-
Postów
6 919 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Landuss
- Poprzednia
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- Dalej
- Strona 2 z 277
-
-
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=64599CB70DC5160B IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119535&babsrc=HP_ss&mntrId=64599CB70DC5160B IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119535&babsrc=SP_ss&mntrId=64599CB70DC5160B O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. [2013-04-11 23:22:35 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\searchplugins [2013-04-11 23:22:35 | 000,000,000 | ---D | C] -- C:\Windows\SysWow64\Extensions :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: BrowserProtect / Delta toolbar / Delta Chrome Toolbar / PC Performer
Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).
-
Logi absolutnie nie wskazują na infekcję i nie ma tutaj żadnego rootkita z prawdziwego zdarzenia. Gmer wskazuje proces prawidłowy. Temat jednak przechodzi do działu XP.
Na początek radzę sprawdzić co zajmuje ci tyle miejsca za pomocą SpaceSniffer
-
W logach nie widać żadnej aktywnej infekcji. Temat zostaje stąd przeniesiony.
Pierwsza sprawa, która rzuca się w logach to uszkodzone ścieżki definiujące specjalne foldery systemowe:
O4 - Startup: C:\Users\All Users\34BE82C4-E596-4e99-A191-52C6199EBF69 [2013-03-09 16:07:54 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Adobe [2012-11-10 15:38:55 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\AMD [2013-04-03 10:34:26 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Apple [2012-09-06 19:01:19 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Apple Computer [2012-09-06 19:02:29 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Application Data [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\Asus [2011-10-20 01:08:22 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\ASUS WebStorage [2011-10-20 00:59:55 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Atheros [2012-07-09 13:02:47 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\ATI [2013-04-03 10:39:52 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\AVAST Software [2012-11-10 03:08:52 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Babylon [2013-03-12 16:53:58 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\BryOOwsee2ssavoe [2013-04-09 20:54:49 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Canneverbe Limited [2012-12-29 20:59:02 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\ChangeFolderView [2012-07-09 13:03:06 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Common Files [2012-07-28 00:51:43 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Users\All Users\CyberLink [2012-03-29 22:15:28 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\DAEMON Tools Lite [2012-07-10 11:43:00 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\DAEMON Tools Pro [2012-11-21 00:54:43 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Deadtime Stories [2012-07-09 14:01:16 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Desktop [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\Documents [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\Downloaded Installations [2011-10-20 00:43:06 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\EA Core [2012-07-30 00:41:19 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Electronic Arts [2013-01-29 18:18:45 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Favorites [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\FLEXnet [2011-10-20 00:43:09 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\FolderView [2012-07-09 13:00:06 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\FullRemove.exe ()
O4 - Startup: C:\Users\All Users\GG [2012-07-20 22:47:18 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Installations [2012-07-12 16:44:26 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\InstallMate [2013-04-09 20:54:46 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Malwarebytes [2012-10-21 22:05:28 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\MFAData [2012-11-10 01:27:17 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Microsoft [2013-03-09 16:47:35 | 000,000,000 | --SD | M]
O4 - Startup: C:\Users\All Users\Microsoft Help [2013-04-11 11:10:41 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Norton [2013-03-12 18:11:22 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\NortonInstaller [2013-03-12 17:57:29 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Nuance [2012-07-09 15:10:09 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Orbit [2012-12-25 21:07:18 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Origin [2013-03-12 17:22:43 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\P4G [2012-03-29 22:08:09 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\PC Suite [2012-07-12 16:47:17 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Qualcomm Atheros [2012-03-29 21:56:04 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\RELOADED [2012-10-28 14:57:24 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\ScanSoft [2011-10-20 00:43:09 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Skype [2013-01-28 20:18:41 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\SoftSafe [2013-03-13 16:55:57 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Solidshield [2012-10-21 01:29:11 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\SonicFocus [2012-03-29 21:54:53 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Sony Ericsson [2013-03-05 19:02:01 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Spybot - Search & Destroy [2012-10-21 22:06:27 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Start Menu [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\Steam [2013-04-01 09:22:07 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Sun [2012-07-10 09:44:37 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Temp [2012-07-09 14:03:11 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Templates [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\Trend Micro [2012-07-09 14:06:36 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Trymedia [2012-11-21 01:18:03 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\TuneUp Software [2012-10-21 12:38:21 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\Ubisoft [2012-07-12 09:24:07 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\USBChargerPlus [2012-03-29 22:13:26 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\VirtualizedApplications [2012-09-09 11:09:57 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\{1FBF6C24-C1FD-4101-A42B-0C564F9E8E79}.log ()
O4 - Startup: C:\Users\All Users\{32364CEA-7855-4A3C-B674-53D8E9B97936} [2012-10-21 14:13:17 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\{40BF1E83-20EB-11D8-97C5-0009C5020658}.log ()
O4 - Startup: C:\Users\All Users\{93E26451-CD9A-43A5-A2FA-C42392EA4001} [2012-10-21 14:13:17 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\All Users\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} [2012-11-09 15:32:08 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\All Users\{C59C179C-668D-49A9-B6EA-0121CCFC1243}.log ()
O4 - Startup: C:\Users\Default\AppData [2009-07-14 05:20:08 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Users\Default\Application Data [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Cookies [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Desktop [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\Documents [2009-07-14 07:08:56 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\Downloads [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\Favorites [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\Links [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\Local Settings [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Music [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\My Documents [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\NetHood [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\NTUSER.DAT ()
O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG ()
O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG1 ()
O4 - Startup: C:\Users\Default\NTUSER.DAT.LOG2 ()
O4 - Startup: C:\Users\Default\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf ()
O4 - Startup: C:\Users\Default\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Users\Default\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Users\Default\Pictures [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Recent [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Saved Games [2009-07-14 04:34:59 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Default\SendTo [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Start Menu [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Templates [2009-07-14 07:08:56 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Default\Videos [2009-07-14 04:34:59 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\.android [2013-03-26 23:08:18 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\.gimp-2.8 [2013-04-19 21:11:01 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\.swt [2012-12-22 20:26:39 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\.thumbnails [2012-07-27 00:18:11 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\AppData [2012-07-09 12:59:23 | 000,000,000 | -H-D | M]
O4 - Startup: C:\Users\Maciej\Contacts [2012-07-12 04:44:34 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\Cookies [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Dane aplikacji [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Desktop [2013-04-19 21:10:56 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\Documents [2013-04-03 15:59:17 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\Downloads [2013-04-03 15:53:17 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\Favorites [2012-07-12 04:44:34 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\GG dysk [2012-12-12 22:01:23 | 000,000,000 | --SD | M]
O4 - Startup: C:\Users\Maciej\jagexcache [2013-03-14 12:43:36 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\jagex_cl_oldschool_LIVE.dat ()
O4 - Startup: C:\Users\Maciej\Links [2012-07-12 04:44:34 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\Local Settings [2013-03-12 16:54:12 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\Menu Start [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Moje dokumenty [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Music [2013-01-19 14:32:08 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\NetHood [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\NTUSER.DAT ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT.bak ()
O4 - Startup: C:\Users\Maciej\ntuser.dat.LOG1 ()
O4 - Startup: C:\Users\Maciej\ntuser.dat.LOG2 ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT.sav.LOG1 ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT.sav.LOG2 ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT_tureg_new.LOG1 ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT_tureg_new.LOG2 ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT_tureg_old ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TM.blf ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{016888bd-6c6f-11de-8d1d-001e0bcde3ec}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{1955fa59-69f1-11e2-b059-806e6f6e6963}.TM.blf ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{1955fa59-69f1-11e2-b059-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{1955fa59-69f1-11e2-b059-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{671a9eca-3021-11e2-8bf1-9cb70dc4fa8e}.TM.blf ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{671a9eca-3021-11e2-8bf1-9cb70dc4fa8e}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{671a9eca-3021-11e2-8bf1-9cb70dc4fa8e}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{d1f8797d-1b72-11e2-9e1e-806e6f6e6963}.TM.blf ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{d1f8797d-1b72-11e2-9e1e-806e6f6e6963}.TMContainer00000000000000000001.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\NTUSER.DAT{d1f8797d-1b72-11e2-9e1e-806e6f6e6963}.TMContainer00000000000000000002.regtrans-ms ()
