Landuss

1. Panel sterowania > dodaj/usuń programy i odinstaluj śmieci - DAEMON Tools Toolbar / Softonic-Polska Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\EagleXNt.sys -- (EagleXNt) [2010-11-09 20:27:24 | 000,000,000 | ---D | M] (Softonic-Polska Community Toolbar) -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yyuzp3fa.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-11-13 09:09:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yyuzp3fa.default\extensions\DTToolbar@toolbarnet.com [2010-11-09 20:27:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yyuzp3fa.default\extensions\engine@conduit.com [2010-10-19 20:29:36 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\Dom\Dane aplikacji\Mozilla\Firefox\Profiles\yyuzp3fa.default\searchplugins\conduit.xml FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2530240&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "DAEMON Search" FF - prefs.js..browser.startup.homepage: "http://www.google.pl/" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.1.3 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.2.0185 O4 - HKU\S-1-5-21-842925246-2111687655-725345543-1003..\Run: [king_mg] C:\WINDOWS\System32\mgking.exe File not found O4 - HKU\S-1-5-21-842925246-2111687655-725345543-1003..\Run: [psysnew] C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Dom\Dane aplikacji\oekx.exe) - C:\Documents and Settings\Dom\Dane aplikacji\oekx.exe File not found O20 - HKU\S-1-5-21-842925246-2111687655-725345543-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe File not found O20 - HKU\S-1-5-21-842925246-2111687655-725345543-1003 Winlogon: Shell - (C:\RECYCLER\S-1-5-21-9030128277-5271767564-497494308-9368\winncr.exe) - C:\RECYCLER\S-1-5-21-9030128277-5271767564-497494308-9368\winncr.exe File not found O20 - HKU\S-1-5-21-842925246-2111687655-725345543-1003 Winlogon: Shell - (C:\Documents and Settings\Dom\Dane aplikacji\oekx.exe) - C:\Documents and Settings\Dom\Dane aplikacji\oekx.exe File not found :Files autorun.inf /alldrives RECYCLER /alldrives Recycled /alldrives E:\1thes92p.exe E:\wkimt.exe F:\cbbw88s.exe C:\WINDOWS\System32\mgking1.dll C:\WINDOWS\System32\mgking0.dll :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\882966.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\839.exe"=- "C:\Documents and Settings\Dom\Dane aplikacji\662632..exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\409152.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\952359.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\9985358.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\15548.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\42866.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\850093.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\04919.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\749.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\3048404.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\884197.exe"=- "C:\Documents and Settings\Dom\Ustawienia lokalne\Temp\098288.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i USBFix.

Nie ma potrzeby używania żadnego ComboFix. Jest drobna infekcja. Skonstruuje też skrypt odchudzający twój autostart oraz usuwający drobne śmieci. 1. Panel sterowania > dodaj/usuń programy i odinstaluj niepotrzebne śmieci - Google Toolbar / Ask Toolbar / free-downloads.net Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\AvMon.exe -- (ArcaVirMonitor) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\arcafd.sys -- (arcafd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\arcaev.sys -- (arcaev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\ArcaBit\ArcaVir\arcaen.sys -- (arcaen) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC&o=15000&locale=en_US&apn_uid=05674975-C37D-4B43-89F1-67C2CA303424&apn_ptnrs=PV&apn_sauid=BA70D521-B902-43D6-A707-6016CC0C0618&apn_dtid=&q=" [2010-10-14 21:12:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\m7xq2t5l.default\extensions\toolbar@ask.com [2010-11-13 16:18:53 | 000,002,557 | ---- | M] () -- C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\m7xq2t5l.default\searchplugins\askcom.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [iTunesHelper] E:\iTunesHelper.exe File not found O4 - HKLM..\Run: [MsgCenterExe] C:\Program Files\Common Files\Real\Update_OB\RealOneMessageCenter.exe File not found O4 - HKU\.DEFAULT..\Run: [] File not found O4 - HKU\S-1-5-18..\Run: [] File not found F3 - HKU\S-1-5-21-1060284298-1292428093-1801674531-1006 WinNT: Load - (C:\DOCUME~1\Przemek\USTAWI~1\Temp\dwm.exe) - C:\Documents and Settings\Przemek\Ustawienia lokalne\Temp\dwm.exe () [2010-11-09 19:37:03 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job :Files C:\WINDOWS\System32\shimg.dll C:\WINDOWS\System32\crt.dat C:\WINDOWS\System32\cryptnet32.dll C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Przemek\Dane aplikacji\Microsoft\Windows\shell.exe C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Gainward"=- "nwiz"=- "Sony Ericsson PC Suite"=- "WooCnxMon"=- "WOOTASKBARICON"=- "WOOWATCH"=- [HKEY_USERS\S-1-5-21-1060284298-1292428093-1801674531-1006\Software\Microsoft\Windows\CurrentVersion\Run] "Steam"=- [HKEY_USERS\S-1-5-21-1060284298-1292428093-1801674531-1006\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet32] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Przemek\Dane aplikacji\SopCast\adv\SopAdver.exe"=- "C:\Documents and Settings\Paweł\Dane aplikacji\SopCast\adv\SopAdver.exe"=- "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja z mediów przenośnych. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

