Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\hardlock.sys -- (Hardlock) DRV - File not found [Kernel | On_Demand | Running] -- C:\Users\Slawek\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO) IE - HKU\S-1-5-21-2062041034-3861680196-253790876-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKU\S-1-5-21-2062041034-3861680196-253790876-1000..\Run: [] File not found :Files C:\Users\Slawek\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmiecia MyAshampoo Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wygląda, że wszystko poszło jak należy i problem powinien zniknąć. Wykonaj jeszcze poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj aktualizację Java: INSTRUKCJE .

Skoro zeskanowałeś ComboFixem proszę wkleić z niego log. Musi być wiadomo co on tam zrobił. Pytanie też do ciebie czy to jest jakiś modyfikowany Windows XP? W logach są ślady, które mogą wskazywać na taki system dlatego ważne byś o tym napisał. W logach nic wielkiego nie widać, ale wykonaj kolejno jeszcze logi z MBRCheck oraz Kaspersky TDSSKiller

Log z OTL zrobiony na ustawieniach cudzych, a nie tak jak pokazane u nas w przyklejonym. Prosze wykonać to jeszcze raz zaznaczając wszystkie opcje na "Użyj filtrowania" i nie wklejając żadnego tekstu o dodatkowych warunkach. Zabrakło też loga z GMER, który jest obowiązkowy pod kątem infekcji rootkit. Wykonaj go. W obecnych logach nic właściwie strasznego nie widać poza tymi wpisami, które mogą być powodem tych wyskakujących błędów: F3 - HKCU WinNT: Load - (?) - File not found F3 - HKCU WinNT: Run - (?) - File not found To usuniemy jak poprawisz logi. Jeszcze widać szczątki po Kasperskym więc potwierdź, że go już nie ma na dysku i też to będziemy usuwać.

Zabrakło obowiązkowego loga z GMER a więc uzupełnij w kolejnym poście. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1231626453-2623608664-3648623775-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=PF&o=15180&locale=en_US&apn_uid=7C260CE9-7978-4AD8-993F-E8C7AED549C5&apn_ptnrs=RX&apn_sauid=79199F4F-E094-48B2-B93E-A4D0C6411C20&apn_dtid=YYYYYYYYPL&q=" [2010-11-21 17:05:37 | 000,000,000 | ---D | M] -- C:\Users\Missiak\AppData\Roaming\mozilla\Firefox\Profiles\22tqbfpg.default\extensions\toolbar@ask.com [2010-12-09 19:57:31 | 000,002,566 | ---- | M] () -- C:\Users\Missiak\AppData\Roaming\Mozilla\FireFox\Profiles\22tqbfpg.default\searchplugins\askcom.xml [2010-12-09 18:22:23 | 000,001,860 | ---- | M] () -- C:\Users\Missiak\AppData\Roaming\Mozilla\FireFox\Profiles\22tqbfpg.default\searchplugins\search.xml O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () :Files C:\Users\Missiak\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Z panelu sterowania > dodaj/usuń programy odinstaluj śmieci - Ask Toolbar / uTorrentBar Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wygląda na to, że wszystko zostało wykonane. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj skan za pomocą Malwarebytes Anti-Malware 4. Wykonaj aktualizacje Firefox i Java: INSTRUKCJE.

Temat zostanie połączony z twoim poprzednim bo taką mamy zasade. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\idsdefs\20050901.036\symidsco.sys -- (SYMIDSCO) O3 - HKU\S-1-5-21-2824603208-896434906-1836635435-1006\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKLM..\Run: [ccApp] c:\Program Files\Common Files\Symantec Shared\ccApp.exe File not found O4 - HKLM..\Run: [HP Software Update] C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe File not found O4 - HKLM..\Run: [iS CfgWiz] c:\Program Files\Norton Internet Security\cfgwiz.exe File not found O4 - HKLM..\Run: [sSC_UserPrompt] c:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe File not found [2010-11-22 17:14:05 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Loc.Mail.Bron.Tok [2010-11-22 17:13:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Ok-SendMail-Bron-tok [2010-12-01 17:23:53 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\BronFoldNetDomList.txt [2010-12-01 17:23:50 | 000,000,107 | ---- | C] () -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\BronNetDomList.bat [2010-12-01 17:18:48 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Bron.tok.A12.em.bin [2010-12-01 17:18:47 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Update.12.Bron.Tok.bin [2010-11-22 17:14:05 | 000,000,051 | ---- | C] () -- C:\Documents and Settings\NetworkService\Local Settings\Application Data\Kosong.Bron.Tok.txt [2010-12-03 18:35:14 | 000,000,406 | ---- | M] () -- C:\WINDOWS\tasks\At1.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zacznij od zastosowania siędo zasad działu i sporządź wymagane logi z narzędzi OTL + Gmer

Masz infekcję z mediów przenośnych. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Później przejdziemy do usuwania.