O4 - Startup: C:\Users\Maciej\ntuser.ini ()
O4 - Startup: C:\Users\Maciej\Pictures [2013-02-03 12:28:08 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\PrintHood [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\random.dat ()
O4 - Startup: C:\Users\Maciej\Recent [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Saved Games [2013-01-29 18:19:17 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\Searches [2012-07-12 04:44:34 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Maciej\SendTo [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\SystemRequirementsLab [2013-01-14 17:44:21 | 000,000,000 | ---D | M]
O4 - Startup: C:\Users\Maciej\Szablony [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Ustawienia lokalne [2012-07-09 12:59:23 | 000,000,000 | -HSD | M]
O4 - Startup: C:\Users\Maciej\Videos [2013-02-03 12:28:08 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Public\Desktop [2013-04-09 20:56:02 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Users\Public\Documents [2012-11-21 01:12:53 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Public\Downloads [2009-07-14 06:54:24 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Public\Favorites [2009-07-14 04:34:59 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Users\Public\Libraries [2012-07-09 20:52:56 | 000,000,000 | RH-D | M]
O4 - Startup: C:\Users\Public\Music [2009-07-14 06:54:24 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Public\Pictures [2009-07-14 06:54:24 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Public\Recorded TV [2013-01-29 11:11:42 | 000,000,000 | R--D | M]
O4 - Startup: C:\Users\Public\Videos [2009-07-14 06:54:24 | 000,000,000 | R--D | M]
Tym trzeba się zająć najpierw i żeby zobaczyć co tu się stało będzie potrzebny dodatkowy raport.
Uruchom SystemLook x64 i do okna wklej:
:reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
Kliknij w Look i pokaż wynikowy raport.
-
Jest trochę śmieci do usunięcia, infekcji nie ma.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\WPRO_40_1340.sys -- (WPRO_40_1340) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchou.com/?affil=7&uid=f61d4e26-4708-11e2-af39-b05e3f4ac98e IE - HKLM\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKLM\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKLM\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKLM\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2247187 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?ctid=CT3176921&octid=CT3176921&SearchSource=61&CUI=UN88406023324118292&UM=2&UP=SPAA61D53B-A400-42D6-B414-6507CAC6B12D IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {b12785f5-d8d0-4530-a3ea-5c4263b85bef} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{00D414A9-9A51-41B6-BED5-BC0C7F9E2090}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN55101227911398304&UM=1 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=bf2&s={searchTerms}&f=4 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100842&mntrId=c280d968000000000000000000000000 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=YYYYYYYYPL&apn_uid=A036A453-A663-41E3-BB18-2A0E5A3A3C94&apn_sauid=776977A7-94D5-495E-8398-4A8CE14E6393 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms} IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{C7722F35-84BE-4974-831A-21F3363B8219}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN88406023324118292&UM=2 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{C8672574-3B63-47F9-B285-5F749F69B755}: "URL" = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8yKYG6qr&i=26 IE - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://searchou.com/?affil=7&uid=f61d4e26-4708-11e2-af39-b05e3f4ac98e&q={searchTerms} O2 - BHO: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found. O2 - BHO: (no name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found. O2 - BHO: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found. O2 - BHO: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {414B6D9D-4A95-4E8D-B5B1-149DD2D93BB3} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {51A86BB3-6602-4C85-92A5-130EE4864F13} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found. O3 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000\..\Toolbar\WebBrowser: (no name) - {7473B6BD-4691-4744-A82B-7854EB3D70B6} - No CLSID value found. O4 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000..\Run: [] File not found O4 - HKU\S-1-5-21-580120484-3627193527-1350051763-1000..\Run: [searchProtect] C:\Users\Dawid\AppData\Roaming\SearchProtect\bin\cltmng.exe (Conduit) [2012-02-03 15:44:06 | 001,718,352 | ---- | C] (Funmoods) -- C:\Users\Dawid\AppData\Local\funmoods.exe [2012-07-12 12:43:06 | 000,000,447 | ---- | M] () -- C:\user.js :Files C:\Users\Dawid\AppData\Local\Temp*.html :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.572 / express-files Toolbar / Search Protect by conduit / PC Speed Maximizer v3.1 / uTorrentControl_v6 Toolbar / Ask Toolbar Updater / DealPly oraz pozycja, która ma tylko spację w nazwie
Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).
