Landuss

Teraz logi poprawnie wykonane i rzeczywiście widać infekcje Weelsof. 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\system32\drivers\etc\hosts Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\E.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass) DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\MAŁGOSIA\USTAWI~1\Temp\5776.sys -- (5776) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=4712_8&babsrc=HP_ss&mntrId=c447d97100000000000000142adab10b" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_8&babsrc=SP_ss&mntrId=c447d97100000000000000142adab10b" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat) - C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat () :Files attrib /d /s -r -s -h C:\WINDOWS\system32\drivers\etc\hosts /C C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.ini C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Browser Manager / free-downloads.net Toolbar 4. Uruchom AdwCleaner z opcji Usuń. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Logi nie wskazują na jakiekolwiek infekcje w tym systemie. Temat zmienia dział. Uruchom system w trybie awaryjnym z obsługą sieci i sprawdź efekty. O jakiej przeglądarce mowa i czy na każdej jest ten problem? Wszystkie wyniki nieistotne i nie warte większej uwagi.

Rzeczywiście jest tutaj infekcja. Wykonaj poniższe czynności: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O20 - HKU\S-1-5-21-1593251271-2640304127-1825641215-96630 Winlogon: Shell - (D:\userdata\wro01692\Application Data\skype.dat) - D:\userdata\WRO01692\Application Data\skype.dat () :Files D:\userdata\wro01692\Application Data\skype.dat D:\userdata\wro01692\Application Data\skype.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Gdzie ten wirus jest wykrywany i na jakim pliku? W logach niewiele jest do usuwania i nie są to wcale infekcje, a drobne śmieci. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.yd.delta-search.com/?affID=119776&tt=030213_yd&babsrc=HP_ss&mntrId=026cf59400000000000046ec99167c74 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.yd.delta-search.com/?q={searchTerms}&affID=119776&tt=030213_yd&babsrc=SP_ss&mntrId=026cf59400000000000046ec99167c74 O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [rundll32] C:\Users\Dawid\AppData\Local\Temp\MSDCSC\msdcsc.exe () O4:64bit: - HKLM..\Run: [] File not found O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found :Files C:\Users\Dawid\AppData\Roaming\mozilla C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface / DAEMON Tools Toolbar / Yontoo 1.12.02 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W najnowszych logach nie widzę obecnie żadnych infekcji. Pytanie więc czy nadal są te restarty? Jeśli tak do wykonania punkt 5 z tego tematu: KLIK

Przede wszystkim logi wykonane ze złego konta: Computer Name: DOMOWY | User Name: Administrator | Logged in as Administrator. To jest Administrator wbudowany w system a nie użytkownik, na którym występuje problem. Wykonaj raz jeszcze logi z prawidłowego konta.

Wszystko pomyślnie usunięte. Pytanie do Ciebie czy problem ustąpił? Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Adobe Readera do najnowszej wersji: KLIK

Ale przecież ten log da się wykonać. Pisałem: Czyli zaznacz tę opcję przy skanowaniu i dołącz sam extras.

Nie wklejaj logów w poście edytując poprzedni tylko pisz zawsze w nowym. W logach są nieścisłości. Log z FSS nadal pokazuje konfigurację na plik wirusa w usłudze Windows a log z OTL już tego nie pokazuje. Czy log z FSS był na pewno robiony po operacjach w OTL? Wykonaj go dla pewności raz jeszcze.

Wspominasz, że to nadal jest i to jest skutek infekcji Necurs. Wykonaj coś takiego: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: bcdedit /set testsigning off Zresetuj system. Po restarcie problem powinien minąć. Na jakiej przeglądarce i w jakim momencie to się pojawia?

W logach infekcji nie notuję. Temat przenoszę na dział systemowy bo nie ma tutaj czego szukać. To pliki DivX. Po obecnych logach nie jestem jednoznacznie wskazać przyczyny tej zawiechy, ale sprawdziłbym Avasta. Zrób sobie prosty test - odpal komputer na czystym rozruchu i zobacz jak system działa: KLIK

W takim razie trudno ocenić czy to rzeczywiście jest jakaś infekcja, ja stawiam na fałszywy alarm.

