Landuss

Infekcja wygląda na pomyślnie usuniętą. Wykonaj poniższe czynności: 1. Pousuwaj wszystkie skróty (pliki .LNK) z folderu C:\Documents and Settings\Łukasz (to prawdopodobnie pochodna infekcji) 2. Użyj opcji Sprzątanie w OTL. 3. Brakuje ci pliku HOSTS: Hosts file not found Wklejasz do Notatnika taki tekst: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia. Plik wstaw do folderu C:\Windows\System32\drivers\etc 4. Zaktualizuj Javę i Firefoxa: KLIK. 5. Wyzeruj stan Przywracania systemu: KLIK

Ale uruchamiasz Gmer przy aktywnym emulatorze wirtualnych napędów sptd: DRV - [2010-10-08 12:22:16 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\windows\System32\Drivers\sptd.sys -- (sptd) Jest wyraźnie napisane, że emulację trzeba zdjąć na czas użytkowania Gmer: KLIK 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Eng7 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2405280&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.2 [2009-12-22 17:19:31 | 000,000,000 | ---D | M] (Softonic-Eng7 Toolbar) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\extensions\{414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} [2011-01-13 22:27:56 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\extensions\vshare@toolbar [2011-03-02 14:28:52 | 000,002,558 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\searchplugins\askcom.xml [2009-09-30 11:08:32 | 000,000,888 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\searchplugins\conduit.xml [2011-02-07 18:53:10 | 000,001,592 | ---- | M] () -- C:\Documents and Settings\Łukasz\Dane aplikacji\Mozilla\Firefox\Profiles\vbz96xf0.default\searchplugins\web-search.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [WinampAgent] File not found O4 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003..\Run: [haire] File not found O4 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003..\Run: [R8388QA8U8] C:\Documents and Settings\Łukasz\Ustawienia lokalne\Temp\Evr.exe (videosoft) O20 - HKU\S-1-5-21-790525478-1085031214-1801674531-1003 Winlogon: Shell - (C:\Documents and Settings\Łukasz\Dane aplikacji\hotfix.exe) - File not found [2011-05-08 16:56:45 | 000,000,288 | -H-- | M] () -- C:\windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-05-08 16:50:03 | 000,000,288 | -H-- | M] () -- C:\windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-05-08 16:32:23 | 000,000,248 | -H-- | M] () -- C:\windows\tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job [2011-05-08 16:31:41 | 000,000,314 | -HS- | M] () -- C:\windows\tasks\dbswmj.job [2011-05-08 16:17:14 | 000,249,856 | RHS- | M] () -- C:\Documents and Settings\Łukasz\cuurau.exe [2011-05-08 16:17:12 | 000,000,659 | RHS- | M] () -- C:\Documents and Settings\Łukasz\autorun.inf [2011-05-08 15:27:34 | 000,249,856 | RHS- | M] () -- C:\Documents and Settings\Łukasz\hairex.exe [2010-06-27 19:57:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz\Dane aplikacji\OpenCandy [2011-05-08 16:54:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Łukasz\Dane aplikacji\PriceGong :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z apletu usuwania programów odinstaluj następujące pozycje - Conduit Engine / Softonic-Eng7 Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Są na liście dodaj/usuń programy czyli na Windows 7 to się nazywa "Programy i funkcje" w panelu sterowania w gałęzi 32 bitowej: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "conduitEngine" = Conduit Engine "uTorrentBar Toolbar" = uTorrentBar Toolbar Poza tym infekcja usunięta i wykonaj jeszcze poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowo aktualizacje Windows 7 Service Pack 1 + Internet Explorer 9 3. Wyzeruj stan przywracania systemu: KLIK

To by było właściwie na tyle bo nic tu więcej nie ma do roboty. Użyj opcji Sprzątanie z OTL i wyzeruj stan przywracania systemu poprzez jego tymczasowe wyłączenie: KLIK Czy jest jeszcze jakiś problem? Jeśli nie - temat uznaje za zakończony.

