Landuss

Sprawa jest lekko mówiąc nie wesoła. Masz wirusa Sality infekcującego pliki .exe na dysku i w logu jest usługa tej infekcji: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\plnul.sys -- (amsint32) Spróbujemy to wyleczyć, ale wcale nie gwarantuje, że się uda. 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives gryvee.exe /alldrives netsh firewall reset /C :OTL SRV - [2008-04-14 21:50:36 | 000,137,240 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\jvrlkzi.dll -- (ddhmobf) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\plnul.sys -- (amsint32) O4 - HKU\S-1-5-21-789336058-1275210071-1606980848-1003..\Run: [EXPLORER.EXE] C:\WINDOWS\System32\EXPLORER.EXE (Microsoft Corporation) O4 - HKU\S-1-5-21-789336058-1275210071-1606980848-1003..\Run: [wsctf.exe] wsctf.exe File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie (wszystkie opcje zaznacz na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl + extras). Daj też znać co pokazał SalityKiller.

O jakiej kwarantannie mowa? Wyjaśnij o co ci chodzi bo jak na razie to nic nie wiadomo.

Nie do końca wszystko zostało wykonane także jeszcze: 1. Do deinstalacji także AVG Security Toolbar, IB Updater 2.0.0.574, IB Updater Service, McAfee Security Scan, TornTV, Viewpoint Media Player. 2. Reset Firefox nie wygląda na wykonany. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - [2013-03-07 15:47:35 | 000,060,416 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\31a4c9538c0597bf.sys -- (31a4c9538c0597bf) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.b1.org/?bsrc=4hixr&chid=c167991" IE - HKLM\..\SearchScopes\{5F657C9E-7A97-4409-AA15-50D10565BC12}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a" IE - HKCU\..\SearchScopes\{08DB2BEB-9619-47C2-B3A4-653AF425F77C}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OyTGLZWDq&i=26" IE - HKCU\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{56DFA0C7-DA3A-4064-A59D-C0FAA50A3B2B}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=msie70a" IE - HKCU\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = "http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=4D3A04A001CC128500520FC0&install_time=2011-05-14T22:21:47Z&src_id=12297&camp_id=2600&tb_version=2.5.20000.3" IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" IE - HKCU\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKCU\..\SearchScopes\{EB71BF8B-65E3-413C-8175-FC16FA910CA8}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=54dbc839000000000000001fd00d99df" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found O4 - HKCU..\Run: [cdoosoft] C:\DOCUME~1\Roberto\USTAWI~1\Temp\herss.exe File not found O4 - HKCU..\Run: [KiesTrayAgent] File not found :Files C:\WINDOWS\tasks\Your File Updater.job C:\Program Files\LiveVDO plugin C:\Program Files\mozilla firefox\plugins\npfflivevdoplg.dll C:\Documents and Settings\Roberto\Ustawienia lokalne\Dane aplikacji\B1E C:\Documents and Settings\Roberto\Dane aplikacji\B1Toolbar C:\Documents and Settings\Roberto\Dane aplikacji\iFunbox_UserCache C:\Documents and Settings\Roberto\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\Enigma Software Group C:\WINDOWS\System32\sh4native.exe netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_CURRENT_USER\Software\Microsoft\Windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page Before"=- "Secondary Start Pages"=- "Start Page Before"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Nowy log z OTL do oceny.

Windows powinien uruchomić się normalnie i wtedy działaj w panelu.

