logi:

Po prostu trzeba być bardziej ostrożnym i tyle, innej rady nie ma. A wcale nie ma tutaj dużo śmieci patrząc na najnowsze logi i tylko drobnostka do wykonania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml?n=77DE8857&p2=^HJ^xdm007^YY^pl&ptb=F864C102-3057-4CF2-A651-5E58D8030514&si=CO39m6K5trYCFURd3godYgMAQg
IE - HKCU\..\URLSearchHook: {D8278076-BC68-4484-9233-6E7F1628B56C} - No CLSID value found
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=52EFD0278895DD10
[2013-04-15 01:13:55 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins
[2013-04-15 01:13:55 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

Otwórz Google Chrome i wejdź do Opcji następnie w zarządzeniu wyszukiwarkami przestaw bieżącą DeltaSearch na Google, po tym Deltę usuń z listy. Stronę startową przeglądarki też zmień najlepiej na pustą.

3. Uruchom AdwCleaner z opcji Usuń

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=64599CB70DC5160B
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=64599CB70DC5160B
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119535&babsrc=SP_ss&mntrId=64599CB70DC5160B
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
[2013-04-11 23:22:35 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins
[2013-04-11 23:22:35 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: BrowserProtect / Delta toolbar / Delta Chrome Toolbar / PC Performer

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Usuń.

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Logi absolutnie nie wskazują na infekcję i nie ma tutaj żadnego rootkita z prawdziwego zdarzenia. Gmer wskazuje proces prawidłowy. Temat jednak przechodzi do działu XP.

Na początek radzę sprawdzić co zajmuje ci tyle miejsca za pomocą SpaceSniffer

W logach nie widać żadnej aktywnej infekcji. Temat zostaje stąd przeniesiony.

Pierwsza sprawa, która rzuca się w logach to uszkodzone ścieżki definiujące specjalne foldery systemowe:

Tym trzeba się zająć najpierw i żeby zobaczyć co tu się stało będzie potrzebny dodatkowy raport.

Uruchom SystemLook x64 i do okna wklej:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Kliknij w Look i pokaż wynikowy raport.

Jest trochę śmieci do usunięcia, infekcji nie ma.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchou.com/?affil=7&uid=f61d4e26-4708-11e2-af39-b05e3f4ac98e
IE - HKLM\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found
IE - HKLM\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
IE - HKLM\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found
IE - HKLM\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?ctid=CT3176921&octid=CT3176921&SearchSource=61&CUI=UN88406023324118292&UM=2&UP=SPAA61D53B-A400-42D6-B414-6507CAC6B12D
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{00D414A9-9A51-41B6-BED5-BC0C7F9E2090}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN55101227911398304&UM=1
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=c280d968000000000000000000000000
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=A036A453-A663-41E3-BB18-2A0E5A3A3C94&apn_sauid=776977A7-94D5-495E-8398-4A8CE14E6393
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{C7722F35-84BE-4974-831A-21F3363B8219}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN88406023324118292&UM=2
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{C8672574-3B63-47F9-B285-5F749F69B755}: "URL" = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8yKYG6qr&i=26
IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://searchou.com/?affil=7&uid=f61d4e26-4708-11e2-af39-b05e3f4ac98e&q={searchTerms}
O2 - BHO: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found.
O2 - BHO: (no name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found.
O2 - BHO: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found.
O2 - BHO: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found.
O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found.
O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found.
O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found.
O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found.
O4 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000..\Run: [searchProtect] C:\Users\Dawid\AppData\Roaming\SearchProtect\bin\cltmng.exe (Conduit)
[2012-02-03 15:44:06 | 001,718,352 | ---- | C] (Funmoods) -- C:\Users\Dawid\AppData\Local\funmoods.exe
[2012-07-12 12:43:06 | 000,000,447 | ---- | M] () -- C:\user.js
 
:Files
C:\Users\Dawid\AppData\Local\Temp*.html
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.572 / express-files Toolbar / Search Protect by conduit / PC Speed Maximizer v3.1 / uTorrentControl_v6 Toolbar / Ask Toolbar Updater / DealPly oraz pozycja, która ma tylko spację w nazwie

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Usuń.

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Wszystko poprawnie wykonane. Możemy kończyć.
 
1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

Internet Explorer (Version = 9.10.9200.16521)
"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish

"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)

Szczegóły aktualizacyjne: KLIK

Logi nie wskazują na infekcję, brak jakiegokolwiek śladu.

Co jakiś czas zawiesza się komputer, najpierw słychać krótki dźwięk

Jaki dźwięk, czy to jest sygnał BIOSu czy inny?