W porządku, zeszło co trzeba. Wykonaj jeszcze następujące zalecenia na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Obowiązkowo zainstaluj SP1 dla Windows (KLIK) oraz zaktualizuj Avast 3. Na koniec wyzeruj stan Przywracania systemu: KLIK.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-05-08 11:14:55 | 000,001,860 | ---- | M] () -- C:\Users\OEM\AppData\Roaming\Mozilla\Firefox\Profiles\v6px60uu.default\searchplugins\search.xml O4 - HKLM..\Run: [csrs] C:\ProgramData\csrs.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [svhost] C:\Program Files (x86)\Common Files\svhost.exe () O4 - HKLM..\Run: [wincmd] File not found O4 - HKLM..\Run: [winloqon] C:\ProgramData\winloqon.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKU\S-1-5-21-3373441908-4139635629-1053190932-1000..\Run: [browserChoice] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek sponsoringowy - uTorrentBar Toolbar + Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

W logach brak śladu infekcji i temat zostaje przeniesiony do innego działu. Twój system ma powycinane niektóre usługi, ale ktoś zapomniał o tym, że one będą chciały się uruchamiać i stąd powtarzające sie błędy w dzienniku zdarzeń: SRV - File not found [Auto | Stopped] -- -- (wscsvc) SRV - File not found [On_Demand | Stopped] -- -- (CiSvc) SRV - File not found [On_Demand | Stopped] -- -- (ALG) + Error - 2011-05-07 14:49:24 | Computer Name = COA12 | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi Usługa bramy warstwy aplikacji z powodu następującego błędu: %%2 Error - 2011-05-08 04:33:04 | Computer Name = COA12 | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi helpsvc z powodu następującego błędu: %%2 Error - 2011-05-08 04:33:04 | Computer Name = COA12 | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi wscsvc z powodu następującego błędu: %%1083 Przy okazji przestawimy te usługi aby nie próbowały się więcej uruchamiać. Otwórz Notatnik i wklej do niego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc] "Start"=dword:00000004 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Odinstaluj także zbędny pasek sponsoringowy BitTorrentBar Toolbar + Conduit Engine W kwestii głównego problemu związanego z przeglądarkami stawiam na kodeki. Masz wgraną bardzo dużą paczkę kodeków K-Lite a nie zawsze dużo znaczy dobrze. Na próbę odinstaluj obecne kodeki a w zamian tego zainstaluj lżejszą paczkę CCCP

W takim razie to na pewno nie jest problem infekcji i temat zostaje przeniesiony do działu Sieci. Pytanie czy aby nie masz w czasie występowania problemu włączonego klienta sieci Torrent? Możesz też spróbować zresetować ustawienia sieci. Otwórz Notatnik i wklej do niego taki tekst: ipconfig /flushdns netsh firewall reset netsh winsock reset netsh int ip reset c:\resetlog.txt pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik Zresetuj system.

Kwarantanna ESET bez znaczenia, wszystko w lokalizacjach tymczasowych, które wyczyścisz. Nie do końca zostało to usunięte z ustawień przeglądarki dlatego wykonasz prosty skrypt usuwający to oraz lokalizacje tymczasowe. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2146619317-1307163072-2941338431-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2801948" IE - HKU\S-1-5-21-2146619317-1307163072-2941338431-1000\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultthis.engineName: "NCH EN Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&q=" [2011-03-21 15:51:06 | 000,000,915 | ---- | M] () -- C:\Users\GrS\AppData\Roaming\Mozilla\Firefox\Profiles\fvrpe2nu.default\searchplugins\conduit.xml O3 - HKU\S-1-5-21-2146619317-1307163072-2941338431-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - Startup: C:\Users\GrS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\The Matrix_ Path of Neo Registration.lnk = File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Czy ty nie widzisz tematów przyklejonych na forum? Masz tam wszystko opisane. Prosze wykonać logi z OTL: KLIK