Temat oczyszczam ze zbędnych postów. Małe wyjaśnienie co do tego: To jest myląca opcja i wcale nie służy do tego o czym myślałeś. Konta mają inne rejestry i dlatego logi wyglądają różnie z poziomu każdego z nich. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\Installer\{68995E46-92E0-400B-F1CA-BBDFD1AEA071}\syshost.exe /service -- (syshost32) DRV - File not found [Kernel | Auto | Stopped] -- system32\DRIVERS\zumbus.sys -- (zumbus) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) DRV - File not found [Kernel | Auto | Stopped] -- f:\Program Files\YouWave_Android\vb\VBoxDrv.sys -- (VBoxDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcunic.sys -- (lgmcunic) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcobex.sys -- (lgmcobex) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcnd5.sys -- (lgmcnd5) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcmgmt.sys -- (lgmcmgmt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcmdm.sys -- (lgmcmdm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcmdfl.sys -- (lgmcmdfl) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgmcbus.sys -- (lgmcbus) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=51&cf=452e2e20-db17-11e0-8cdb-00038a000015" IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKLM\..\SearchScopes\{16804BB5-9DD3-4ECE-B3F6-8D5047766B11}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://search.b1.org/?bsrc=4hixr&chid=c167991" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.b1.org/?bsrc=4hixr&chid=c167991" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Before = "http://startsear.ch/?aff=51&cf=452e2e20-db17-11e0-8cdb-00038a000015" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{08DB2BEB-9619-47C2-B3A4-653AF425F77C}: "URL" = "http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6OyTGLZWDq&i=26" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=5E057AA4-A28D-4DB0-88EF-DEF0FE6B2DD8&apn_sauid=704C6140-5CAF-43F5-AF70-0D59346EBCFD" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2964267" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://startsear.ch/?src=sp&aff=51&cf=452e2e20-db17-11e0-8cdb-00038a000015&q={searchTerms}" IE - HKU\S-1-5-21-448539723-1614895754-682003330-1004\..\SearchScopes\{EB71BF8B-65E3-413C-8175-FC16FA910CA8}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&babsrc=SP_ss&mntrId=54dbc839000000000000001fd00d99df" O4 - HKU\S-1-5-21-448539723-1614895754-682003330-1004..\Run: [cdoosoft] C:\DOCUME~1\Roberto\USTAWI~1\Temp\herss.exe File not found O4 - HKU\S-1-5-21-448539723-1614895754-682003330-1004..\Run: [KiesTrayAgent] File not found :Files C:\Documents and Settings\Roberto\Dane aplikacji\skype.ini C:\Documents and Settings\Roberto\Dane aplikacji\skype.dat :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / BabylonObjectInstaller / Incredibar Toolbar on IE / LiveVDO / LiveVDO plugin 1.3 / uTorrentBar Toolbar / vShare Plugin / Yontoo 1.10.03 Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi są czyste i nie wskazują by była jakaś infekcja na tym systemie. Temat przenoszę do bardziej odpowiedniego działu. Zacznij od standardowego testu - uruchom system w stanie czystego rozruchu i zobacz czy problem też występuje: KLIK

Logi są zrobione z błędnego konta. Mają być z konta zainfekowanego użytkownika a nie z Administratora: Computer Name: ROBERT | User Name: Administrator | Logged in as Administrator. W ten sposób nie widać komponentów Weelsof i nie można brać się za usuwanie. Wykonaj logi raz jeszcze z prawidłowego konta.

Brak oznak infekcji w logach. Temat jedzie do działu sieciowego. Zapoznaj się z jego zasadami i podaj określony raport: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log i przejdziemy dalej.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=SAMSUNGXHD200HJ_S16KJ1FP901711&ts=1361433740" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=SAMSUNGXHD200HJ_S16KJ1FP901711&ts=1361433740" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=SAMSUNGXHD200HJ_S16KJ1FP901711&ts=1361433740" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=d2b94aee000000000000001a4d99d05f" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=d2b94aee000000000000001a4d99d05f" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=SAMSUNGXHD200HJ_S16KJ1FP901711&ts=1361433743" [2013-02-21 10:17:24 | 000,006,484 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [CheckRun22find_uninstaller] C:\Users\El_Konrad\AppData\Roaming\CheckRun22find.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras). Daj znać czy problem minął.

W logach nie widać niczego podejrzanego. Temat przesuwam do bardziej odpowiedniego działu. Również nie za bardzo jest tutaj co "odświeżać" bo generalnie system nie wygląda na zaśmiecony, a raczej zadbany patrząc na logi. Możesz spróbować sprawdzić czy to aby Avast nie spowalnia, a więc tymczasowa deinstalacja. Ewentualnie jeszcze start na czystym rozruchu do wykonania: KLIK To pytanie raczej dla działu sprzętowego, choć ja na pierwszy rzut oka nie widzę tutaj niczego niepokojącego. A czy wykorzystuje 100% mocy to zależy co ty robisz na tym komputerze, do czego używasz. Wiadomo, że największy wycisk dla komputera to wymagające gry lub jakieś skomplikowane operacje typu obróbka grafiki.

