pzm Opublikowano 24 Lutego 2012 Zgłoś Udostępnij Opublikowano 24 Lutego 2012 (edytowane) Kontynuacja tematu: https://www.fixitpc.pl/topic/7285-brak-wyboru-systemu-vista-po-reinstalacji-xp/ kurcze więc jednak trzeba czyścić,poinstruujesz mnie potem czym i jak to zrobić mam nadzieję własnie robię skan Gmer jak dobiegnie końca to wkleje,a więc masz wielu 'klientów' na głowie oki wybacz mi moją niecierpliwość ... p.s przeglądarkę mam otwartą w czasie przeprowadzania tych skanów,chyba to nie ma wpływu na 'operację' ... Extras.Txt OTL.Txt Edytowane 25 Lutego 2012 przez picasso Temat wydzielony z wątku w Vista. //picasso Odnośnik do komentarza
pzm Opublikowano 24 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 24 Lutego 2012 GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-02-24 23:02:06 Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-7 ST3500630AS rev.3.AAK Running: nz9g5fpu.exe; Driver: C:\DOCUME~1\Przemek\USTAWI~1\Temp\uxncapob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0xABAC0F3C] SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0xABAC0FE4] SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0xABAC1080] SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0xABAC111C] ---- Kernel code sections - GMER 1.0.15 ---- .xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB7E3B000, 0xC58, 0x40000040] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB65D2380, 0x3DF545, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xAB9F4300, 0x3AE88, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB37BC300, 0x1B7E, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Tlen.pl\tlen.exe[144] ntdll.dll!NtCreateKey 7C90D6D6 3 Bytes [FF, 25, 1E] .text C:\Program Files\Tlen.pl\tlen.exe[144] ntdll.dll!NtCreateKey + 4 7C90D6DA 2 Bytes [17, 5F] {POP SS; POP EDI} .text C:\Program Files\Tlen.pl\tlen.exe[144] ntdll.dll!NtSetValueKey 7C90E7BC 3 Bytes [FF, 25, 1E] .text C:\Program Files\Tlen.pl\tlen.exe[144] ntdll.dll!NtSetValueKey + 4 7C90E7C0 2 Bytes [14, 5F] {ADC AL, 0x5f} .text C:\Program Files\Tlen.pl\tlen.exe[144] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 03310001 .text C:\Program Files\Tlen.pl\tlen.exe[144] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\Program Files\Tlen.pl\tlen.exe[144] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\Program Files\Tlen.pl\tlen.exe[144] advapi32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\Program Files\Tlen.pl\tlen.exe[144] advapi32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\Program Files\Tlen.pl\tlen.exe[144] advapi32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\Program Files\Tlen.pl\tlen.exe[144] advapi32.dll!CreateServiceA 77E27071 6 Bytes JMP 5F190F5A .text C:\Program Files\Tlen.pl\tlen.exe[144] advapi32.dll!CreateServiceW 77E27209 3 Bytes [FF, 25, 1E] .text C:\Program Files\Tlen.pl\tlen.exe[144] advapi32.dll!CreateServiceW + 4 77E2720D 2 Bytes [1D, 5F] .text C:\WINDOWS\system32\rundll32.exe[192] ntdll.dll!NtCreateKey 7C90D6D6 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rundll32.exe[192] ntdll.dll!NtCreateKey + 4 7C90D6DA 2 Bytes [17, 5F] {POP SS; POP EDI} .text C:\WINDOWS\system32\rundll32.exe[192] ntdll.dll!NtSetValueKey 7C90E7BC 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rundll32.exe[192] ntdll.dll!NtSetValueKey + 4 7C90E7C0 2 Bytes [14, 5F] {ADC AL, 0x5f} .text C:\WINDOWS\system32\rundll32.exe[192] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01300001 .text C:\WINDOWS\system32\rundll32.exe[192] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\WINDOWS\system32\rundll32.exe[192] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\WINDOWS\system32\rundll32.exe[192] ADVAPI32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\rundll32.exe[192] ADVAPI32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rundll32.exe[192] ADVAPI32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\WINDOWS\system32\rundll32.exe[192] ADVAPI32.dll!CreateServiceA 77E27071 6 Bytes JMP 5F190F5A .text C:\WINDOWS\system32\rundll32.exe[192] ADVAPI32.dll!CreateServiceW 77E27209 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\rundll32.exe[192] ADVAPI32.dll!CreateServiceW + 4 77E2720D 2 Bytes [1D, 5F] .text C:\WINDOWS\explorer.exe[1868] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 027C0001 .text C:\WINDOWS\explorer.exe[1868] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\WINDOWS\explorer.exe[1868] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\WINDOWS\explorer.exe[1868] ADVAPI32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\WINDOWS\explorer.exe[1868] ADVAPI32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\explorer.exe[1868] ADVAPI32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] ntdll.dll!NtCreateKey 7C90D6D6 3 Bytes [FF, 25, 1E] .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] ntdll.dll!NtCreateKey + 4 7C90D6DA 2 Bytes [17, 5F] {POP SS; POP EDI} .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] ntdll.dll!NtSetValueKey 7C90E7BC 3 Bytes [FF, 25, 1E] .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] ntdll.dll!NtSetValueKey + 4 7C90E7C0 2 Bytes [14, 5F] {ADC AL, 0x5f} .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00F70001 .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] advapi32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] advapi32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] advapi32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] advapi32.dll!CreateServiceA 77E27071 6 Bytes JMP 5F190F5A .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] advapi32.dll!CreateServiceW 77E27209 3 Bytes [FF, 25, 1E] .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[1968] advapi32.dll!CreateServiceW + 4 77E2720D 2 Bytes [1D, 5F] .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1988] USER32.dll!SetWindowLongA 77D3D61D 5 Bytes JMP 106C01A3 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1988] USER32.dll!SetWindowLongW 77D3D63B 5 Bytes JMP 106C0135 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1988] USER32.dll!GetWindowInfo 77D3E78C 5 Bytes JMP 10450924 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1988] USER32.dll!TrackPopupMenu 77D84EDE 5 Bytes JMP 10450ECF C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ntdll.dll!NtCreateKey 7C90D6D6 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ntdll.dll!NtCreateKey + 4 7C90D6DA 2 Bytes [17, 5F] {POP SS; POP EDI} .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ntdll.dll!NtSetValueKey 7C90E7BC 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ntdll.dll!NtSetValueKey + 4 7C90E7C0 2 Bytes [14, 5F] {ADC AL, 0x5f} .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00FF0001 .