Rootkit usunięty więc teraz weźmy się za pozostałe drobnostki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (ALSysIO) FF - prefs.js..browser.search.selectedEngine: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-03-26 00:05:34 | 000,000,000 | ---D | M] (Ask Toolbar) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\7qdjgkjz.default\extensions\toolbar@ask.com [2011-04-30 19:59:05 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Michał\AppData\Roaming\mozilla\Firefox\Profiles\7qdjgkjz.default\extensions\vshare@toolbar [2011-04-30 19:59:14 | 000,001,583 | ---- | M] () -- C:\Users\Michał\AppData\Roaming\Mozilla\Firefox\Profiles\7qdjgkjz.default\searchplugins\web-search.xml O4 - HKLM..\Run: [] File not found O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - CLSID or File not found. [2011-05-04 21:41:00 | 000,000,446 | -H-- | M] () -- C:\Windows\tasks\Norton Security Scan for Michał.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wygląda na to, że masz rootkita TDL4 w MBR. W takim wypadku przeskanuj się narzedziem Kaspersky TDSSKiller. Kiedy wykryje rootkita zaznacz opcję Cure (leczenie) i wklej wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4076296467-343653988-2476937355-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-04-15 21:05:25 | 000,000,000 | ---D | M] (Sopcast Ask Toolbar) -- C:\Users\Pawel i Gosia\AppData\Roaming\mozilla\Firefox\Profiles\e82rg9dx.default\extensions\toolbar@ask.com [2011-05-07 15:22:36 | 000,002,568 | ---- | M] () -- C:\Users\Pawel i Gosia\AppData\Roaming\Mozilla\Firefox\Profiles\e82rg9dx.default\searchplugins\askcom.xml [2011-05-07 22:17:20 | 000,001,860 | ---- | M] () -- C:\Users\Pawel i Gosia\AppData\Roaming\Mozilla\Firefox\Profiles\e82rg9dx.default\searchplugins\search.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Powinno być już dobrze, a konfiguracje w przeglądarkach musisz sam ręcznie wprowadzić. Wklej jeszcze do Notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Poza tym użyj opcji CleanUp z OTS. Prosi się aktualizacja: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) Windows 7 Service Pack 1 + Internet Explorer 9 Na koniec wyzeruj stan przywracania systemu: KLIK

Opis jak sporządzić logi z OTL masz na forum: KLIK

ComboFix to nie jest narzędzie do używania kiedy nam się podoba i taki log nic nam nie powie. Pierwsze co widzę jest to, że masz mocno modyfikowany system i nie jest to zwykły XP tylko jakaś przeróbka. Na takich systemach często dzieją się rózne rzeczy i nie wiadomo potem jak się za co zabrać. Zacznij od wykonania logów z OTL + Gmer

1. Uruchom OTS i w oknie Paste Fix Here wklej: [Custom Items] :Files c:\programdata\Partner c:\users\ja\AppData\Local\searchplugins :Reg [HKEY_USERS\S-1-5-21-1205846940-2931974325-3090693613-1001\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}] [-HKEY_LOCAL_MACHINE\Wow6432Node\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}] [Empty Temp Folders] [EmptyFlash] Rozpocznij usuwanie przyciskiem Run Fix. Po restarcie komputera zostanie podany log. 2. Przejdź do apletu usuwania programów i odinstaluj zbędne pozycje Google Toolbar / Lexmark Pasek narzedzi 3. Prezentujesz log z OTS powstały z usuwania oraz log ze skanu.

O ile dobrze rozumiem to wszelkie tego typu rzeczy są umieszczane w folderze C:\Windows\WinSxS, ale nie opróżniaj czasami tego folderu gdyż tam są elementy potrzebne do prawidłowego działania systemu. Są tam też właśnie kopie przywracania systemu dlatego o nim wspomniałem. Folder ten może mieć naprawdę olbrzymie rozmiary. Na Windows 7 po prostu warto zostawić sobie więcej miejsca na partycję systemową najlepiej około 40GB. A jaki błąd występuje? Może to być też powiązane właśnie z małą ilością miejsca...

W logach brak śladu aktywnej infekcji i nie ma tutaj tym bardziej żadnego rootkita. Wykonaj poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. Odinstaluj prawidłowo ComboFix - W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\HIP and Osi\Pulpit\ComboFix.exe" /uninstall 3. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner 4. Obowiązkowo zaktualizuj system oraz IE - Service Pack 3 + Internet Explorer 8

ComboFix to nie jest program dla 64 bitowych systemów mimo, że pozornie działa poprawnie. Jego użycie było niepotrzebne. Masz wersję qooqlle, która blokuje uruchamianie OTL. Spróbuj zobaczyć czy teraz uruchomisz OTL, a jeśli nie to wykonaj log z OTS