Spróbuj uruchomić system na czystym rozruchu i zobacz czy problemy też wtedy występują: KLIK

Logi nie wykazują infekcji, tylko kosmetyczny skrypt wykonasz.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=stonicus&s={searchTerms}&f=4
IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=stonicus&s={searchTerms}&f=4
IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=38939a1b0000000000000025d34a92dc
IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{B53CA74C-7A36-4818-9960-610CE6F0D672}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5474487F-CD84-4B15-9E61-9859B7DCD9DF&apn_sauid=A57D77A8-A42C-4237-8425-CAEB55AF8BCE
[2011-09-12 18:03:29 | 000,002,051 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchstonicus.xml
O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Uruchom AdwCleaner z opcji Usuń

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

objawy sugerują obecność złośliwego oprogramowania

Nic podobnego. Logi są czyste a problem wygląda, że jest związany ze sterownikami nVidia:

Error - 2013-04-03 07:24:37 | Computer Name = user-Komputer | Source = Application Error | ID = 1000

Description = Nazwa aplikacji powodującej błąd: Eula.exe, wersja: 11.0.0.379, sygnatura

 czasowa: 0x505fc5b0  Nazwa modułu powodującego błąd: nvdxgiwrap.dll, wersja: 8.17.12.5741,

 sygnatura czasowa: 0x4c3b1bd7  Kod wyjątku: 0xc0000005  Przesunięcie błędu: 0x000025aa

Identyfikator

 procesu powodującego błąd: 0x450  Godzina uruchomienia aplikacji powodującej błąd:

 0x01ce305dd30b3c8d  Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Adobe\Reader

 11.0\Reader\Eula.exe  Ścieżka modułu powodującego błąd: C:\Program Files (x86)\NVIDIA

 Corporation\CoProcManager\nvdxgiwrap.dll  Identyfikator raportu: 110004b4-9c51-11e2-8499-20cf3060b915

Proponuje zaktualizować stery do najnowszej wersji.

Temat zmienia dział.

W logach nie widać żadnych śladów infekcji. Dla pewności możesz zrobić jakieś skanowanie np. za pomocą Malwarebytes Anti-Malware

W logach nie widać tego o czym wspominasz i nie ma się tutaj do czego przyczepić. Na wszelki wypadek możesz użyć jeszcze AdwCleaner z opcji Usuń co doczyści ewentualne pozostałości.

W systemie jest ślad infekcji ZeroAccess i wygląda, że infekcja jest aktywna.

1. Wejdź w start > uruchom > cmd i wklep to polecenie:

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)
O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll File not found
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll File not found
O3 - HKU\S-1-5-21-299502267-261903793-1644491937-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found
 
:Files
C:\WINDOWS\Installer\{14320611-06f7-0c9e-e264-fdae3d0a00aa}
C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\{14320611-06f7-0c9e-e264-fdae3d0a00aa}
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują na jakąkolwiek infekcję. Temat jedzie do Sieci.

Od razu możesz zapoznać się z zasadami działu i zaprezentować raport z Net-log: KLIK

W logach widać infekcję z pendrive lub innego typu dysku przenośnego.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=29df349a-3493-11e1-9793-485b39e8f392"
IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=29df349a-3493-11e1-9793-485b39e8f392&q={searchTerms}"
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found
IE - HKCU\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=50b4bc58000000000000485b39e8f392"
IE - HKCU\..\SearchScopes\{45ED495C-B256-42D0-9D0F-A56CDE9876A6}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=29df349a-3493-11e1-9793-485b39e8f392&q={searchTerms}
F3 - HKCU WinNT: Load - (D:\DOCUME~1\PAWE~1\USTAWI~1\Temp\{81403~1.EXE) -  File not found
O20 - AppInit_DLLs: (d:\docume~1\alluse~1.win\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) -  File not found
O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\TEMP.MAFIA-C16D42A96\antzc.exe) -  File not found
O20 - Winlogon\Notify\adkmakgl: DllName - (adkmakgl.dll) -  File not found
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - D:\Program Files\Common Files\logonInit.dll ()
O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) -  File not found
 
:Files
autorun.inf /alldrives
D:\WINDOWS\System32\arking1.dll
D:\Program Files\Common Files\userInit.dll
D:\Documents and Settings\Paweł\antzc.exe
D:\Documents and Settings\Paweł\selqeq.exe
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Usuń.

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać śladów infekcji. Temat zmienia dział.

Zacznijmy od prostego testu - uruchom system na czystym rozruchu i sprawdź efekt: KLIK

Poniższe operacje wykonujesz przy podpiętym dysku zewnętrznym.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
[2013-01-06 12:12:37 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.claro-search.com/?affID=117423&tt=0413_8&babsrc=HP_ss&mntrId=e6f467a5000000000000004f78000d3b"
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=117423&tt=0413_8&babsrc=SP_ss&mntrId=e6f467a5000000000000004f78000d3b"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468"
O4 - HKCU..\Run: [btcl] C:\Users\Dawid\AppData\Roaming\dist10\btcl.exe ()
O4 - HKCU..\Run: [MicroUpdate] File not found
O4 - HKCU..\Run: [Pbkwkl] C:\Users\Dawid\AppData\Roaming\Pbkwkl.exe (ASRock)
O4 - HKLM..\RunOnce: [] File not found
 
:Files
M:\*.lnk
attrib /d /s -s -h M:\* /C
C:\Users\Dawid\AppData\Roaming\sqlite.jar
C:\Users\Dawid\AppData\Roaming\java_u.jar
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: Claro Chrome Toolbar / Claro toolbar / uTorrentControl_v2 Toolbar

3. Uruchom AdwCleaner z opcji Usuń.

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z USBFix z Listingu.