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ADVAPI32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ADVAPI32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ADVAPI32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ADVAPI32.dll!CreateServiceA 77E27071 6 Bytes JMP 5F190F5A .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ADVAPI32.dll!CreateServiceW 77E27209 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\system32\RUNDLL32.EXE[1996] ADVAPI32.dll!CreateServiceW + 4 77E2720D 2 Bytes [1D, 5F] .text C:\WINDOWS\RTHDCPL.EXE[2012] ntdll.dll!NtCreateKey 7C90D6D6 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\RTHDCPL.EXE[2012] ntdll.dll!NtCreateKey + 4 7C90D6DA 2 Bytes [17, 5F] {POP SS; POP EDI} .text C:\WINDOWS\RTHDCPL.EXE[2012] ntdll.dll!NtSetValueKey 7C90E7BC 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\RTHDCPL.EXE[2012] ntdll.dll!NtSetValueKey + 4 7C90E7C0 2 Bytes [14, 5F] {ADC AL, 0x5f} .text C:\WINDOWS\RTHDCPL.EXE[2012] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 05140001 .text C:\WINDOWS\RTHDCPL.EXE[2012] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\WINDOWS\RTHDCPL.EXE[2012] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\WINDOWS\RTHDCPL.EXE[2012] ADVAPI32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\WINDOWS\RTHDCPL.EXE[2012] ADVAPI32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\RTHDCPL.EXE[2012] ADVAPI32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\WINDOWS\RTHDCPL.EXE[2012] ADVAPI32.dll!CreateServiceA 77E27071 6 Bytes JMP 5F190F5A .text C:\WINDOWS\RTHDCPL.EXE[2012] ADVAPI32.dll!CreateServiceW 77E27209 3 Bytes [FF, 25, 1E] .text C:\WINDOWS\RTHDCPL.EXE[2012] ADVAPI32.dll!CreateServiceW + 4 77E2720D 2 Bytes [1D, 5F] .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ntdll.dll!NtCreateKey 7C90D6D6 3 Bytes [FF, 25, 1E] .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ntdll.dll!NtCreateKey + 4 7C90D6DA 2 Bytes [17, 5F] {POP SS; POP EDI} .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ntdll.dll!NtSetValueKey 7C90E7BC 3 Bytes [FF, 25, 1E] .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ntdll.dll!NtSetValueKey + 4 7C90E7C0 2 Bytes [14, 5F] {ADC AL, 0x5f} .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00C60001 .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] kernel32.dll!CreateProcessW 7C802332 6 Bytes JMP 5F0D0F5A .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] kernel32.dll!CreateProcessA 7C802367 6 Bytes JMP 5F0A0F5A .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ADVAPI32.dll!CreateProcessAsUserW 77DE7775 6 Bytes JMP 5F100F5A .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ADVAPI32.dll!CreateProcessWithLogonW 77E05C9D 3 Bytes [FF, 25, 1E] .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ADVAPI32.dll!CreateProcessWithLogonW + 4 77E05CA1 2 Bytes [05, 5F] .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ADVAPI32.dll!CreateServiceA 77E27071 6 Bytes JMP 5F190F5A .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ADVAPI32.dll!CreateServiceW 77E27209 3 Bytes [FF, 25, 1E] .text C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\nz9g5fpu.exe[2252] ADVAPI32.dll!CreateServiceW + 4 77E2720D 2 Bytes [1D, 5F] .text C:\Program Files\Mozilla Firefox\firefox.exe[3732] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 01255B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[3732] USER32.dll!GetWindowInfo 77D3E78C 5 Bytes JMP 013D802D C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. ) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\atapi \Device\Ide\IdePort0 8ABD41B8 Device \Driver\atapi \Device\Ide\IdePort1 8ABD41B8 Device \Driver\atapi \Device\Ide\IdePort2 8ABD41B8 Device \Driver\atapi \Device\Ide\IdePort3 8ABD41B8 Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-7 8ABD41B8 AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A8D5498 Device \Driver\JRAID \Device\Scsi\JRAID1 8A8D5498 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. ) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\$NtUninstallKB42837$\1892731975 0 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578 0 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\@ 2048 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\L 0 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\L\pwimmayp 456320 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\loader.tlb 2632 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U 0 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@00000001 45968 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@000000c0 3072 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@000000cb 3072 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@000000cf 1536 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@80000000 73216 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@800000c0 41984 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@800000cb 25600 bytes File C:\WINDOWS\$NtUninstallKB42837$\2952849578\U\@800000cf 31232 bytes ---- EOF - GMER 1.0.15 ---- już zakończyłem oto wyniki moja Pani kurde widoczne są skutki wczorajszej infekcji i nie do końca wyleczonego systemu,juz drugi raz nagle zaczęły mi się otwierać okna przeglądarki internet explorer w ilości około 50sztuk naraz i jak uruchomiłem program advance system care to wykazał aż 21 problemów optymalizacji systemu część związana właśnie z przeglądarką explorer... użyłem tego programu advance system care oraz IObit Security coś mi tam wyczyściły zawsze ale czekam na instrukcje od Ciebie masz urwanie głowy na ty forum,mimo to nie przemęczaj oczu Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2012 Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Reperacja nadpisywała pliki Windows, toteż zainfekowane przez rootkita sterowniki zostały przebite nowymi plikami z instalatora XP. Ale jak mówiłam, Reperacja nie usuwa elementów wtórnych. GMER pokazuje łącze symboliczne rootkita (C:\WINDOWS\$NtUninstallKB42837$), w logu z OTL widać nadal pliki przezeń wstawione i ładowanie z wartości Shell oraz uszkodzony przez rootkita Winsock. Prócz śladów ZeroAccess, są i małe śmietki sponsoringowe, ale to akurat najmniejszy problem. Do wykonania następujące kroki czyszczące: 1. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\$NtUninstallKB42837$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh winsock reset /C fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB42837$ /C C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa C:\WINDOWS\$NtUninstallKB42837$ C:\WINDOWS\System32\dds_log_trash.cmd C:\WINDOWS\System32\shimg.dll C:\WINDOWS\System32\crt.dat :OTL SRV - File not found [Auto | Stopped] -- -- (smwdm) SRV - File not found [Auto | Stopped] -- -- (sigfilt) SRV - File not found [Auto | Stopped] -- -- (msav) SRV - File not found [Auto | Stopped] -- -- (DumaNT) O20 - HKU\S-1-5-21-1482476501-1757981266-839522115-1003 Winlogon: Shell - (C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa\X) - C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa\X () :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..keyword.URL: "http://results.myway.com/GGmain.jhtml?id=YI&ptb=0C821106-5FDA-4E00-A078-AD4DA2108350&psa=&ind=2010070716&ptnrS=YI&si=&st=kwd&n=&searchfor=" [2011-05-11 21:40:13 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com IE - HKU\S-1-5-21-1482476501-1757981266-839522115-1003\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Value error. File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Value error. File not found O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\explorer.exe"=- :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania. 3. Przejdź do Dodaj / Usuń Programy i odinstaluj śmiecia Conduit Engine. 4. Wygeneruj nowe logi: w OTL w sekcji w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj + GMER + AdwCleaner z opcji Search. Dołącz też log z wynikami usuwania pozyskany w punkcie 2. Logi z GMER i usuwania mają format *.LOG,w Załącznikach dopuszczam tylko *.TXT. Zmień nazwę rozszerzenia, a się dołączą. . Odnośnik do komentarza
pzm Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 (edytowane) a więc tak conduit engine nie chce się usunąć z listy programów wiesz w jaki sposób mogę się go pozbyć? acha teraz zaskoczyłem,że jak kliknałem wykonaj skrypt to nie miałem w tabelce zaznaczonych funkcji tak jak przy robieniu logów czyli opcja wszyscy użytkownicy była odznaczona podobnie infekcja lop i infekcja purity a opcja pomiń znane dobre pliki była zaznaczona w takim razie czy musze ponownie przeprowadzić ten zabieg czyszczenia? to log z wynikami usuwania z pkt drugiego All processes killed ========== FILES ========== < netsh winsock reset /C > Pomyślnie zresetowano Winsock Catalog. Musisz ponownie uruchomić komputer, aby ukończyć resetowanie. C:\Documents and Settings\Przemek\Pulpit\PROGRAMY\cmd.bat deleted successfully. C:\Documents and Settings\Przemek\Pulpit\PROGRAMY\cmd.txt deleted successfully. < fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB42837$ /C > C:\Documents and Settings\Przemek\Pulpit\PROGRAMY\cmd.bat deleted successfully. C:\Documents and Settings\Przemek\Pulpit\PROGRAMY\cmd.txt deleted successfully. C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa\U folder moved successfully. C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa folder moved successfully. C:\WINDOWS\$NtUninstallKB42837$\2952849578\U folder moved successfully. C:\WINDOWS\$NtUninstallKB42837$\2952849578\L folder moved successfully. C:\WINDOWS\$NtUninstallKB42837$\2952849578 folder moved successfully. Folder move failed. C:\WINDOWS\$NtUninstallKB42837$ scheduled to be moved on reboot. C:\WINDOWS\System32\dds_log_trash.cmd moved successfully. C:\WINDOWS\System32\shimg.dll moved successfully. C:\WINDOWS\System32\crt.dat moved successfully. ========== OTL ========== Service smwdm stopped successfully! Service smwdm deleted successfully! Service sigfilt stopped successfully! Service sigfilt deleted successfully! Service msav stopped successfully! Service msav deleted successfully! Service DumaNT stopped successfully! Service DumaNT deleted successfully! Registry value HKEY_USERS\S-1-5-21-1482476501-1757981266-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa\X deleted successfully. File C:\Documents and Settings\Przemek\Ustawienia lokalne\Dane aplikacji\b000e8aa\X not found. ========== OTL ========== Prefs.js: "Winamp Search" removed from browser.search.defaultenginename Prefs.js: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" removed from browser.search.defaulturl Prefs.js: "http://results.myway.com/GGmain.jhtml?id=YI&ptb=0C821106-5FDA-4E00-A078-AD4DA2108350&psa=&ind=2010070716&ptnrS=YI&si=&st=kwd&n=&searchfor=" removed from keyword.URL C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\searchplugin folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\META-INF folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\lib folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\DualPackage folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\defaults folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\components folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com\chrome folder moved successfully. C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\extensions\engine@conduit.com folder moved successfully. Registry value HKEY_USERS\S-1-5-21-1482476501-1757981266-839522115-1003\Software\Microsoft\Internet Explorer\URLSearchHooks\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ deleted successfully. C:\Program Files\ConduitEngine\ConduitEngine.dll moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\ deleted successfully. ========== REGISTRY ========== Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\WINDOWS\explorer.exe deleted successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: LocalService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 32902 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 67 bytes User: Przemek ->Temp folder emptied: 587497 bytes ->Temporary Internet Files folder emptied: 2189800 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 67887665 bytes ->Flash cache emptied: 456 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 22877940 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 0 bytes RecycleBin emptied: 450985 bytes Total Files Cleaned = 90,00 mb OTL by OldTimer - Version 3.2.33.2 log created on 02252012_142301 Files\Folders moved on Reboot... Folder move failed. C:\WINDOWS\$NtUninstallKB42837$ scheduled to be moved on reboot. Registry entries deleted on Reboot... oki usunałem programem Revo Uninstaller pro ten conduit engine,powiedz mi teraz prosze czy mam powtórzyć czyszczenie z pkt drugiego z pozaznaczaniem tych wszystkich funkcji o których pisałem Edytowane 25 Lutego 2012 przez picasso Posty połączone. //picasso Odnośnik do komentarza
picasso Opublikowano 25 Lutego 2012 Zgłoś Udostępnij Opublikowano 25 Lutego 2012 Mówiłam: Edytuj: Znów post pod postem. że jak kliknałem wykonaj skrypt to nie miałem w tabelce zaznaczonych funkcji tak jak przy robieniu logów czyli opcja wszyscy użytkownicy była odznaczona podobnie infekcja lop i infekcja purity a opcja pomiń znane dobre pliki była zaznaczona w takim razie czy musze ponownie przeprowadzić ten zabieg czyszczenia? Przy "Wykonaj skrypt" opcje w oknie są bez znaczenia, bo to nie jest skanowanie. To przy "Skanuj" należy zwracać na to uwagę. czy mam powtórzyć czyszczenie z pkt drugiego z pozaznaczaniem tych wszystkich funkcji o których pisałem Skrypty są jednorazowe, nie powtarza się ich. Przecież to byłoby nielogiczne usuwać po raz drugi to samo (co już nie istnieje). Oczekuję na wykonanie punktu 4, czyli zestaw logów. . Odnośnik do komentarza
