Landuss

Jest pewna infekcja, która zajmuje się właśnie tworzeniem takich skrótów. Na dysku komputera nie widać nic aktywnego więc musisz pokazać raport z urządzenia przenośnego. Podepnij je i uruchom USBFix z opcji Listing i pokaż wynikowy raport.

ZASADY DZIAŁU się kłaniają do przeczytania. Wykonaj i wklej raporty z narzędzi OTL oraz GMER. Bez tego nie ruszymy. BTW: Ten film wcale nie pokazuje usuwania wszystkich składników tego wirusa, a problem z awaryjnym to też jego sprawka i to trzeba będzie skorygować.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\operaprefs.ini C:\Users\lukasz\AppData\Local\Codecs.exe C:\Users\lukasz\AppData\Local\jushed.exe C:\Users\lukasz\AppData\Local\nircmd.exe C:\Users\lukasz\AppData\Local\operaprefs.ini :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKU\S-1-5-18\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-2395255375-243238855-3511347079-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-02-17 20:15:49 | 000,000,000 | ---D | M] (vShare) -- C:\Users\lukasz\AppData\Roaming\mozilla\Firefox\Profiles\fiblce17.default\extensions\vshare@toolbar [2010-01-09 02:53:08 | 000,002,055 | ---- | M] () -- C:\Users\lukasz\AppData\Roaming\Mozilla\Firefox\Profiles\fiblce17.default\searchplugins\daemon-search.xml [2011-02-17 20:15:57 | 000,001,583 | ---- | M] () -- C:\Users\lukasz\AppData\Roaming\Mozilla\Firefox\Profiles\fiblce17.default\searchplugins\web-search.xml O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKU\S-1-5-21-2395255375-243238855-3511347079-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O4 - HKU\S-1-5-21-2395255375-243238855-3511347079-1000..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Infekcja wygląda na usuniętą. Potwierdź czy problemy minęły. Do wykonania czynności końcowe. 1. Użyj opcji Sprzątanie w OTL. 2. System nie ma pliku HOSTS więc trzeba to naprawić - Otwórz notatnik i wklej w nim: 127.0.0.1 localhost Plik zapisz jako HOSTS bez żadnego rozszerzenia np. na pulpit, a następnie przenieś go do folderu C:\Windows\system32\drivers\etc 3. Wykonaj obowiązkowo ważne aktualizacje oprogramowania: Internet Explorer (Version = 6.0.2900.3264) "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Szczegóły aktualizacyjne w tym wątku: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Wszystko jest już jak być powinno. Do wykonania czynności końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI Należy zainstalować w Windows SP1 i IE9 oraz zaktualizować pozostałe tu wyliczone: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Infekcja już usunięta, ale jeszcze jeden skrypt do wykonania: :Files C:\Users\asus\AppData\Local\Conduit C:\Users\asus\AppData\LocalLow\Conduit C:\Program Files (x86)\Conduit C:\Users\asus\AppData\LocalLow\PriceGong C:\Windows\SysNative\drivers\klin.dat C:\Windows\SysNative\drivers\klick.dat C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2612669] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\PriceGong] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Toolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}] :OTL IE - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found Do oceny nowy log z OTL i Ad-Remover

Masz system 64 bitowy a tego wcześniej nie wiedziałem bo nie wspomniałeś - Gmer to nie jest program dla takich systemów więc odpuść go już sobie. Teraz nastąpi usuwanie infekcji oraz szczątków po Kasperskym. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\update* C:\Windows\sysdriver32.exe C:\Windows\ufa C:\Windows\rpcminer C:\Windows\phoenix C:\Windows\av_ico C:\Windows\info1 C:\Windows\phoenix.rar C:\Windows\rpcminer.rar C:\Windows\unrar.exe C:\Windows\ufa.rar C:\Windows\geoiplist.rar C:\Windows\loader2.exe_ok C:\Windows\sysdriver32_.exe C:\Windows\SysNative\drivers\etc\hîsts C:\Windows\SysNative\drivers\klif.sys C:\Windows\SysNative\drivers\klim6.sys C:\Windows\SysNative\drivers\klbg.sys C:\Windows\SysNative\drivers\klmouflt.sys C:\Windows\SysNative\drivers\kl1.sys :Services ddservice srvsysdriver32 KLIF KLIM6 klbg klmouflt kl1 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=5a5a08970000000000004e5d603b3a7b&tlver=1.4.19.19&" IE - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com IE - HKU\S-1-5-21-1809622533-4270462956-2512580984-1000\..\URLSearchHook: {90b49673-5506-483e-b92b-ca0265bd9ca8} - Reg Error: Key error. File not found O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2:64bit: - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - File not found O2:64bit: - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - File not found O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (IEVkbdBHO Class) - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - File not found O2 - BHO: (FilterBHO Class) - {E33CF602-D945-461A-83F0-819F76A199F8} - File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [3058106.exe] C:\Users\asus\AppData\Local\Temp\3058106.exe () O4 - HKLM..\Run: [430421.exe] C:\Windows\Temp\430421.exe () O4 - HKLM..\Run: [6175255.exe] C:\Windows\Temp\6175255.exe () O4 - HKLM..\Run: [88375754-loader2.exe] C:\Windows\Temp\88375754-loader2.exe () O4 - HKLM..\Run: [9618876.exe] C:\Windows\Temp\9618876.exe () O4 - HKLM..\Run: [AVG_TRAY] File not found O4 - HKLM..\Run: [l1rezerv.exe] C:\Windows\l1rezerv.exe () O4 - HKLM..\Run: [setwallpaper] File not found O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe () O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe () O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-12-0\svchost.exe () O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [w_distrib.exe] C:\Windows\update.3\svchost.exe () O4 - HKLM..\Run: [WinampAgent] File not found O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe () O4 - Startup: C:\Users\asus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\IMVU.lnk = File not found O20 - AppInit_DLLs: (C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll) - File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędne sponsoringi - Conduit Engine / DAEMON Tools Toolbar / uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Brak podstaw do szukania infekcji bo logi jej nie wykazują, temat wędruje do innego działu. Na początek sprawdź co się stanie po odinstalowaniu Avasta. Firmowe narzędzie pomocnicze do tego celu - Avast Uninstall Utility. Jeśli to nie zda rezultatu to kolejne sprawdzenie - uruchomienie systemu w trybie awaryjnym i na czystym rozruchu: KLIK