W takim razie zabezpiecz się za pomocą Panda USB Vaccine

Wszystko wykonane jak należy. Użyj opcji Sprzątanie z OTL i to wszystko. Problemy powinny minąć.

Jesteś pewny? Folder powinien mieć atrybuty SH. Przestaw opcje widoku - zaznacz "pokazuj ukryte pliki i foldery" oraz odznacz "ukryj chronione pliki systemu operacyjnego"

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btwhid.sys -- (btwhid) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btwdndis.sys -- (BTWDNDIS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btport.sys -- (BTDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\btaudio.sys -- (btaudio) O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] File not found [2010-11-13 17:06:00 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010-11-13 16:29:00 | 000,000,278 | -H-- | M] () -- C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-11-07 13:50:02 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :Commands [resethosts] [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W takim razie wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix. 3. Obowiązkowo zaktualizuj oprogramowanie - Service Pack 3 + Internet Explorer 8

Czy zrobiłeś aktualizacje do SP3? W takim razie prosze o nowe logi z OTL i Gmer. Z tym, że z OTL log wykonaj na dodatkowym warunku i w białym polu tam gdzie wklejasz skrypty wpisz netsvcs i dopiero rozpocznij skanowanie.

Log pokazuje że jest. Na wszelki wypadek zamontuj plik .reg Wklej do notatnika: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "7581:TCP"=- Zapisz jako FIX.REG i uruchom plik. Ale system korzysta i nawet o tym nie wiesz dlatego też wykonaj aktualizację. Od IE zależy w systemie bardzo wiele, to nie tylko sama przeglądarka.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\cdaudio.sys -- (AVPsys) O4 - HKCU..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found [2010-11-11 22:01:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job :Files autorun.inf /alldrives RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Nadal stoi to: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "7581:TCP" = 7581:TCP:*:Enabled:cxnsijfy Start >>> uruchom >>> regedit i usun ten klucz: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List\7581:TCP Poza tym wygląda, że jest dobrze. Czy usunąłeś Ask Toolbar? Według logów nie, chyba że zrobiłeś to po ich wykonaniu. 2. Teraz możesz już użyć opcji Sprzątanie z OTL w celu usunięcia programu i kwarantanny. 3. Odinstaluj też ComboFixa wchodząc w start >>> uruchom >>> wklej i wywołaj polecenie "c:\documents and settings\KrzyŚ\Pulpit\ComboFix.exe" /uninstall 4. Przeskanuj się jeszcze przez Malwarebytes Anti-Malware 5. Końcowo koniecznie zaktualizuj oprogramowanie bo siedzisz na dziurze - Service Pack 3 + Internet Explorer 8

Posługiwałeś się ComboFixem i nic o tym nie wspominasz. Ja myślę, że Avira nie ma tutaj nic do rzeczy. W logach infekcja Conficker i to ona może powodować problemy. Przechodzimy do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KRZY~1\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=15161&l=dis" O4 - HKLM..\Run: [KernelFaultCheck] File not found NetSvcs: ayqgayin - C:\WINDOWS\System32\pobtlr.dll File not found [2010-11-12 16:01:00 | 000,000,234 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Services ksibmcxso ayqgayin :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "7581:TCP"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Panel sterowania > dodaj/usuń programy i odinstaluj śmiecia Ask Toolbar. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer. Wklej też log z usuwania OTL (powinien otworzyć się w Notatniku po wykonaniu skryptu).

Rozpocznij od dopełnienia zasad działu i wykonaj log z GMER przeciw rootkitom. Nastepnie przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

1. Wykonaj jeszcze jeden skrypt: :Processes killallprocesses :OTL O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKU\S-1-5-21-3175251537-3762828049-4024593688-500\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found [2006-07-27 12:32:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\WinAntiVirus Pro 2006 Logów już nie musisz pokazywać. 2. Po tej akcji użyj opcji Sprzątanie z OTL + usuń ComboFix wchodząc w start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Desktop\ComboFix.exe" /uninstall 3. Masz nieprawidłowy obiekt na pulpicie: File not found -- C:\Documents and Settings\Administrator\Desktop\CAW5M3W1. Takie coś usuniesz za pomocą Delete FXP Files 4. Dokonaj obowiązkowej aktualizacji oprogramowania (siedzisz na dziurach co też może stwarzać problemy): Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły i linki pobierania tutaj: INSTRUKCJE.