Logi są czyste i nie widać żadnej infekcji. Tylko drobne czynności do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-790525478-926492609-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?AF=110004&tt=090212_ctrl&babsrc=HP_ss&mntrId=f4110898000000000000000b6a3ffbc9" IE - HKU\S-1-5-21-790525478-926492609-1606980848-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110004&tt=090212_ctrl&babsrc=SP_ss&mntrId=f4110898000000000000000b6a3ffbc9" [2012-02-17 21:12:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon [2012-02-17 21:12:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Użytkownik\Dane aplikacji\Babylon :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi otwierają się poprawnie więc nie widzę powodów do zmartwienia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS541612J9SA00_SB2EDBH7KMARANKMARANX&ts=1360936706" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS541612J9SA00_SB2EDBH7KMARANKMARANX&ts=1360936706" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS541612J9SA00_SB2EDBH7KMARANKMARANX&ts=1360936718" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS541612J9SA00_SB2EDBH7KMARANKMARANX&ts=1360936718" IE - HKU\S-1-5-21-2052111302-789336058-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.22find.com/newtab?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS541612J9SA00_SB2EDBH7KMARANKMARANX&ts=1360936706" IE - HKU\S-1-5-21-2052111302-789336058-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com/?l=dis&o=APN10241&gct=hp&apn_ptnrs=^AF8&apn_dtid=^YYYYYY^W4^PL&p2=^AF8^YYYYYY^W4^PL&tpid=ATU-SAT&apn_dbr=ff_17.0" IE - HKU\S-1-5-21-2052111302-789336058-725345543-1003\..\SearchScopes\{0C463C86-F168-4B40-AE72-5F7B8CB1B20E}: "URL" = "http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=crm&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000" IE - HKU\S-1-5-21-2052111302-789336058-725345543-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.22find.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS541612J9SA00_SB2EDBH7KMARANKMARANX&ts=1360936718" O4 - HKLM..\Run: [] File not found :Files C:\Documents and Settings\Honda\Pulpit\22find.lnk C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Honda\Ustawienia lokalne\Dane aplikacji\Google :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Shopping Toolbar / Ask Toolbar / Ask Toolbar Updater Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widzę tytułowego mystart nigdzie. Napisz gdzie ty to widzisz i na jakiej przeglądarce. Usuń ten plik z dysku C:\user.js

O jakiej przeglądarce mowa? W logach nie widać żadnej infekcji a jedynie odpadki sponsoringowe do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Ca1528av.sys -- (Ca1528av) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Bulk1528.sys -- (Bulk1528) IE - HKU\S-1-5-21-3336202264-3086827573-4146536086-1008\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3065462" :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: pdfforge Toolbar v6.7 / Ask Toolbar / flvto.com Freecorder Toolbar / Complitly / Internet Explorer Toolbar 4.6 by SweetPacks / Update Manager for SweetPacks 1.1 Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach ani śladu infekcji. Temat przesuwam do bardziej odpowiedniego działu. Uruchom menedżer zadań i zobacz na którym procesie masz wycisk.

To nie ma znaczenia. Tak wykonaj raport z USBFix z opcji Listing przy podpiętym urządzeniu p[przenośnym.

Najnowszy log z OTL nie pokazuje niczego podejrzanego. Przejdź do zakończenia sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Sporo czasu minęło, pytanie czy ten problem ciągle występuje?

Ja tylko kończąc temat odpowiem, że to nie był żaden wirus tylko sterownik zabezpieczenia StarForce. Temat zamykam.

Wykonaj czynności kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "{AC76BA86-7AD7-1045-7B44-A81000000003}" = Adobe Reader 8.1.0 - Polish "Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi przede wszystkim od początku były wykonane z nieprawidłowego konta na co @bandrzal nie zwrócił uwagi. To jest Administrator wbudowany w system a nie konto zainfekowanego użytkownika. Jeśli to jeszcze aktualne wykonaj nowe logi z prawidłowego konta.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Czy ten problem nadal jest aktualny?

Wykonaj kroki kończące: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Akamai NetSession Interface"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{40773545-2941-4411-B535-404240CE9A7C}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{431A7A25-D217-43FD-9FC6-6B5C16C228B9}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish "Mozilla Firefox 17.0.1 (x86 pl)" = Mozilla Firefox 17.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.