Znasz zasady, wykonaj nowe logi i zaprezentuj ale wątpię bym coś w nich znalazł i temat raczej przeniosę gdzie indziej. Spowolnienie to może być wynik różnych rzeczy i nie musi to być infekcja.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Unknown] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - File not found [Auto | Unknown] -- C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - File not found [On_Demand | Unknown] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - File not found [Auto | Unknown] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc) SRV - File not found [On_Demand | Unknown] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10025&barid={2057029F-29DA-11E2-88B7-0060B33C4B79}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2057029F-29DA-11E2-88B7-0060B33C4B79}" O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll File not found O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (&Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found :Files C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js :Services gupdatem gupdate1c9c425e6e615e :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters] "ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={08C833B3-672A-11E2-A123-74E543B87420}" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.delta-search.com/?affID=119292&babsrc=HP_ss&mntrId=aa3b469c000000000000582c80139263" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.delta-search.com/?affID=119292&babsrc=HP_ss&mntrId=aa3b469c000000000000582c80139263" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119292&babsrc=SP_ss&mntrId=aa3b469c000000000000582c80139263" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={08C833B3-672A-11E2-A123-74E543B87420}" O2 - BHO: (no name) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [Adobe] C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Recent.vbe () :Files C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: BrowserProtect / RelevantKnowledge / Funmoods / Search Assistant MocaFlix 1.66 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj BrowserProtect / SaveAs 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz weźmiemy się za usunięcie pliku infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysNative\drivers\61344a88bb952147.sys :Services 61344a88bb952147 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Czy nadal masz ten problem?

W logach brak śladów jakiejkolwiek infekcji. Temat zmienia dział. Skoro są bluescreeny wykonaj punkt 5 z tego tematu: KLIK

To by było wszystko. Wykonaj kroki na zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.6) MUI Szczegóły aktualizacyjne: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. W kontekście usuwania nie jest tego dużo. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (MSDTC) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\FXDrv32.sys -- (FXDrv32) IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0DtDtByBzzzzzyyD0D0DtCtDzyzzzz0FtN0D0Tzu0CtByBtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1714938402" [2013-03-18 22:29:11 | 000,000,000 | ---D | M] (Bruowase22saive) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\4ul8nmzw.default\extensions\raxaioya@khfse.com O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. [2013-03-18 22:27:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Bruowase22saive :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bruowase22saive 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL otl oraz zaległy extras.

No chyba jednak nie mój błąd. Wszystko przeklejam jak dawniej i właśnie też to zauważyłem, że bruździ coś tutaj tag nie wiem dlaczego. Kiedy go wymarzę wszystko wyświetla się poprawnie.

Dopiero teraz miałem czas aby zerknąć uważniej w temat. Patrząc na najnowsze logi są ślady starej infekcji ZeroAccess w postaci linku symbolicznego: Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\windows\$NtUninstallKB14293$] -> -> Unknown point type Tak jak wspominam to tylko szczątek i nie jest ta infekcja obecnie aktywna na tym systemie. Poza tym widzę tylko trochę pustych wpisów do skorygowania i w sumie tyle. 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB14293$ Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost) SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\SAVRKBootTasks.sys -- (SAVRKBootTasks) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\378.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver) IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{24735BE4-9E1F-4FFD-B8F4-BBD05126FD2B}: "URL" = "http://www.searchgateway.net/search-Google-Gateway.php?q=%7BsearchTerms%7D&sa=Search+Here&client=pub-4642981363251965&forid=1&ie=ISO-8859-1&oe=ISO-8859-1&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BL"C%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A11 IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7553C1-C0F4-426A-81EA-EEB7BED73382}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p=%7BsearchTerms%7D" IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{9709F1F7-26EA-4E47-A8FC-BE17774DA05A}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q=%7BsearchTerms%7D" O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found. O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found. O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found. O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found O4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found :Files fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB14293$ /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

Wszystko pomyślnie wykonane. Możesz przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1) Szczegóły aktualizacyjne: KLIK Rozszerzenia Chrome ja doskonale widzę w logu z OTL i nie ma tutaj niczego niepokojącego, wszystkie są prawidłowe. Gdyby były szkodliwe kazałbym odmontować.

Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Jakie to są pliki? To że coś zostało wykryte to nie znaczy, że to musi być szkodliwe dlatego pytam konkretnie.

O jakim wpisie mowa? Ja niczego takiego nie dostrzegam w logach. na razie mimo wszystko dołącz też log z Gmer dla świętego spokoju.

Infekcja jest widoczna, oraz inne śmieci ale zanim przejdziemy do usuwania dołącz brakujący log. Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Uzupełnij ten log w kolejnym poście.