-
Wszystko poprawnie wykonane. Możemy kończyć.
1. Użyj opcji Sprzątanie z OTL.
2. Opróżnij przywracanie systemu: KLIK
3. Zaktualizuj wymienione programy do najnowszych wersji:Internet Explorer (Version = 9.10.9200.16521)
"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
"Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl)
Szczegóły aktualizacyjne: KLIK -
Logi nie wskazują na infekcję, brak jakiegokolwiek śladu.
Co jakiś czas zawiesza się komputer, najpierw słychać krótki dźwięk
Jaki dźwięk, czy to jest sygnał BIOSu czy inny?
Spróbuj uruchomić system na czystym rozruchu i zobacz czy problemy też wtedy występują: KLIK
-
Logi nie wykazują infekcji, tylko kosmetyczny skrypt wykonasz.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=stonicus&s={searchTerms}&f=4 IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=stonicus&s={searchTerms}&f=4 IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=38939a1b0000000000000025d34a92dc IE - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\SearchScopes\{B53CA74C-7A36-4818-9960-610CE6F0D672}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=5474487F-CD84-4B15-9E61-9859B7DCD9DF&apn_sauid=A57D77A8-A42C-4237-8425-CAEB55AF8BCE [2011-09-12 18:03:29 | 000,002,051 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchstonicus.xml O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\ShellBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-861567501-1364589140-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Uruchom AdwCleaner z opcji Usuń
3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
-
objawy sugerują obecność złośliwego oprogramowania
Nic podobnego. Logi są czyste a problem wygląda, że jest związany ze sterownikami nVidia:
Error - 2013-04-03 07:24:37 | Computer Name = user-Komputer | Source = Application Error | ID = 1000
Description = Nazwa aplikacji powodującej błąd: Eula.exe, wersja: 11.0.0.379, sygnatura
czasowa: 0x505fc5b0 Nazwa modułu powodującego błąd: nvdxgiwrap.dll, wersja: 8.17.12.5741,
sygnatura czasowa: 0x4c3b1bd7 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000025aa
Identyfikator
procesu powodującego błąd: 0x450 Godzina uruchomienia aplikacji powodującej błąd:
0x01ce305dd30b3c8d Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Adobe\Reader
11.0\Reader\Eula.exe Ścieżka modułu powodującego błąd: C:\Program Files (x86)\NVIDIA
Corporation\CoProcManager\nvdxgiwrap.dll Identyfikator raportu: 110004b4-9c51-11e2-8499-20cf3060b915
Proponuje zaktualizować stery do najnowszej wersji.
Temat zmienia dział.
-
W logach nie widać żadnych śladów infekcji. Dla pewności możesz zrobić jakieś skanowanie np. za pomocą Malwarebytes Anti-Malware
-
W logach nie widać tego o czym wspominasz i nie ma się tutaj do czego przyczepić. Na wszelki wypadek możesz użyć jeszcze AdwCleaner z opcji Usuń co doczyści ewentualne pozostałości.
-
W systemie jest ślad infekcji ZeroAccess i wygląda, że infekcja jest aktywna.
1. Wejdź w start > uruchom > cmd i wklep to polecenie:
reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll File not found O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.2.0.1\AVG Secure Search_toolbar.dll File not found O3 - HKU\S-1-5-21-299502267-261903793-1644491937-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found :Files C:\WINDOWS\Installer\{14320611-06f7-0c9e-e264-fdae3d0a00aa} C:\Documents and Settings\x\Ustawienia lokalne\Dane aplikacji\{14320611-06f7-0c9e-e264-fdae3d0a00aa} :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
-
Logi nie wskazują na jakąkolwiek infekcję. Temat jedzie do Sieci.
