Landuss

Nie rozumiem pytania. Przecież dostałeś linka do narzędzia. Poza tym to nie jest log z Ad-Remover. Masz odpalić program i kliknąć w opcję Scan (skanowanie). Wtedy powstanie raport, który zaprezentujesz.

Ten log sobie juz darujemy. A gdzie log z Ad-Remover? Dołącz i przejdziemy dalej.

Wygląda na to, ze program usunął infekcję, choć nie wkleiłeś loga z pierwszego uruchomienia. Gdybyś jednak znalazł na dysku log z pierwszego uruchomienia to możesz go pokazać. Jednak to jeszcze nie koniec i potrzebne są poprawki. Tym razem zrobimy to już przez OTL. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\JA\AppData\Local\be17c5cc C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll C:\Users\JA\AppData\Roaming\Mozilla\Firefox\Profiles\n8ufanzy.default\searchplugins\startsear.xml C:\Users\JA\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKU\S-1-5-21-3455257864-3559882727-3838934481-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" O8 - Extra context menu item: Block frame with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_frame" File not found O8 - Extra context menu item: Block image with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_image" File not found O8 - Extra context menu item: Block link with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_link" File not found O8 - Extra context menu item: Don't filter page with Ad Muncher - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_exclude" File not found O8 - Extra context menu item: Report page to the Ad Muncher developers - "http://www.admuncher.com/request_will_be_intercepted_by/Ad_Muncher/browserextensions.pl?exbrowser=ie&exversion=2.0&pass=SU31D874&id=menu_ie_report" File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj wątpliwej reputacji wtyczkę vShare.tv plugin 1.3 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Musisz wykonać dalsze punkty. Operacja z Kasperskym to dopiero cząstka usuwania. Na razie nie przejmuj sie zadnymi instalacjami, to się zrobi na końcu po usuwaniu. Dopóki działa infekcja nic z tym nie zrobisz. Czekam na raporty.

Logi czyste i to nie wygląda na infekcję. Temat zmienia dział. Na pierwszy rzut oka podejrzanym może być sam Kaspersky. Na próbę odinstalować i sprawdzić efekty.

DummyCreator to nie jest narzędzie do robienia loga, tylko do wspomagania właśnie przy iniekcji Sirefef czyli rootkicie ZeroAccess jeśli jest problem z jego usunięciem. 1. Wykonaj skan narzędziem Kaspersky TDSSKiller i przy wykryciu pozycji ZeroAccess wybierz opcję Cure (leczenie). 2. Użyj zgodnie z wytycznymi narzędzia ComboFix 3. Wklejasz log z ComboFix i raport z Kasperskyego oraz wykonujesz logi z OTL

Logi z OTL powinny być dwa. Podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Poza tym zabrakło też obowiązkowego loga z Gmer Na pierwszy rzut oka nie wygląda to jednak na infekcję, tym bardziej że piszesz o trybie awaryjnym, w którym problemu nie ma. To by mogło znaczyć ze przeszkadza coś w trybie normalnym. Na pierwszy ogień w takiej sytuacji zawsze idzie oprogramowanie zabezpieczające czyli u ciebie Avast - na próbę do odinstalowania. Jeszcze w kwestii bluescreenu i restartu zdebuguj minidump, punkt 5: KLIK

Moim zdaniem to nie przez ComboFix masz problem tylko tutaj po prostu jest infekcja, którą częściowo naruszył ComboFix, ale nie usunął całkowicie. Trzeba zrobić poprawkę. 1. Wklej do notatnika ten tekst: NetSvc:: afbbkdctm Driver:: afbbkdctm Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Wejdź w panel usuwania programów i odinstaluj sponsoringi - Conduit Engine / Softonic-Polska Toolbar 3. Pokazujesz nowe logi z ComboFix, OTL oraz z AD-Remover z opcji Scan.

Z DDS to są za słabe logi. Prawdopodobnie to wina rootkita, że nie można uruchomić OTL, ale wykonaj naprawę tego problemu. Uruchom GrantPerms i w oknie wklej: ścieżka do zablokowanego OTL (jako ściezkę wpisujesz lokalizacje OTL jaka jest u Ciebie) Zastosuj opcję Unlock. Po tej akcji powinien ruszyć OTL bez problemu.

ComboFix skasował obiekty infekcji. Spróbuj jeszcze teraz uruchomić OTL i wkleić z niego logi, aby można było zobaczyć co tam jest jeszcze do zrobienia kosmetycznie.

Ale ja ci nie kazałem żadnych dodatkowych warunków wpisywać do OTL i nie rób tego bo nie jest to potrzebne. ComboFix skasował większość obiektów infekcji oraz niesłusznie wyciął cały program monitujący REFOG Personal Monitor więc jeśli instalowałeś go celowo, musisz go przeinstalować. Wykonaj jeszcze następujące czynności: 1. Wklej do notatnika ten tekst: File:: c:\windows\new111.exe c:\windows\unrar.exe c:\windows\sysdriver32_.exe c:\windows\sysdriver32.exe c:\windows\Tasks\At1.job c:\windows\Tasks\At2.job c:\windows\Tasks\At3.job c:\windows\Tasks\At4.job Folder:: c:\windows\ufa c:\windows\update.tray-9-0 c:\windows\update.tray-9-0-lnk c:\windows\update.tray-5-0 c:\windows\update.tray-5-0-lnk Driver:: srvbtcclient srvsysdriver32 Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "tray_ico0"=- "tray_ico2"=- "2113908.exe"=- "sysdriver32.exe"=- "sysdriver32_.exe"=- "6719580.exe"=- "4775898.exe"=- [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\update.tray-5-0\\svchost.exe"=- "c:\\WINDOWS\\update.tray-9-0\\svchost.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" 2. Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Pokazujesz nowy log z ComboFix i nowe logi z OTL.