Tutaj mogą być szerokie przyczyny - zarówno software jak i hardware. Trzeba po prostu posprawdzać w miarę możliwości. Na próbę odinstalować NODa. Zobaczyć też czy problem występuje w trybie awaryjnym i na czystym rozruchu: KLIK

Pewnie odwiedziny niepożądanej strony www lub pobranie jakiegoś pliku z niepewnego źródła. Wykonaj jeszcze czynności końcowe: 1. Wklej do systemowego Notatnika taki tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\IEBarProperties] [-HKEY_LOCAL_MACHINE\Software\Topala Software Solutions\OpenCandy] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie w OTL. 3. Drobne aktualizacje oprogramowania:KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Tu nie wolno dopisywać się do czyjegoś tematu. Wydzielam w osobny. Bez logów nie uzyskasz pomocy. Znasz zasady - logi z OTL oraz GMER. A skryptów tych samych wklejać nie wolno. Pod każdy komputer są nieco inne.

To są pliki ukryte. OTL przestawia opcje widoku dlatego je widzisz. Można to przestawić w opcjach widoku. Co to znaczy że nie działa? Jest jakiś błąd? Jeśli tak to podaj jaki. Podaj też o jaką przeglądarkę chodzi oraz sprawdź czy działają inne przeglądarki.

W takim razie Gmera sobie odpuścimy już. Wykonaj poniższe zalecenia. 1. Wklej do OTL drobny skrypt o takiej zawartości: :Files G:\WINDOWS\info1 G:\WINDOWS\phoenix.rar G:\WINDOWS\unrar.exe G:\WINDOWS\ufa.rar G:\WINDOWS\rpcminer.rar G:\WINDOWS\geoiplist.rar G:\WINDOWS\loader2.exe_ok Klik w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz już żadnych. W zamian za to użyj opcji Sprzątanie z OTL. 2. Odinstaluj prawidłowo niepotrzebny ComboFix - W Start > Uruchom > wklej i wywołaj polecenie "G:\Documents and Settings\sandra\Pulpit\ComboFix.exe" /uninstall 3. Wykonaj ważne aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Nieznędna aktualizacja Windows do stanu SP3 + IE8, zaktualizuj też Firefox: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. To by było na tyle i problem powinien zniknąć. .

Masz infekcję z Facebooka, która ostatnio pojawia się u nas na forum. Wykonaj poniższe czynności: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files G:\autorun.inf G:\WINDOWS\update.7.1 G:\WINDOWS\ufa G:\WINDOWS\phoenix G:\WINDOWS\update.5.0 G:\WINDOWS\update.2 G:\WINDOWS\av_ico G:\WINDOWS\update.1 G:\WINDOWS\update.tray-3-0-lnk G:\WINDOWS\update.tray-3-0 G:\WINDOWS\services32.exe :Services ddservice :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "G:\WINDOWS\services32.exe"=- "G:\WINDOWS\update.1\svchost.exe"=- "G:\WINDOWS\update.tray-3-0\svchost.exe"=- "G:\WINDOWS\update.2\svchost.exe"=- :OTL [2008-05-08 20:27:44 | 000,000,000 | ---D | M] (Winamp Toolbar) -- G:\Documents and Settings\sandra\Dane aplikacji\Mozilla\Firefox\Profiles\xcsqm9y7.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz brakujący log z GMER .

To nie jest wątpliwa wtyczka do meczów. Ja mecze oglądam bez tego typu wtyczki. Jeśli to by była tylko wtyczka do oglądania video, to nie robiła by tyle modyfikacji w ustawieniach FF i IE. To jest obiekt szkodliwy: KLIK. Nadal w pliku Firefoxa są widoczne szczątki. Przeglądarka musi być zamknięta podczas usuwania Ad-Remover. Ponów zadanie. .

