Landuss

To że kiedyś nie sprawiał problemów nie znaczy, że tym razem nie zaczał ich sprawiać. Wiele przypadków było takich na forum. A wyłączenie to nie jest sposób na sprawdzanie. Program należy całkowicie odinstalować i wtedy można dopiero oceniać.

Logi wskazują, że może tu być infekcja ZeroAccess. Rozpocznij od użycia ComboFix i wklej wynikowy raport. Po nim zrób nowe logi z OTL i też załącz do posta.

Rzeczywiście w logach nie widać nic podejrzanego. Ja na twoim miejscu odinstalowałbym na próbę samego Avasta i sprawdził czy to aby on nie powoduje tych problemów. Na podstawie obecnych logów to własnie program zabezpieczający jest największym podejrzanym. Temat zmienia dział.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-776561741-1482476501-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&affID=100471&mntrId=4cea9985000000000000101111111111" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=4cea9985000000000000101111111111&tlver=1.4.31.2&instlRef=sst&affID=100471&q=" [2011-08-18 07:48:05 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jetlat0g.default\extensions\ffxtlbr@babylon.com [2011-02-15 20:38:02 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jetlat0g.default\extensions\vshare@toolbar [2011-06-27 18:25:15 | 000,002,569 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jetlat0g.default\searchplugins\askcom.xml [2011-02-15 20:38:09 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\jetlat0g.default\searchplugins\web-search.xml [2011-08-18 07:49:10 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-776561741-1482476501-725345543-1004..\Run: [EA Core] "C:\Program Files\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-776561741-1482476501-725345543-1004..\Run: [PCSpeedUp] "C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe" File not found O37 - HKU\S-1-5-21-776561741-1482476501-725345543-1004\...exe [@ = 2Ag] -- "C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\mdt.exe" -a "%1" %* [2011-12-28 20:46:03 | 000,015,614 | -HS- | M] () -- C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\08qvo70ej1vc480dm22e64 [2011-12-28 20:46:03 | 000,015,614 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\08qvo70ej1vc480dm22e64 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Na dźwięk to ja tutaj nie bardzo mu coś mogę doradzić. To problem ogólny i nie wiadomo tak naprawdę o co tutaj chodzi. Infekcja została usunięta tak czy inaczej i zostaje tylko wykonać kroki końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Otwórz w notatniku plik prefs.js z poniższej lokalizacji: C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\FireFox\Profiles\g9dx5g2c.default\Prefs.js Następnie wytnij linijki od vshare: Line found: user_pref("vshare.install.date", "1316362796"); Line found: user_pref("vshare.install.finished", "1.0.0"); Line found: user_pref("vshare.install.fresh", "false"); Line found: user_pref("vshare.install.guid", "{4a823c92-c019-4314-957b-584f61ffea07}"); Line found: user_pref("vshare.install.istoolbarhp", true); Line found: user_pref("vshare.install.istoolbarsearch", true); Line found: user_pref("vshare.install.newtab", false); Zapisz zmiany w pliku. 3. Krytyczny stan systemu i zainstalowany tylko SP2. Tym samym system odcięty od ważnych aktualizacji MS. Szybko należy zamontować SP3. Wszystko co wymienione poniżej wymaga aktualizacji do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22) Szczegóły aktualizacyjne: KLIK 4. Na koniec opróżnij folder przywracania systemu: KLIK

Z bluescreenami zgłoś się do działu Hardware. Tutaj to by było wszystko. Kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Opróżnij folder przywracania systemu: KLIK

Teraz wykonane jak należy a więc poprzednio musiałaś coś źle kopiować stąd był problem. Ręcznie poszło bez problemu. Opcje ukrytych możesz przestawić ponownie tak jak były. Użyj na koniec opcji Sprzątanie z OTL. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine. To by było na tyle.

Pokaż nowy log z USBFix

To jest obojętne i zależy tylko od ciebie. Zrób tak jak masz ochote.

Foldery są jak to mówisz "przezroczyste" bo nadal są ukryte tylko masz opcję ustawioną tak, że te ukryte widzisz, ale gdy opcje przestawisz to na nowo nie będą one widoczne. Jeszcze raz spróbuj to zrobić tylko inaczej. Wpiszesz wszystko z ręki. Wciśnij z klawiatury kombinację klawisz z flagą Windows + R i w oknie, które się otworzy wpisz cmd a następnie wpisz poniższy ciąg: H: ENTER attrib /d /s -s -h H:\* i ENTER Zwróć uwagę na spację - podaje dla ułatwienia - attrib<spacja>/d<spacja>/s<spacja>-s<spacja>-h<spacja>H:\* Gdyby był jakiś błąd to daj znać. Następnie wykonujesz nowy log z USBFix do wglądu.

Tym razem zadanie pomyślnie wykonane i foldery pomyślnie się uwidoczniły. Można się zabrać za pozostałe drobne sprawy. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files (x86)\StartSearch plugin :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=a16d75af-3478-11e1-a5cc-00197001891e" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=a16d75af-3478-11e1-a5cc-00197001891e" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.100005 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.3.0244 FF - prefs.js..extensions.enabledItems: AstroToolbar@toolbarnet.com:1.1.7.0234 [2011-06-27 16:19:23 | 000,000,000 | ---D | M] ("Astroburn Toolbar") -- C:\Users\Użytkownik\AppData\Roaming\mozilla\Firefox\Profiles\w8fjtuq0.default\extensions\AstroToolbar@toolbarnet.com [2011-06-07 21:26:00 | 000,002,071 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\w8fjtuq0.default\searchplugins\absearch-search.xml [2011-08-06 10:12:06 | 000,002,568 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\w8fjtuq0.default\searchplugins\askcom.xml [2011-06-27 18:25:11 | 000,002,055 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\w8fjtuq0.default\searchplugins\daemon-search.xml [2011-01-22 12:06:10 | 000,001,742 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\w8fjtuq0.default\searchplugins\search-the-web.xml [2012-01-01 14:00:57 | 000,000,792 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\w8fjtuq0.default\searchplugins\startsear.xml [2011-02-12 23:11:28 | 000,001,583 | ---- | M] () -- C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\w8fjtuq0.default\searchplugins\web-search.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