pzm Opublikowano 25 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 25 Lutego 2012 (edytowane) no tak ale dzięki zaznaczeniu dodatkowych opcji program może np. usunąć więcej badziewia tak pomyślałem i dlatego zapytałem szefuńki teraz pierwszy log z OTL jak wykonam pozostałe to dodam owcourse ... jest GMER GMER 1.0.15.15641 - http://www.gmer.net Rootkit scan 2012-02-25 17:37:59 Windows 5.1.2600 Dodatek Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-7 ST3500630AS rev.3.AAK Running: nz9g5fpu.exe; Driver: C:\DOCUME~1\Przemek\USTAWI~1\Temp\uxncapob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwOpenProcess [0xAD0A0F3C] SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateProcess [0xAD0A0FE4] SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwTerminateThread [0xAD0A1080] SSDT \SystemRoot\system32\DRIVERS\AVGIDSShim.Sys (IDS Application Activity Monitor Loader Driver./AVG Technologies CZ, s.r.o. ) ZwWriteVirtualMemory [0xAD0A111C] ---- Kernel code sections - GMER 1.0.15 ---- .xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB7E3B000, 0xC58, 0x40000040] .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB604B380, 0x3DF545, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xACEC0300, 0x3AE88, 0xE8000020] .text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xB1395300, 0x1B7E, 0xE8000020] ---- User code sections - GMER 1.0.15 ---- .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1080] USER32.dll!SetWindowLongA 77D3D61D 5 Bytes JMP 106C01A3 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1080] USER32.dll!SetWindowLongW 77D3D63B 5 Bytes JMP 106C0135 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1080] USER32.dll!GetWindowInfo 77D3E78C 5 Bytes JMP 10450924 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\plugin-container.exe[1080] USER32.dll!TrackPopupMenu 77D84EDE 5 Bytes JMP 10450ECF C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\WINDOWS\Explorer.EXE[1840] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01890001 .text C:\Program Files\Mozilla Firefox\firefox.exe[1848] ntdll.dll!LdrLoadDll 7C9161CA 5 Bytes JMP 01255B60 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[1848] USER32.dll!GetWindowInfo 77D3E78C 5 Bytes JMP 013D802D C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\IObit\Advanced WindowsCare V2\MemCleaner.exe[2540] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00C70001 .text C:\WINDOWS\system32\RUNDLL32.EXE[2592] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00CE0001 .text C:\WINDOWS\RTHDCPL.EXE[2624] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01D50001 .text C:\Program Files\Tlen.pl\tlen.exe[2756] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 015C0001 .text C:\WINDOWS\system32\rundll32.exe[2844] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00CE0001 ---- Devices - GMER 1.0.15 ---- AttachedDevice \FileSystem\Ntfs \Ntfs AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. ) AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\atapi \Device\Ide\IdePort0 8AC141B8 Device \Driver\atapi \Device\Ide\IdePort1 8AC141B8 Device \Driver\atapi \Device\Ide\IdePort2 8AC141B8 Device \Driver\atapi \Device\Ide\IdePort3 8AC141B8 Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-7 8AC141B8 AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.) Device \Driver\JRAID \Device\Scsi\JRAID1Port4Path0Target0Lun0 8A90F100 Device \Driver\JRAID \Device\Scsi\JRAID1 8A90F100 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) AttachedDevice \FileSystem\Fastfat \Fat AVGIDSFilter.Sys (IDS Application Activity Monitor Filter Driver./AVG Technologies CZ, s.r.o. ) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet) Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 1 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7F 0x3D 0x50 0x9E ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\ Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x66 0x18 0x34 0x90 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x8D 0x57 0xF5 0xE8 ... Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x20 0xE7 0xB1 0x38 ... ---- EOF - GMER 1.0.15 ---- i z AdvCleaner # AdwCleaner v1.500 - Logfile created 02/25/2012 at 17:45:22 # Updated 23/02/2012 by Xplode # Operating system : Microsoft Windows XP Dodatek Service Pack 2 (32 bits) # User : Przemek - MI-3C887F406E8E # Running from : C:\Documents and Settings\Przemek\Moje dokumenty\Pobieranie\adwcleaner.exe # Option [search] ***** [services] ***** ***** [Files / Folders] ***** Folder Found : C:\Documents and Settings\Przemek\Dane aplikacji\AD ON Multimedia Folder Found : C:\Program Files\Conduit Folder Found : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\Conduit Folder Found : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\ConduitEngine Folder Found : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\winampToolbarData ***** [H. Navipromo] ***** ***** [Registry] ***** [*] Key Found : HKLM\SOFTWARE\Classes\Toolbar.CT2786678 Key Found : HKCU\Toolbar Key Found : HKCU\Software\Conduit Key Found : HKLM\SOFTWARE\Conduit Key Found : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1 Key Found : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} Key Found : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A} Key Found : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D} Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D} ***** [internet Browsers] ***** -\\ Internet Explorer v6.0.2900.2180 [OK] Registry is clean. -\\ Mozilla Firefox v10.0.2 (pl) Profile : 2h7b6ae8.default File : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\prefs.js Found : user_pref("CommunityToolbar.CantToolbarBeEngineOwner", ""); Found : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/PL", "\"0\"")[...] Found : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2504091", [...] Found : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2786678", [...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...] Found : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...] Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...] Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...] Found : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...] Found : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2504091",[...] Found : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2786678",[...] Found : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...] Found : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2504091/CT2504091[...] Found : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2786678/CT2786678[...] Found : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634[...] Found : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en-us", "\"[...] Found : user_pref("CommunityToolbar.EngineOwner", "ConduitEngine"); Found : user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com"); Found : user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine"); Found : user_pref("CommunityToolbar.IsEngineShown", false); Found : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); Found : user_pref("CommunityToolbar.OriginalEngineOwner", "CT2504091"); Found : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{ba14329e-9550-4989-b3f2-9732e92d17cc}"); Found : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "vuze_remote"); Found : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://results.myway.com/GGmain.jhtml?id[...] Found : user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine"); Found : user_pref("CommunityToolbar.ToolbarsList2", "ConduitEngine"); Found : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sun Feb 19 2012 19:36:06 GMT+01[...] Found : user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); Found : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Thu Feb 23 2012 18:18:44 GMT+0100"); Found : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); Found : user_pref("CommunityToolbar.alert.locale", "en"); Found : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); Found : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Thu Feb 23 2012 17:01:11 GMT+0100"); Found : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1313487611"); Found : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); Found : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); Found : user_pref("CommunityToolbar.alert.showTrayIcon", false); Found : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); Found : user_pref("CommunityToolbar.alert.userId", "5a79b86d-ef68-47f0-98e6-4d11f9c9f06d"); Found : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat May 07 2011 17:54:16 GMT+0200"); Found : user_pref("CommunityToolbar.globalUserId", "7ce01cc2-b447-4685-ac9d-fa1c9895b979"); Found : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); Found : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); Found : user_pref("ConduitEngine.AppTrackingLastCheckTime", "Fri Nov 04 2011 15:21:40 GMT+0100"); Found : user_pref("ConduitEngine.CTID", "ConduitEngine"); Found : user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Sat May 07 2011 17:54:10 GMT+0200"); Found : user_pref("ConduitEngine.FirstServerDate", "05/07/2011 18"); Found : user_pref("ConduitEngine.FirstTime", true); Found : user_pref("ConduitEngine.FirstTimeFF3", true); Found : user_pref("ConduitEngine.FixPageNotFoundErrors", false); Found : user_pref("ConduitEngine.HasUserGlobalKeys", true); Found : user_pref("ConduitEngine.HideEngineAfterRestart", false); Found : user_pref("ConduitEngine.Initialize", true); Found : user_pref("ConduitEngine.InitializeCommonPrefs", true); Found : user_pref("ConduitEngine.InstallationType", "UnknownIntegration"); Found : user_pref("ConduitEngine.InstalledDate", "Sat May 07 2011 17:54:09 GMT+0200"); Found : user_pref("ConduitEngine.IsMulticommunity", false); Found : user_pref("ConduitEngine.IsOpenThankYouPage", false); Found : user_pref("ConduitEngine.IsOpenUninstallPage", false); Found : user_pref("ConduitEngine.LanguagePackLastCheckTime", "Sat May 07 2011 17:54:10 GMT+0200"); Found : user_pref("ConduitEngine.LastLogin_3.3.3.2", "Sat May 07 2011 17:54:09 GMT+0200"); Found : user_pref("ConduitEngine.PublisherContainerWidth", 0); Found : user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); Found : user_pref("ConduitEngine.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=C[...] Found : user_pref("ConduitEngine.SettingsLastCheckTime", "Sat May 07 2011 17:54:08 GMT+0200"); Found : user_pref("ConduitEngine.UserID", "UN38840381409944367"); Found : user_pref("ConduitEngine.engineLocale", "pl"); Found : user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Sat May 07 2011 17:54:10 GMT+0200"); Found : user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Sat May 07 2011 17:54:12 GMT+0200"); Found : user_pref("ConduitEngine.initDone", true); Found : user_pref("ConduitEngine.isAppTrackingManagerOn", true); Found : user_pref("extensions.IObitBar.openSearchURL", "hxxp://results.myway.com/opensearch.jhtml?id=YI&ptb=[...] Found : user_pref("extensions.IObitBar.prevKwdURL", "hxxp://slirsredirect.search.aol.com/slirs_hxxp/sredir?s[...] Found : user_pref("winamp_toolbar.buttons.layout", "skins_btn_wa;plugins_btn_wa;shout_btn_wa;video_btn_wa;ai[...] Found : user_pref("winamp_toolbar.firsttime.showwindow", false); Found : user_pref("winamp_toolbar.install.lastTbVersion", "5.6.12.1"); Found : user_pref("winamp_toolbar.metrics.activestampdate", "4"); Found : user_pref("winamp_toolbar.metrics.activestampmonth", "11"); Found : user_pref("winamp_toolbar.metrics.activestampyear", "2010"); Found : user_pref("winamp_toolbar.metrics.originalDate", "3"); Found : user_pref("winamp_toolbar.metrics.originalHours", "3"); Found : user_pref("winamp_toolbar.metrics.originalMinutes", "35"); Found : user_pref("winamp_toolbar.metrics.originalMonth", "6"); Found : user_pref("winamp_toolbar.metrics.originalSeconds", "24"); Found : user_pref("winamp_toolbar.metrics.originalYear", "2010"); Found : user_pref("winamp_toolbar.search.populateoncomplete", false); Found : user_pref("winamp_toolbar.search.searchtype", "web"); Found : user_pref("winamp_toolbar.search.source", "tb50ffwinamp"); Found : user_pref("winamp_toolbar.strbundle.msg", "Winamp Toolbar"); Found : user_pref("winamp_toolbar.upgrade.showwindow", false); Found : user_pref("winamp_toolbar.winamp.appversion", "20568"); Found : user_pref("winamp_toolbar.winamp.artist", "Bram van der Poel "); Found : user_pref("winamp_toolbar.winamp.title", "Bram van der Poel - T-80 (Turrican Title)"); Found : user_pref("winamp_toolbar.winamp.tracklength", "244"); Found : user_pref("winamp_toolbar.winamp.tracktime", "233983"); Found : user_pref("winamp_toolbar.winamp.volume", "255"); ************************* AdwCleaner[R1].txt - [10717 octets] - [25/02/2012 17:45:22] ########## EOF - C:\AdwCleaner[R1].txt - [10846 octets] ########## OTL.Txt Extras.Txt Edytowane 25 Lutego 2012 przez pzm Tak więc czekam na GMER i AdwCleaner. Przy komplecie danych przejdę dalej. //picasso Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 pzm, nie wiem ile razy mam mówić o nie tworzeniu zbędnych postów, usuwam. Jeżeli nie ma mnie na forum, nie widzę postów i tyle, cokolwiek byś nie napisał. Jeżeli nie mam czasu przetworzyć tematu, omijam temat. Czekaj cierpliwie. Ja widzę gdzie jest edycja wykonana, jeżeli sprawdzam temat. Nie ma potrzeby mi o tym przypominać. Większość zadań pomyślnie wykonana (w tym Winsock wrócł do normy), jednakże skrypt nie ruszył: "Folder move failed. C:\WINDOWS\$NtUninstallKB42837$ scheduled to be moved on reboot." 1. Potwórka. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\$NtUninstallKB42837$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\$NtUninstallKB42837$ Klik w Wykonaj skrypt. 3. AdwCleaner widzi dużo śmieci. Wybierz w nim opcję Delete. 4. Do oceny: log z wynikami usuwania z punktu 2 oraz nowy log z AdwCleaner z opcji Search. . Odnośnik do komentarza