Ad-Remover widzi jeszcze szczątki po vShare więc teraz użyj go w trybie usuwania, a następnie wykonaj ponowny skan i przedstaw raport.

W logach jedynie drobne śmieci, infekcji nie widać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Przemek\AppData\Local\Babylon C:\Users\Przemek\AppData\Roaming\Babylon :OTL IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=18776" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=18776" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=382950" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?AF=18776" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=2c750e6100000000000000241d698c83&tlver=1.4.31.2&instlRef=sst&affID=100370&q=" [2011-08-08 18:00:19 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Przemek\AppData\Roaming\mozilla\Firefox\Profiles\parugpc1.default\extensions\ffxtlbr@babylon.com [2011-04-14 21:11:43 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Przemek\AppData\Roaming\mozilla\Firefox\Profiles\parugpc1.default\extensions\vshare@toolbar [2011-02-25 17:17:20 | 000,001,583 | ---- | M] () -- C:\Users\Przemek\AppData\Roaming\Mozilla\Firefox\Profiles\parugpc1.default\searchplugins\web-search.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj wątpliwej reputacji wtyczkę vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Orange\AppData\Local\Temp*.html C:\Users\Orange\AppData\Local\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A5085820-3B69-41C5-B31B-9F7F79D3D733}] :OTL O2 - BHO: (Tango) - {A5085821-3B69-41C5-B31B-9F7F79D3D733} - C:\Windows\System32\4078.dll () O3 - HKLM\..\Toolbar: (Tango) - {A5085820-3B69-41C5-B31B-9F7F79D3D733} - C:\Windows\System32\4078.dll () :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Gmer wykazuje tutaj dodatkowo rootkita w MBR. W związku z tym zastosuj narzędzie Kaspersky TDSSKiller, kiedy wykryje infekcję wybierz opcję Cure (leczenie) i wklej wynikowy raport + nowy log z Gmer.

Powinien tu być jeszcze log z GMER, który jest logiem obowiązkowym. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (TrkNetsSvcs) O4 - HKLM..\Run: [CafeNews] File not found O35 - HKU\S-1-5-21-1606980848-73586283-839522115-1003..exefile [open] -- "C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\owe.exe" -a "%1" %* O37 - HKU\S-1-5-21-1606980848-73586283-839522115-1003\...exe [@ = exefile] -- "C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\owe.exe" -a [2011-08-16 23:09:37 | 000,014,040 | -HS- | M] () -- C:\Documents and Settings\Xp\Ustawienia lokalne\Dane aplikacji\la7v3jcksmew77p7q0gx2q04ry0m666480fcpcikwov6b4 [2011-08-16 23:09:37 | 000,014,040 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\la7v3jcksmew77p7q0gx2q04ry0m666480fcpcikwov6b4 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać niczego niepokojącego, a ComboFix usunął drobne spyware. Ale to nie było nic groźnego. Wykonaj jedynie poniższe zalecenia: 1. Odinstaluj prawidłowo ComboFix a więc wejdź w Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "F:\ComboFix.exe" /uninstall 2. Całkowicie odinstaluj Spybot Search & Destroy - program przestarzały, brak wsparcia dla twojego systemu 64-bit. 3. Wykonaj ważne aktualizacje oprogramowania: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "avast5" = avast! Free Antivirus "Opera 11.11.2109" = Opera 11.11 Adobe Flash Player 10.0.32.18 Szczegóły aktualizacyjne tutaj: KLIK. .

Póki co nic nie wskazuje tu na infekcję. Standardowo sprawdź zachowanie systemu w trybie awaryjnym oraz na czystym rozruchu: KLIK. Nie wykluczone, ze to może być sprawka samego NODa...

Log nie jest robiony według ustawień z naszego forum. Następnym razem log wykonaj na ustwieniach zalecanych u nas a więc wszystkie opcje ustawione na "Użyj filtrowania" i bez wklejania dodatkowych warunków. Windows Defender nie jest potrzebny dla systemu jeśli masz antywirusa więc jego pozostawimy wyłączonego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Z:\Windows\tasks\QBEF.job Z:\Windows\SysWow64\verifier6.dll :OTL O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O4 - HKLM..\Run: [Pinnacle WebUpdater] File not found O4 - HKLM..\Run: [PMCRemote] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja usunięta, można przejść do czynności końcowych: 1. Wklej do systemowego notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_USERS\S-1-5-21-1757981266-920026266-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie w OTL. 3. Wykonaj obowiązkowe aktualizacje Firefox, Java i Adobe Reader:KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

Teraz zaznaczyłeś, ale wcześniej ustawiłeś na "Wszystko" i nie zauważyłem w tym ogromnym logu kilku wpisów, teraz log jest poprawny. Wykonaj jeszcze jeden skrypt do OTL: :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - HKLM..\Run: [GProton] File not found O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\Maria\Dane aplikacji\lbisov.exe) - File not found Do oceny nowy log z OTL (extras juz nie pokazuj).