ComboFix rzeczywiście usunął infekcje, ale to nie znaczy, że nie ma tu nic do roboty jeszcze. Jak już tu jesteś to zrobimy parę rzeczy. 1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Conduit Engine / IncrediMail MediaBar 4 Toolbar 2. Zaprezentuj log z AD-Remover z opcji Scan

Niestety atrybuty się nie naprawiły. Ponów fix bat o tej zawartości: J: attrib /d /s -s -h J:\* pause Nowy log z USBFix do wglądu. I nadal nie są odinstalowane sponsoringi, o których wspominałem (!)

Jest zdecydowanie lepiej, ale to jeszcze nie koniec. Wykonaj kolejny skrypt do OTL o tej zawartości: :Files C:\Program Files\Conduit C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Conduit C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions\{3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF}] :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://mystart.incredimail.com/" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found O4 - HKLM..\RunOnce: [] File not found NetSvcs: gmijjswr - File not found Do pokazania dajesz nowy log z OTL (bez ekstras) tak jak poprzednio na dodatkowym warunku oraz log z Ad-Remover. Podsumuj też jak działa system

Ale ty sie nie sugeruj tym co ja napisałem w tamtym temacie. Skup się na swoim temacie. U Ciebie spróbujemy inaczej. Tam zaleciłem inny sposób bo podstawowy nie chce zadziałać co nie znaczy, ze u ciebie będzie tak samo. 1. Wklej do Notatnika tekst: J: del /s J:\*.lnk attrib /d /s -s -h J:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Przejdź w panel usuwania programów i odinstaluj zbędne sponsoringi - DEAMON Tools Toolbar / StartSearchToolBar 3. Prezentujesz nowy log z USBFix, z OTL oraz AD-Remover z opcji Scan.

Przecież napisał ci wyżej @Nights. Prawy klawisz myszy na folderze, Właściwości i dalej to co masz zalecone.

W logach brak śladu aktywnej infekcji. Temat zmienia dział. Zacznij od sprawdzenia systemu na czystym rozruchu: KLIK BTW: Odinstaluj sponsoringowe paski - Facemoods Toolbar oraz Skin Pack Toolbar

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\5C.exe (Thorsten Blauhut "http://www.desksave.de") O4 - HKCU..\Run: [Microsoft DLL Registration] C:\Documents and Settings\Właściciel\Dane aplikacji\regsrv64.exe () O4 - HKCU..\Run: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\5C.exe (Thorsten Blauhut "http://www.desksave.de") O4 - HKLM..\RunOnce: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\5C.exe (Thorsten Blauhut "http://www.desksave.de") O4 - HKCU..\RunOnce: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\5C.exe (Thorsten Blauhut "http://www.desksave.de") O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Windows Task Services = C:\Documents and Settings\Właściciel\Dane aplikacji\5C.exe (Thorsten Blauhut http://www.desksave.de) O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Task Services = C:\Documents and Settings\Właściciel\Dane aplikacji\5C.exe (Thorsten Blauhut http://www.desksave.de) [2012-01-04 10:17:55 | 000,098,304 | ---- | C] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\5D.exe [2012-01-04 09:42:51 | 000,098,304 | ---- | C] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\47.exe [2012-01-03 16:29:03 | 000,098,304 | ---- | C] () -- C:\Documents and Settings\Właściciel\Dane aplikacji\38.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To nie jest log z USBFix z opcji Listing. Proszę wykonać go jeszcze raz z prawidłowej opcji. I nie stosuj cudzych skryptów bo do każdego przypadku pisze się indywidualnie mimo tego samego problemu.

Wejdź w panel sterowania i przełącz na widok klasyczny (jeśli masz inny) a następnie wejdź w opcje folderów > zakładka widok i zaznacz tam "Pokaż ukryte pliki i foldery" oraz odznacz "Ukryj chronione pliki systemu operacyjnego". Po zatwierdzeniu zmian foldery powinnaś ujrzeć. Co zrobić dalej masz napisane wyżej.

Nadal to samo i nie wiem dlaczego. Czy aby nie ma tam jakiegoś błędu? Czy na pewno dobrze wklejasz polecenie? Powtórz to.

Jest lepiej bo skróty zniknęły, ale ciągle poukrywane są właściwe foldery. Powtórz część polecenia o tej treści: H: attrib /d /s -s -h H:\* pause Do oceny nowy log z USBFix

Niestety nie powiodło się to do końca więc poprawka tym razem inną metodą. Otwórz systemowy notatnik i wklej do niego taki tekst: H: attrib /d /s -s -h H:\* del /s H:\*.lnk pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Do obejrzenia dajesz nowy log z USBFix.

Tutaj wygląda dobrze natomiast wykonaj dla pewności nowy log z USBFix tak jak poprzednio przy podpiętym urządzeniu przenośnym.

Normalnie podepnij dysk do komputera tylko nie wchodź na niego bo wtedy może wykonać się infekcja. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Poza tym dołącz też podstawowe logi, których tutaj wymagamy czyli z OTL + Gmer: KLIK