pzm Opublikowano 26 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2012 (edytowane) Pani Virusińska postaram się już nie dawać więcej postów pod postami choć wiesz czasem może się zdarzyć zwłaszcza podczas picia piwa oki daje log z wynikami usuwania z OTL ========== FILES ========== C:\WINDOWS\$NtUninstallKB42837$ folder moved successfully. OTL by OldTimer - Version 3.2.33.2 log created on 02262012_181054 jak widac tym razem wszystko poszło oki,za chwilę dodam log z AdwCleaner ... # AdwCleaner v1.500 - Logfile created 02/26/2012 at 18:17:27 # Updated 23/02/2012 by Xplode # Operating system : Microsoft Windows XP Dodatek Service Pack 2 (32 bits) # User : Przemek - MI-3C887F406E8E # Running from : C:\Documents and Settings\Przemek\Pulpit\PROGRAMY\adwcleaner.exe # Option [Delete] ***** [services] ***** ***** [Files / Folders] ***** Folder Deleted : C:\Documents and Settings\Przemek\Dane aplikacji\AD ON Multimedia Folder Deleted : C:\Program Files\Conduit Folder Deleted : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\Conduit Folder Deleted : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\ConduitEngine Folder Deleted : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\winampToolbarData ***** [H. Navipromo] ***** ***** [Registry] ***** [*] Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2786678 Key Deleted : HKCU\Toolbar Key Deleted : HKCU\Software\Conduit Key Deleted : HKLM\SOFTWARE\Conduit Key Deleted : HKLM\SOFTWARE\Classes\IMsiDe1egate.Application.1 Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E1164984-B567-47BD-A7FF-240C2594404A} Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D} ***** [internet Browsers] ***** -\\ Internet Explorer v6.0.2900.2180 [OK] Registry is clean. -\\ Mozilla Firefox v10.0.2 (pl) Profile : 2h7b6ae8.default File : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\prefs.js C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\user.js ... Deleted ! Deleted : user_pref("CommunityToolbar.CantToolbarBeEngineOwner", ""); Deleted : user_pref("CommunityToolbar.ETag.hxxp://alerts.conduit-services.com/root/909619/905414/PL", "\"0\"")[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2504091", [...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://appsmetadata.toolbar.conduit-services.com/?ctid=CT2786678", [...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=GottenApps&lo[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=OtherApps&loc[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=SharedApps&lo[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://contextmenu.toolbar.conduit-services.com/?name=Toolbar&local[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.alert.conduit-services.com/alert/dlg.pkg", "\[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.engine.conduit-services.com/DLG.pkg?ver=3.3.3[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://dynamicdialogs.toolbar.conduit-services.com/DLG.pkg?ver=3.3.[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2504091",[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://servicemap.conduit-services.com/Toolbar/?ownerId=CT2786678",[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://settings.engine.conduit-services.com/?browser=FF&lut=0", "63[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2504091/CT2504091[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://settings.toolbar.search.conduit.com/root/CT2786678/CT2786678[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en", "\"634[...] Deleted : user_pref("CommunityToolbar.ETag.hxxp://translation.toolbar.conduit-services.com/?locale=en-us", "\"[...] Deleted : user_pref("CommunityToolbar.EngineOwner", "ConduitEngine"); Deleted : user_pref("CommunityToolbar.EngineOwnerGuid", "engine@conduit.com"); Deleted : user_pref("CommunityToolbar.EngineOwnerToolbarId", "conduitengine"); Deleted : user_pref("CommunityToolbar.IsEngineShown", false); Deleted : user_pref("CommunityToolbar.IsMyStuffImportedToEngine", true); Deleted : user_pref("CommunityToolbar.OriginalEngineOwner", "CT2504091"); Deleted : user_pref("CommunityToolbar.OriginalEngineOwnerGuid", "{ba14329e-9550-4989-b3f2-9732e92d17cc}"); Deleted : user_pref("CommunityToolbar.OriginalEngineOwnerToolbarId", "vuze_remote"); Deleted : user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "hxxp://results.myway.com/GGmain.jhtml?id[...] Deleted : user_pref("CommunityToolbar.ToolbarsList", "ConduitEngine"); Deleted : user_pref("CommunityToolbar.ToolbarsList2", "ConduitEngine"); Deleted : user_pref("CommunityToolbar.alert.alertDialogsGetterLastCheckTime", "Sun Feb 19 2012 19:36:06 GMT+01[...] Deleted : user_pref("CommunityToolbar.alert.alertInfoInterval", 1440); Deleted : user_pref("CommunityToolbar.alert.alertInfoLastCheckTime", "Thu Feb 23 2012 18:18:44 GMT+0100"); Deleted : user_pref("CommunityToolbar.alert.clientsServerUrl", "hxxp://alert.client.conduit.com"); Deleted : user_pref("CommunityToolbar.alert.locale", "en"); Deleted : user_pref("CommunityToolbar.alert.loginIntervalMin", 1440); Deleted : user_pref("CommunityToolbar.alert.loginLastCheckTime", "Thu Feb 23 2012 17:01:11 GMT+0100"); Deleted : user_pref("CommunityToolbar.alert.loginLastUpdateTime", "1313487611"); Deleted : user_pref("CommunityToolbar.alert.messageShowTimeSec", 20); Deleted : user_pref("CommunityToolbar.alert.servicesServerUrl", "hxxp://alert.services.conduit.com"); Deleted : user_pref("CommunityToolbar.alert.showTrayIcon", false); Deleted : user_pref("CommunityToolbar.alert.userCloseIntervalMin", 300); Deleted : user_pref("CommunityToolbar.alert.userId", "5a79b86d-ef68-47f0-98e6-4d11f9c9f06d"); Deleted : user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Sat May 07 2011 17:54:16 GMT+0200"); Deleted : user_pref("CommunityToolbar.globalUserId", "7ce01cc2-b447-4685-ac9d-fa1c9895b979"); Deleted : user_pref("CommunityToolbar.isAlertUrlAddedToFeedItemTable", true); Deleted : user_pref("CommunityToolbar.isClickActionAddedToFeedItemTable", true); Deleted : user_pref("ConduitEngine.AppTrackingLastCheckTime", "Fri Nov 04 2011 15:21:40 GMT+0100"); Deleted : user_pref("ConduitEngine.CTID", "ConduitEngine"); Deleted : user_pref("ConduitEngine.DialogsGetterLastCheckTime", "Sat May 07 2011 17:54:10 GMT+0200"); Deleted : user_pref("ConduitEngine.FirstServerDate", "05/07/2011 18"); Deleted : user_pref("ConduitEngine.FirstTime", true); Deleted : user_pref("ConduitEngine.FirstTimeFF3", true); Deleted : user_pref("ConduitEngine.FixPageNotFoundErrors", false); Deleted : user_pref("ConduitEngine.HasUserGlobalKeys", true); Deleted : user_pref("ConduitEngine.HideEngineAfterRestart", false); Deleted : user_pref("ConduitEngine.Initialize", true); Deleted : user_pref("ConduitEngine.InitializeCommonPrefs", true); Deleted : user_pref("ConduitEngine.InstallationType", "UnknownIntegration"); Deleted : user_pref("ConduitEngine.InstalledDate", "Sat May 07 2011 17:54:09 GMT+0200"); Deleted : user_pref("ConduitEngine.IsMulticommunity", false); Deleted : user_pref("ConduitEngine.IsOpenThankYouPage", false); Deleted : user_pref("ConduitEngine.IsOpenUninstallPage", false); Deleted : user_pref("ConduitEngine.LanguagePackLastCheckTime", "Sat May 07 2011 17:54:10 GMT+0200"); Deleted : user_pref("ConduitEngine.LastLogin_3.3.3.2", "Sat May 07 2011 17:54:09 GMT+0200"); Deleted : user_pref("ConduitEngine.PublisherContainerWidth", 0); Deleted : user_pref("ConduitEngine.SearchFromAddressBarIsInit", true); Deleted : user_pref("ConduitEngine.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=C[...] Deleted : user_pref("ConduitEngine.SettingsLastCheckTime", "Sat May 07 2011 17:54:08 GMT+0200"); Deleted : user_pref("ConduitEngine.UserID", "UN38840381409944367"); Deleted : user_pref("ConduitEngine.engineLocale", "pl"); Deleted : user_pref("ConduitEngine.enngineContextMenuLastCheckTime", "Sat May 07 2011 17:54:10 GMT+0200"); Deleted : user_pref("ConduitEngine.globalFirstTimeInfoLastCheckTime", "Sat May 07 2011 17:54:12 GMT+0200"); Deleted : user_pref("ConduitEngine.initDone", true); Deleted : user_pref("ConduitEngine.isAppTrackingManagerOn", true); Deleted : user_pref("extensions.IObitBar.openSearchURL", "hxxp://results.myway.com/opensearch.jhtml?id=YI&ptb=[...] Deleted : user_pref("extensions.IObitBar.prevKwdURL", "hxxp://slirsredirect.search.aol.com/slirs_hxxp/sredir?s[...] Deleted : user_pref("winamp_toolbar.buttons.layout", "skins_btn_wa;plugins_btn_wa;shout_btn_wa;video_btn_wa;ai[...] Deleted : user_pref("winamp_toolbar.firsttime.showwindow", false); Deleted : user_pref("winamp_toolbar.install.lastTbVersion", "5.6.12.1"); Deleted : user_pref("winamp_toolbar.metrics.activestampdate", "4"); Deleted : user_pref("winamp_toolbar.metrics.activestampmonth", "11"); Deleted : user_pref("winamp_toolbar.metrics.activestampyear", "2010"); Deleted : user_pref("winamp_toolbar.metrics.originalDate", "3"); Deleted : user_pref("winamp_toolbar.metrics.originalHours", "3"); Deleted : user_pref("winamp_toolbar.metrics.originalMinutes", "35"); Deleted : user_pref("winamp_toolbar.metrics.originalMonth", "6"); Deleted : user_pref("winamp_toolbar.metrics.originalSeconds", "24"); Deleted : user_pref("winamp_toolbar.metrics.originalYear", "2010"); Deleted : user_pref("winamp_toolbar.search.populateoncomplete", false); Deleted : user_pref("winamp_toolbar.search.searchtype", "web"); Deleted : user_pref("winamp_toolbar.search.source", "tb50ffwinamp"); Deleted : user_pref("winamp_toolbar.strbundle.msg", "Winamp Toolbar"); Deleted : user_pref("winamp_toolbar.upgrade.showwindow", false); Deleted : user_pref("winamp_toolbar.winamp.appversion", "20568"); Deleted : user_pref("winamp_toolbar.winamp.artist", "Bram van der Poel "); Deleted : user_pref("winamp_toolbar.winamp.title", "Bram van der Poel - T-80 (Turrican Title)"); Deleted : user_pref("winamp_toolbar.winamp.tracklength", "244"); Deleted : user_pref("winamp_toolbar.winamp.tracktime", "233983"); Deleted : user_pref("winamp_toolbar.winamp.volume", "255"); ************************* AdwCleaner[R1].txt - [10848 octets] - [25/02/2012 17:45:22] AdwCleaner[R2].txt - [10899 octets] - [26/02/2012 18:16:14] AdwCleaner[s1].txt - [310 octets] - [26/02/2012 18:16:24] AdwCleaner[s2].txt - [11240 octets] - [26/02/2012 18:17:27] ########## EOF - C:\AdwCleaner[s2].txt - [11369 octets] ########## słuchaj mogę sobie tego AdwCleaner użyć do przeczyszczenia jeszcze Visty i ogólnie używać od czasu do czasu żeby oczyścic kompa prawda? Edytowane 26 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 26 Lutego 2012 Zgłoś Udostępnij Opublikowano 26 Lutego 2012 No tak, ale miałeś podać log z AdwCleaner z opcji Search, już po użyciu Delete. Nie prosiłam o log z procesu Delete. słuchaj mogę sobie tego AdwCleaner użyć do przeczyszczenia jeszcze Visty i ogólnie używać od czasu do czasu żeby oczyścic kompa prawda? AdwCleaner służy do określonego celu: usuwanie predefiniowanych adware, tylko i wyłącznie. Nie jest programem-magikiem, którego cel to jakieś "ogólne porządki" w systemie i regularne używanie ... By mieć podstawy do użycia programu, należy: zorientować się czy w ogóle są w systemie obiekty sponsoringowe, a jeśli takowe są, to w pierwszej kolejności używa się naturalną drogę deinstalacji obecną w Windows. AdwCleaner to jest usuwanie "na brutala", stosuję go jako wykończenie po deinstalacjach, do likwidacji odpadków pozostawionych mimo deinstalacji. . Odnośnik do komentarza
pzm Opublikowano 26 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 26 Lutego 2012 (edytowane) no tak racja sorki wszystko wporządku jest teraz oto log # AdwCleaner v1.500 - Logfile created 02/26/2012 at 20:26:11 # Updated 23/02/2012 by Xplode # Operating system : Microsoft Windows XP Dodatek Service Pack 2 (32 bits) # User : Przemek - MI-3C887F406E8E # Running from : C:\Documents and Settings\Przemek\Pulpit\PROGRAMY\adwcleaner.exe # Option [search] ***** [services] ***** ***** [Files / Folders] ***** ***** [H. Navipromo] ***** ***** [Registry] ***** ***** [internet Browsers] ***** -\\ Internet Explorer v6.0.2900.2180 [OK] Registry is clean. -\\ Mozilla Firefox v10.0.2 (pl) Profile : 2h7b6ae8.default File : C:\Documents and Settings\Przemek\Dane aplikacji\Mozilla\Firefox\Profiles\2h7b6ae8.default\prefs.js [OK] File is clean. ************************* AdwCleaner[R1].txt - [10848 octets] - [25/02/2012 17:45:22] AdwCleaner[R2].txt - [10899 octets] - [26/02/2012 18:16:14] AdwCleaner[s1].txt - [310 octets] - [26/02/2012 18:16:24] AdwCleaner[s2].txt - [11371 octets] - [26/02/2012 18:17:27] AdwCleaner[R3].txt - [1005 octets] - [26/02/2012 20:26:11] ########## EOF - C:\AdwCleaner[R3].txt - [1133 octets] ########## rozumiem dość często instaluje i odinstalowywuje programy to tak raz na pół roku raz na rok będe używał tego programu do oczyszczenia z odpadów,mam kolejne pytanie mam dysk twardy 500gb jak miałem na nim zainstalowana tylko viste to tyle mi wyświetlał a po podzieleniu dysku na dwie