Od razu możesz zapoznać się z zasadami działu i zaprezentować raport z Net-log: KLIK
-
W logach widać infekcję z pendrive lub innego typu dysku przenośnego.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=29df349a-3493-11e1-9793-485b39e8f392" IE - HKLM\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=29df349a-3493-11e1-9793-485b39e8f392&q={searchTerms}" IE - HKCU\..\URLSearchHook: - No CLSID value found IE - HKCU\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No CLSID value found IE - HKCU\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - No CLSID value found IE - HKCU\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=50b4bc58000000000000485b39e8f392" IE - HKCU\..\SearchScopes\{45ED495C-B256-42D0-9D0F-A56CDE9876A6}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=29df349a-3493-11e1-9793-485b39e8f392&q={searchTerms} F3 - HKCU WinNT: Load - (D:\DOCUME~1\PAWE~1\USTAWI~1\Temp\{81403~1.EXE) - File not found O20 - AppInit_DLLs: (d:\docume~1\alluse~1.win\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\TEMP.MAFIA-C16D42A96\antzc.exe) - File not found O20 - Winlogon\Notify\adkmakgl: DllName - (adkmakgl.dll) - File not found O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - D:\Program Files\Common Files\logonInit.dll () O20 - Winlogon\Notify\mdhcp32: DllName - (mdhcp32.dll) - File not found :Files autorun.inf /alldrives D:\WINDOWS\System32\arking1.dll D:\Program Files\Common Files\userInit.dll D:\Documents and Settings\Paweł\antzc.exe D:\Documents and Settings\Paweł\selqeq.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)
-
W logach nie widać śladów infekcji. Temat zmienia dział.
Zacznijmy od prostego testu - uruchom system na czystym rozruchu i sprawdź efekt: KLIK
-
Poniższe operacje wykonujesz przy podpiętym dysku zewnętrznym.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL [2013-01-06 12:12:37 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.claro-search.com/?affID=117423&tt=0413_8&babsrc=HP_ss&mntrId=e6f467a5000000000000004f78000d3b" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.claro-search.com/?q={searchTerms}&affID=117423&tt=0413_8&babsrc=SP_ss&mntrId=e6f467a5000000000000004f78000d3b" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" O4 - HKCU..\Run: [btcl] C:\Users\Dawid\AppData\Roaming\dist10\btcl.exe () O4 - HKCU..\Run: [MicroUpdate] File not found O4 - HKCU..\Run: [Pbkwkl] C:\Users\Dawid\AppData\Roaming\Pbkwkl.exe (ASRock) O4 - HKLM..\RunOnce: [] File not found :Files M:\*.lnk attrib /d /s -s -h M:\* /C C:\Users\Dawid\AppData\Roaming\sqlite.jar C:\Users\Dawid\AppData\Roaming\java_u.jar :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: Claro Chrome Toolbar / Claro toolbar / uTorrentControl_v2 Toolbar
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z USBFix z Listingu.
-
Po pierwsze nie podbijaj tematu bo to wcale nie przyspieszy odpowiedzi a tylko może zaszkodzić. Po drugie jako, ze mineło sporo czasu od ostatnich raportów wykonaj raz jeszcze logi z OTL oraz brakujący z Gmer aby była jasna obecna sytuacja.
Dodatkowo wykonaj przy podpiętym pendrive log z USBFix z opcji Listing i pokaż wynikowy raport.
Nadwyżkę logów usuwam, OTL wystarczy i nie potrzeba powielać OTS i DDS.
-
Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania".
Poza tym og z OTL to sieczka i niestety nie mogę go odczytać poprawnie. Log z Gmer zaś wskazuje na infekcję ZeroAccess w wariancie starszym (zainfekowany sterownik systemowy):
---- Kernel code sections - GMER 2.1 ----
C:\WINNT\system32\DRIVERS\netbt.sys suspicious PE modification
1. Wejdź w tryb awaryjny i użyj narzędzia ComboFix
2. Gdy program ukończy pracę, wklej z niego raport oraz nowe raporty z OTL i Gmer. Logi wstawiaj opcją załączniki na forum.
-
Infekcja wykluczona, logi masz czyste pod tym względem. Na próbę odinstalowałbym Avasta bo on wydaje się być najbardziej podejrzany.
Temat zmienia dział.