Po pierwsze nie podbijaj tematu bo to wcale nie przyspieszy odpowiedzi a tylko może zaszkodzić. Po drugie jako, ze mineło sporo czasu od ostatnich raportów wykonaj raz jeszcze logi z OTL oraz brakujący z Gmer aby była jasna obecna sytuacja.

Dodatkowo wykonaj przy podpiętym pendrive log z USBFix z opcji Listing i pokaż wynikowy raport.

Nadwyżkę logów usuwam, OTL wystarczy i nie potrzeba powielać OTS i DDS.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania".

Poza tym og z OTL to sieczka i niestety nie mogę go odczytać poprawnie. Log z Gmer zaś wskazuje na infekcję ZeroAccess w wariancie starszym (zainfekowany sterownik systemowy):

---- Kernel code sections - GMER 2.1 ----

C:\WINNT\system32\DRIVERS\netbt.sys                            suspicious PE modification

1. Wejdź w tryb awaryjny i użyj narzędzia ComboFix

2. Gdy program ukończy pracę, wklej z niego raport oraz nowe raporty z OTL i Gmer. Logi wstawiaj opcją załączniki na forum.

Infekcja wykluczona, logi masz czyste pod tym względem. Na próbę odinstalowałbym Avasta bo on wydaje się być najbardziej podejrzany.

Temat zmienia dział.

EDIT: tobikon, proszę się nie dopisywać. Temat wydzielony tu:

https://www.fixitpc.pl/topic/17770-problem-z-długim-uruchamianiem-systemu/

Logi nie wskazują na infekcję, tylko kosmetyka do wykonania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jacek\AppData\Local\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-2485347337-990669144-380460948-1000\..\SearchScopes\{4F99EA6C-40DF-416E-9091-F3CD94AE0B34}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=76B8DE07-E5CB-490A-90CE-BE5587C567C5&apn_sauid=0972074C-C6C1-4517-8412-FA07FB8B6ACE"
IE - HKU\S-1-5-21-2485347337-990669144-380460948-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Usuń.

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Logi nie wskazują na infekcję. Temat zmienia dział.

Odinstaluj tylko śmieci - Web Assistant 2.0.0.572 / Ask Toolbar / Contextual Tool Extrafind / LiveVDO plugin 1.3 / vShare Plugin / vShare.tv plugin 1.3

Przejedź system przez AdwCleaner z opcji Delete

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

W kwestii problemu głównego uruchom system na czystym rozruchu i zobacz efekty: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q="
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=
[2013-03-31 10:42:38 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\searchplugins
[2013-03-31 10:42:38 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\Extensions
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Przez Panel sterowania odinstaluj: BrowserProtect / HomeTab 2.7 / Bundled software uninstaller / Browser Updater 1.1 / Delta toolbar / holasearch toolbar / Optimizer Pro v3.0 / Protected Search 1.1

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner z opcji Usuń.

4. Uruchom SystemLook i w oknie wklej:

:regfind


certified

protected search
 

:folderfind

*certified*

protected search
 

:filefind

*certified*

protectedsearch*

protected search*

Klik w Look

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z SystemLook.

MBAM możesz sobie zostawić, to dobry program i przyda się.

Infekcji w logach nie widać. Możesz wykonać tylko finalizację.

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

Internet Explorer (Version = 9.10.9200.16521)
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish

"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"Mozilla Thunderbird 17.0.4 (x86 pl)" = Mozilla Thunderbird 17.0.4 (x86 pl)

W folderze są moje pliki i mogę je przekopiować.

Więc zrób to i przekopiuj je we właściwe miejsce, a folder infekcyjny usuń z tego dysku.

Zastanawiam się tylko co z tymi 2 folderami RECYCLER i $RECYCLE.BIN. Czy mogę je bezpiecznie usunąć?

Tego nie ruszaj, to foldery kosza systemowego.

I czy już nie muszę się martwić o to, że zaraz znowu coś mi poznika?

Tego nigdy nie możesz być pewny.

Zapomniałem dodać że podczas zamykania systemu, mimo że żaden program nie pracuje system wyświetla okno informujące o wciąż działajacych procesach ( miejsce gdzie powinna znajdować się nazwa programu/ów jest puste), okno wyświetla się kilka sekund/ pół sekundy i znika, a podczas startu systemu w notatniku otwieta się plik "desktop"

Czy w trybie awaryjnym też występuje ten problem?