Jest dobrze, wykonaj poniższe zalecenia na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Zaktualizuj obowiązkowo IE oraz Adobe reader: INSTRUKCJE.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files w9.exe /alldrives Recycled /alldrives RECYCLER /alldrives :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix.

Miałeś infekcję z urządzenia przenośnego. Podepnij je teraz jeśli jest w twoim posiadaniu a następnie USBFix z opcji Listing i pokaż wynikowy raport

To nie jest ten log. To jest log z usuwania, a ja chcę nowe logi ze zwyczajnego skanu tak jak to robiłeś za pierwszym razem.

Masz w linku do Gmer narzędzie RootRepeal więc jego wypróbuj i dopiero przejdziemy do usuwania. Gdzie USBFix? Poza tym w OTL czy na pewno wszystkie sekcje są zaznaczone na "Użyj filtrowania"? Jakiś dziwny ten log. Zrób te logi porządnie.

Kto ci kazał używać ComboFix? Widziałeś może to?: KLIK Zgodnie z zasadami działu wykonaj i wklej logi z OTL + Gmer oraz przy podpiętym urządzeniu przenośnym wykonaj log z USBFix z opcji Listing

W logach nic nie ma i temat idzie do działu systemowego. Na pierwszy rzut oka sprawdzić czy to nie wina Avasta. Odinstaluj go bo i tak masz go w starej wersji. Obecna wersja to Avast 5. Jeśli to nic nie da sprawdź zachowanie komputera w trybie awaryjnym.

O ComboFixie zapomnij. Wcale to nie jest konieczne. Masz infekcję z mediów przenośnych. Zgodnie z zasadami działu wykonaj i wklej logi z OTL + GMER oraz przy podpiętym urządzeniu przenośnym wykonaj log z USBFix z opcji Listing

Ale wykonaj jeszcze to dla pewności:

Tutaj jest infekcja i prawdopodobnie to jest przyczyną. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Blackshot\BlackShot\system\GameGuard\dump_wmimmc.sys -- (dump_wmimmc) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [driver.exe] C:\WINDOWS\driver.exe () O4 - HKU\S-1-5-21-527237240-57989841-839522115-1004..\Run: [NexonEULauncher] File not found O4 - HKU\S-1-5-21-527237240-57989841-839522115-1004..\Run: [PlayNC Launcher] File not found :Files C:\WINDOWS\av.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nic, to wszystko. Zdaj raport czy wszystko gra jak należy.

W porządku, teraz wykonasz jeszcze poniższe czynności. 1. Wklej do notatnika systemowego taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [HKEY_USERS\S-1-5-21-842925246-2111687655-725345543-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [-HKEY_USERS\S-1-5-21-842925246-2111687655-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{32099AAC-C132-4136-9E9A-4E364A424E17}] [HKEY_USERS\S-1-5-21-842925246-2111687655-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL. 3. Wyzeruj stan przywracania systemu: KLIK 4. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 5. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{2085F05D-24C5-4E27-B7B4-A51DE890FFC9}" = Opera 10.00 Szczegóły w temacie: INSTRUKCJE.

Potwierdzam - w logach kompletnie nie ma się do czego przyczepić. To może być kwestia samej przeglądarki i jej rozszerzeń. Sprawdź jak się zachowuje w trybie awaryjnym: Co to dokładnie znaczy? Opisz to dokładnie. Jeśli błąd to jaki.

Masz infekcją z urządzenia przenośnego - pendrive, karta pamięci aparatu, telefonu itp. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. Wtedy przystąpimy do usuwania.

To jest znana infekcja i już nieraz ją usuwaliśmy. Dostałaś linki i wszystko jest w nich opisane jak na dłoni, ale jeszcze trzeba w nie wejść i poczytać. Masz pokazać wymagane logi z narzędzia OTL oraz GMER i wkleić je tutaj lub dać jako załącznik.

Wszystko wykonało się prawidłowo. Wykonaj poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Przemek\Pulpit\ComboFix.exe" /uninstall 3. Usuń z dysku poniższy plik + odpadki po ArcaBit: [2010-11-14 14:21:21 | 001,218,560 | ---- | C] () -- C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\55001057.exe [2006-06-02 18:06:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\admin\Dane aplikacji\ArcaBit [2006-06-03 09:21:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\TATA\Dane aplikacji\ArcaBit 4. Wykonaj skanowanie za pomocą Malwarebytes Anti-Malware 5. Zaktualizuj obowiązkowo oprogramowanie: Internet Explorer (Version = 7.0.5730.11) "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 11 "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE Szczegóły i linki pobierania tutaj: INSTRUKCJE. To są ukryte pliki. Jesli chcesz ich znów nie widzieć przestaw sobie opcje folderów na niepokazywanie ukrytych.