Objawy, które u ciebie występują oraz to co wspominasz na temat wuauclt.exe + folder f9a687bd w Dane aplikacji wskazują na rootkita ZeroAccess choć logi, które dałeś nie dają na to gwarancji. Rozpocznij od użycia Kaspersky TDSSKiller. Jeśli coś wykryje, wybierz opcję Skip (pomiń) a tu wklej tylko raport.

To by było na tyle i nie ma tu nic więcej do roboty. Użyj jeszcze opcji Sprzątanie z OTL oraz opróżnij foldery przywracania systemu: KLIK

Po co dajesz logi z RKill i Kaspersky TDSSKiller? Nie prosiłem cie o takie. Usuwam je z posta bo są zbędne. Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: :Files C:\Program Files\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4CE32B4F-9F02-4FA8-B680-F15BD3A8325B}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}] Klikasz w Wykonaj skrypt. Do wglądu dajesz już tylko nowy log z Ad-Remover.

Jest w porzadku. Na koniec wykonaj drobne sprawy. 1. Użyj opcji Sprzątanie z OTL oraz opcji Clean z Ad-Remover 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Opróżnij folder przywracania systemu: KLIK

Nie bardzo rozumiem dlaczego u ciebie jest taki problem. Sprawdź czy działa np. Avenger. Jeśli tak to podam instrukcję usuwające.

Pliku nie widać nigdzie więc widocznie został usunięty. Teraz jeszcze można tu usunąć sponsoringowe toolbary tak przy okazji. 1. Wejdź w panel usuwania programów i odinstaluj niepotrzebne pozycje - Babylon toolbar on IE oraz vShare Plugin 2. Następnie uruchamiasz AD-Remover z opcji Scan i wklejasz wynikowy raport.

To wygląda na infekcję dlatego przy podpiętym urządzeniu przenośnym uruchom USBFix z opcji Listing i pokaż wynikowy raport. To musisz sprecyzować o jakie pliki chodzi i w jakiej lokalizacji (ścieżce dostępu)

W logach brak śladu aktywnej infekcji. Jedynie do posprzątania sponsoringowe toolbary i tym się zajmiemy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1220945662-1580818891-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT3031817" O4 - Startup: C:\Documents and Settings\Bartek\Menu Start\Programy\Autostart\_uninst_73203391.lnk = File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odisntaluj zbędne sponsoringi - Brothersoft Toolbar / Conduit Engine / FreeSoundRecorder Toolbar / SFT_Polska Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\hoko.dll C:\WINDOWS\System32\hguard.dll C:\WINDOWS\System32\upx202-adtp.exe C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\1wuyua4b.default\searchplugins\conduit.xml C:\Documents and Settings\Krzysztof\Dane aplikacji\Mozilla\Firefox\Profiles\1wuyua4b.default\searchplugins\search.xml :OTL O4 - HKCU..\Run: [ABBYY Screenshot Reader Retail] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj niepotrzebne sponsoringi - Conduit Engine / QuickStores-Toolbar 1.1.0 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Nie wygląda to na infekcje bo logi są czyste. Pierwszy podejrzany to Comodo więc na próbe bym go odinstalował w celu sprawdzenia efektów. I przy okazji odinstaluj vShare.tv plugin 1.3. To wtyczka wątpliwej reputacji. Temat zmienia dział.

ComboFixa na start nie powinieneś tykać i poza tym nie takich logów tutaj wymagamy. Zacznij od dostosowania się do zasad tego działu i dołacz logi z OTL + Gmer: KLIK

Infekcja pomyślnie usunięta. Można powoli kończyć sprawę. 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Jarek\Pulpit\ComboFix.exe" /uninstall co prawidłowo odinstaluje narzędzie i opróżni foldery przywracania systemu. 2. Obowiązkowo do aktualizacji Java oraz IE do najnowszych wersji: KLIK 3. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine

RSIT to jest troche słaby log w dodatku tym narzędziem nie można prowadzić procesu usuwania. W twoim wypadku zastosuj ComboFix i wklej wynikowy log. Następnie spróbuj po tym działaniu uruchomić OTL i załączyć logi.

Wygląda na to, ze jest już dobrze. Wykonaj jeszcze poniższe zalecenia: 1. Odinstaluj prawidłowo ComboFix - W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\SKLEP\Pulpit\ComboFix.exe" /uninstall 2. Zaktualizuj obowiązkowo poniższe oprogramowanie: "{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6 "{AC76BA86-7AD7-1033-7B44-A71000000002}" = Adobe Reader 7.1.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.23)" = Mozilla Firefox (3.6.23) Instrukcje aktualizacyjne: KLIK Regularne usuwanie śmieci, defragmentacja dysku i możliwie jak najmniej uruchomionych procesów/programów w tle.