HijackThis to przestarzałe narzędzie z którego się już nie korzysta. Log usuwam i ty z programem zrób to samo w swoim systemie. W logach nie widać infekcji choć nie dodałeś obowiązkowego loga z Gmer pod kątem rootkitów. 1. Wykonaj skrypt kosmetyczny do OTL - w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1708537768-1292428093-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14542" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-11-25 21:36:12 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Documents and Settings\Mirek\Dane aplikacji\Mozilla\Firefox\Profiles\sxktiarb.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} [2010-12-10 19:42:29 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Mirek\Dane aplikacji\Mozilla\Firefox\Profiles\sxktiarb.default\extensions\vshare@toolbar [2010-12-12 11:22:09 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Mirek\Dane aplikacji\Mozilla\Firefox\Profiles\sxktiarb.default\searchplugins\web-search.xml :Files C:\WINDOWS\Tasks\*.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z apletu usuwania programów odinstaluj wtyczkę vShare Plugin - jest klasyfikowana jako obiekt niepożądany. Logów z OTL już nie musisz pokazywać. Jeśli chodzi o spowolnienie to pierwszym podejrzanym jest Kaspersky. Czy tylko w Firefox? Co się dzieje kiedy chcesz wyświetlić stronę?

W logach nie widać śladu aktywnej infekcji. Wykonaj poniższe zalecenia. 1. Użyj opcji Sprzątanie z OTL. 2. Start > w polu szukania wpisz uruchom > cmd i wklep polecenia: SC DELETE dbdcsino SC DELETE gupdatem SC DELETE gupdate 3. Wykonaj obowiązkową instalację SP1 dla Windows, zaktualizuj Firefox i Java: KLIK. 4. Wyzeruj stan przywracania systemu: KLIK 5. Przestrzegam przed bardzo małą ilością wolnego miejsca na partycji systemowej: Drive C: | 19,97 Gb Total Space | 1,31 Gb Free Space | 6,56% Space Free | Partition Type: NTFS To może wpływać niezdrowo na system. Opróżnienie przywracania w punkcie 4 powinno odzyskać nieco miejsca ale wyczyść jeszcze lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. Do diagnozy miejsca na dysku polecam narzędzie SpaceSniffer.

A po co w ogóle używasz ComboFix? Jest jakiś konkretny powód? Nie powinieneś go nawet tknąć bo to jest narzędzie stosowane tylko w szczególnych przypadkach a nie ot tak jak komuś się podoba. To nie jest program do wykrywania rootkitów, od tego jest Gmer i to z niego powinieneś pokazać raport oraz pozostałe raporty z narzędzia OTL

To może sugerować sterowniki. Pierwsze skojarzenie to Avast, ale najpierw uprzątnijmy szczątki po Symantec bo widać je aktywne w logu: SRV - File not found [Auto | Stopped] -- -- (LiveUpdate Notice Ex) SRV - [2008-01-29 17:38:32 | 000,583,048 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe -- (LiveUpdate Notice Service) SRV - [2007-09-26 17:23:26 | 002,999,664 | ---- | M] (Symantec Corporation) [On_Demand | Stopped] -- C:\Program Files\Symantec\LiveUpdate\LuComServer_3_2.EXE -- (LiveUpdate) SRV - [2007-09-26 17:23:26 | 000,554,352 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Harmonogram automatycznej usługi LiveUpdate) O4 - HKLM..\Run: [symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation) Posłuż się narzędziem Norton Removal Tool Po tej operacji sprawdź czy powyższe pozycje zniknęły z loga i zobacz czy to coś nie pomogło. Jeśli nie to wyeliminuj Avasta i zobaczymy jakie efekty. BTW: Temat wędruje do innego działu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [jucheed] File not found O4 - HKLM..\Run: [rejestr] C:\WINDOWS\system32\Setup\rejestr.exe () O4 - HKLM..\Run: [svhost] File not found O4 - HKU\S-1-5-21-1409082233-1844237615-839522115-1006..\Run: [jucheed] C:\WINDOWS\system32\Setup\jucheed.exe () O4 - HKU\S-1-5-21-1409082233-1844237615-839522115-1006..\Run: [svhost] C:\WINDOWS\system32\Setup\svchost.exe () :Files C:\WINDOWS\tasks\*.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programó i odinstaluj zbędne paski sponsoringowe - Ask Toolbar / DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.