EDIT: tobikon, proszę się nie dopisywać. Temat wydzielony tu:
https://www.fixitpc.pl/topic/17770-problem-z-długim-uruchamianiem-systemu/
-
Logi nie wskazują na infekcję, tylko kosmetyka do wykonania.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jacek\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKU\S-1-5-21-2485347337-990669144-380460948-1000\..\SearchScopes\{4F99EA6C-40DF-416E-9091-F3CD94AE0B34}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=76B8DE07-E5CB-490A-90CE-BE5587C567C5&apn_sauid=0972074C-C6C1-4517-8412-FA07FB8B6ACE" IE - HKU\S-1-5-21-2485347337-990669144-380460948-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar
Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).
-
Logi nie wskazują na infekcję. Temat zmienia dział.
Odinstaluj tylko śmieci - Web Assistant 2.0.0.572 / Ask Toolbar / Contextual Tool Extrafind / LiveVDO plugin 1.3 / vShare Plugin / vShare.tv plugin 1.3
Przejedź system przez AdwCleaner z opcji Delete
Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
W kwestii problemu głównego uruchom system na czystym rozruchu i zobacz efekty: KLIK
-
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
:OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q=" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = "http://search.certified-toolbar.com?si=43251&tid=3623&ts=1364675309890&tguid=43251-3623-1364675288875-436820&st=chrome&q= [2013-03-31 10:42:38 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\searchplugins [2013-03-31 10:42:38 | 000,000,000 | ---D | C] -- D:\WINDOWS\System32\Extensions :Commands [emptytemp]
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Przez Panel sterowania odinstaluj: BrowserProtect / HomeTab 2.7 / Bundled software uninstaller / Browser Updater 1.1 / Delta toolbar / holasearch toolbar / Optimizer Pro v3.0 / Protected Search 1.1
Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
3. Uruchom AdwCleaner z opcji Usuń.
4. Uruchom SystemLook i w oknie wklej:
:regfind
certified
protected search
:folderfind
*certified*
protected search
:filefind
*certified*
protectedsearch*
protected search*
Klik w Look
5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z SystemLook.
-
MBAM możesz sobie zostawić, to dobry program i przyda się.
Infekcji w logach nie widać. Możesz wykonać tylko finalizację.
1. Użyj opcji Sprzątanie z OTL.
2. Opróżnij przywracanie systemu: KLIK
3. Zaktualizuj wymienione programy do najnowszych wersji:Internet Explorer (Version = 9.10.9200.16521)
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
"Mozilla Thunderbird 17.0.4 (x86 pl)" = Mozilla Thunderbird 17.0.4 (x86 pl)
Szczegóły aktualizacyjne: KLIK
4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. -
W folderze są moje pliki i mogę je przekopiować.
Więc zrób to i przekopiuj je we właściwe miejsce, a folder infekcyjny usuń z tego dysku.
Zastanawiam się tylko co z tymi 2 folderami RECYCLER i $RECYCLE.BIN. Czy mogę je bezpiecznie usunąć?
Tego nie ruszaj, to foldery kosza systemowego.
I czy już nie muszę się martwić o to, że zaraz znowu coś mi poznika?
Tego nigdy nie możesz być pewny.
-
Zapomniałem dodać że podczas zamykania systemu, mimo że żaden program nie pracuje system wyświetla okno informujące o wciąż działajacych procesach ( miejsce gdzie powinna znajdować się nazwa programu/ów jest puste), okno wyświetla się kilka sekund/ pół sekundy i znika, a podczas startu systemu w notatniku otwieta się plik "desktop"
Czy w trybie awaryjnym też występuje ten problem?
- Poprzednia
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- Dalej
- Strona 2 z 277
Browse to Save
w Dział pomocy doraźnej
Opublikowano · Edytowane przez picasso
19.05.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Po prostu trzeba być bardziej ostrożnym i tyle, innej rady nie ma. A wcale nie ma tutaj dużo śmieci patrząc na najnowsze logi i tylko drobnostka do wykonania.
1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.
Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.
2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
Otwórz Google Chrome i wejdź do Opcji następnie w zarządzeniu wyszukiwarkami przestaw bieżącą DeltaSearch na Google, po tym Deltę usuń z listy. Stronę startową przeglądarki też zmień najlepiej na pustą.
3. Uruchom AdwCleaner z opcji Usuń
4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)