W logach nie widać żadnego śladu aktywnej infekcji. Czy teraz problem nadal występuje?

Też nie poszło więc musi być jakieś zabezpieczenie. Co to jest dysk H? Pendrive? Sprawdź czy nie ma gdzieś zworki zabezpieczającej. Należy ją przestawić.

Zamontuj w notatniku taki skrypt: File:: H:\autorun.9nf H:\lpl.exe H:\autorun.inf H:\autorun.7nf H:\autorun.0nf H:\autorun.8nf H:\autorun.1nf H:\autorun.2nf H:\autorun.3nf H:\autorun.4nf H:\autorun.5nf H:\autorun.6nf Registry:: [HKEY_USERS\S-1-5-21-854245398-1214440339-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "api32"=- "dso32"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Wklejasz wynikowy log + Log z USBFix.

OTL sobie z tym nie radzi nie wiem dlaczego. Czy dysk H nie jest jakoś chroniony? Uruchom w takim razie ComboFix i wklej wynikowy log.

Wszystko bez znaczenia. To co wykrył MBAM to kwestia twoich ustawień Centrum zabezpieczeń. Jeśli tam pogrzebiesz według własnych upodobań to tak to będzie często wykrywane a to dlatego, że takie akcje oprócz samego użytkownika często robią wirusy. Wykrycie ESET też nieistotne i zapamiętaj - System Volume Information = folder Przywracania systemu. Opróżnia sięgo poprzez tymczasowe wyłączenie przywracania: KLIK

Gameztara wykończysz za pomocą Revo Uninstaller Tymczasem montuj kolejny skrypt bo nie wszystko jeszcze usunięte: :OTL [2010-10-21 11:40:41 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Documents and Settings\Buki\Dane aplikacji\Mozilla\Firefox\Profiles\jiuz4mqy.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {511131f1-4629-4254-a85f-ed7b6d75dd3c} - No CLSID value found. O3 - HKU\S-1-5-21-854245398-1214440339-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [api32] C:\DOCUME~1\Buki\USTAWI~1\Temp\apiqq.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [dso32] C:\DOCUME~1\Buki\USTAWI~1\Temp\dsoqq.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe File not found O4 - HKU\S-1-5-21-854245398-1214440339-839522115-1004..\Run: [GameTracker] C:\Program Files\GameTracker\GTLite.exe File not found O4 - HKLM..\RunOnce: [uninstall Adobe Download Manager] File not found :Files H:\autorun.9nf H:\lpl.exe H:\autorun.inf H:\autorun.7nf H:\autorun.0nf H:\autorun.8nf H:\autorun.1nf H:\autorun.2nf H:\autorun.3nf H:\autorun.4nf H:\autorun.5nf H:\autorun.6nf :Commands [emptytemp] Nowe logi do oceny z OTL i USBFix. Wklej mi też log z usuwania OTL (powinien otworzyć się w notatniku)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MACIAS~1.MAC\AppData\Local\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\MACIAS~1.MAC\AppData\Local\Temp\catchme.sys -- (catchme) IE - HKLM\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSoft.dll (Conduit Ltd.) IE - HKU\S-1-5-21-315759391-259986645-1219633573-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.condui...&ctid=CT2405280" IE - HKU\S-1-5-21-315759391-259986645-1219633573-1004\..\URLSearchHook: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3} - C:\Program Files\Softonic-Eng7\tbSoft.dll (Conduit Ltd.) IE - HKU\S-1-5-21-315759391-259986645-1219633573-1004\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found O4 - HKLM..\Run: [immcheck] File not found :Files $RECYCLE.BIN /alldrives RECYCLER /alldrives G:\p9rs.exe G:\vi8f.exe G:\wa.exe :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj śmieci - DAEMON Tools Toolbar / Softonic-Eng7 Toolbar 3. Wklejasz nowe logi z OTL i USBFix. Daj też znać czy problem dalej występuje.

Właściwie wszędzie to widzę, czy to edytując mojego posta czy cudzego np. w dziale wirusów. Przeglądarka Firefox, cookies itp wyczyszczone.

Problem podczas szybkiej edycji posta.

Zacznij od zastosowania się do zasad działu i wklej logi z wymaganych narzędzi - OTL + GMER. Jako, że była tu też infekcja z urządzenia przenośnego wykonaj też log z USBFix z opcji Listing.