partycje i zainstalowaniu na jednej systemu xp obie partycje podają mi po 232gb a powinny pokazywać po 250gb wiesz jak temu zaradzić ??? acha i dziękuję Ci za pomoc w doprowadzeniu komputera do porządku! buziak dziubasku Edytowane 26 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Kolejna porcja czyszczenia: 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. Przedstaw wynikowy raport, o ile coś zostanie wykryte. rozumiem dość często instaluje i odinstalowywuje programy to tak raz na pół roku raz na rok będe używał tego programu do oczyszczenia z odpadów Tu nadal zachodzi jakieś nieporozumienie. AdwCleaner nie służy do likwidacji odpadków po deinstalacjach normalnych programów. AdwCleaner usuwa tylko określone komponenty adware / sponsoringowe, których nie odznaczono przy instalacji programu głównego (jakieś paski narzędziowe). mam kolejne pytanie mam dysk twardy 500gb jak miałem na nim zainstalowana tylko viste to tyle mi wyświetlał a po podzieleniu dysku na dwie partycje i zainstalowaniu na jednej systemu xp obie partycje podają mi po 232gb a powinny pokazywać po 250gb wiesz jak temu zaradzić ??? Czy na pewno to 500 było widzialne z poziomu Vista? Windows nie pokaże dysku przeliczonego dokładnie jak od producenta, Windows liczy w systemie dwójkowym (przez 1024) a nie dziesiętnym, co oznacza, że z poziomu Windows liczba nie jest okrągła i "urwane". . Odnośnik do komentarza
pzm Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 pkt 1 i 2 wykonałem usunąłem ten AdwCleaner tak jak tego sobie zażyczyłaś aktualizacje systemu miałem wyłączoną właczyłem ponownie,chciałem zainstalowac internet explorer ver 8 ale nie zainstalowała się ponieważ wymagana jest aktualizacja której nie ściągnąłem ponieważ wersja w j. polskim nie jest jeszcze ukończona czy coś takiego, mniejsza z tym, skanuje teraz tym programem anti-malware,jeśli chodzi o dysk to z tego co pamiętam to z poziomu windowws było widziane 500gb poza tym nie wykrywa chyba tych pozostałych gb bo jak cos instaluje to mnie informuje że nie ma juz miejsca,dobra nie zawracaj sobie tym głowy,mam tak już od prawie dwóch lat ... raport z Anti-malvare przedstawie jak skończy skan ... Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Czekam na ukończenie skanowania MBAM. Natomiast: aktualizacje systemu miałem wyłączoną właczyłem ponownie,chciałem zainstalowac internet explorer ver 8 ale nie zainstalowała się ponieważ wymagana jest aktualizacja której nie ściągnąłem ponieważ wersja w j. polskim nie jest jeszcze ukończona czy coś takiego Ten system to jest w ogóle w fatalnym stanie aktualizacyjnym: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Wspominasz tylko o IE8 ale nie o głównej aktualizacji SP3 (oraz wszystkich łatach wydanych po). Brakuje tu masy łat. Gdy system zostanie potwierdzony jako czysty, należy nadrobić to wszystko: KLIK. jeśli chodzi o dysk to z tego co pamiętam to z poziomu windowws było widziane 500gb poza tym nie wykrywa chyba tych pozostałych gb bo jak cos instaluje to mnie informuje że nie ma juz miejsca Podaj co na przykład podaje takie błędy podczas instalacji i gdzie wskazujesz miejsce do instalacji, gdyż miejsca na dysku wg przeliczeń OTL nie ma znowóż tak dużo: Drive C: | 232,75 Gb Total Space | 13,07 Gb Free Space | 5,62% Space Free | Partition Type: NTFSDrive D: | 233,00 Gb Total Space | 9,56 Gb Free Space | 4,10% Space Free | Partition Type: NTFS Na D siedzi Vista a pozostałe 9 i pół to jest malutko dla Vista. . Odnośnik do komentarza
pzm Opublikowano 27 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2012 (edytowane) zgadza się miejsca nie ma zbyt dużo,bo mam mase pierdół głównie gier to nie sa błędy tylko informacje,że brakuje miejsca na dysku,mniejsza z tym jakbym pewnie sformatował dysk i zostawił tylko jedna partycję to myślę ,że wtedy wróciło by z powrotem do 500 gb,oki jak skończy się skanowanie to wykonam Twój kilk aktualizacyjny tego systemu ... mam wyniki,wyszło 17 malware na obu dyskach kilku nie usuwam bo sa to moje gry ... Malwarebytes Anti-Malware 1.60.1.1000 www.malwarebytes.org Wersja bazy: v2012.02.27.01 Windows XP Service Pack 2 x86 NTFS Internet Explorer 6.0.2900.2180 Przemek :: MI-3C887F406E8E [administrator] 2012-02-27 16:01:14 mbam-log-2012-02-27 (19-00-43).txt Typ skanowania: Pełne skanowanie Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM Odznaczone opcje skanowania: P2P Przeskanowano obiektów: 560919 Upłynęło: 2 godzin(y), 35 minut(y), 44 sekund(y) Wykrytych procesów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych modułów w pamięci: 0 (Nie znaleziono zagrożeń) Wykrytych kluczy rejestru: 0 (Nie znaleziono zagrożeń) Wykrytych wartości rejestru: 0 (Nie znaleziono zagrożeń) Wykryte wpisy rejestru systemowego: 0 (Nie znaleziono zagrożeń) wykrytych folderów: 1 C:\Program Files\winsoft9\WINDOWS\time (Trojan.Winsoft) -> Nie wykonano akcji. Wykrytych plików: 17 D:\Program Files\CAPCOM\RESIDENT EVIL 5\Backup files\RESIDENT EVIL 5 DX10 v1.0.0.129 + 13 Trainer.exe (HackTool.GamesCheat) -> Nie wykonano akcji. D:\Program Files\Konami\SILENT HILL 3\SILENT HILL 3 v1.0.0.1 + 8 Trainer.exe (HackTool.GamesCheat) -> Nie wykonano akcji. D:\Program Files\RG Packers\Alien Breed\Alien Breed 3 Descent\Binaries\AlienBreed3Launcher.exe (Trojan.Agent.H) -> Nie wykonano akcji. D:\Program Files\Sonic Generations\TDU10k.exe (Packer.ModifiedUPX) -> Nie wykonano akcji. D:\Program Files\SQUARE ENIX - Eidos Interactive\Lara Croft and the Guardian of Light\LcgolLauncher.exe (Trojan.FakeAlert) -> Nie wykonano akcji. C:\Program Files\winsoft9\3.vbs (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\77zb.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\9ptv.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\game.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\kusila.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\mm.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\qq.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\taobao.ico (Malware.Trace) -> Nie wykonano akcji. C:\Program Files\winsoft9\t2.exe (Trojan.Clicker) -> Nie wykonano akcji. C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Temp\{E9C1E1AC-C9B2-4C85-94DE-9C1518918D02}.TLB (Rootkit.Zeroaccess) -> Nie wykonano akcji. C:\Program Files\winsoft9\WINDOWS\time\mian.dil (Trojan.Winsoft) -> Nie wykonano akcji. C:\Program Files\winsoft9\WINDOWS\time\mian.dll (Trojan.Winsoft) -> Nie wykonano akcji. (zakończone) usune tylko to co mi zbędne,sorry znów zapomniałem edytować ... nie usuwałem 5-ciu pierwszych ale to z dysku D dam sobie spokój z aktualizacją za dużo jeb... sie z tym,włączyłem automatyczna aktualizacje więc powinien windows sam się zaktualizować ... p.s albo pobawie się,dałem pobieranie dodatku sp 3 dla xp kur... i nie potrzebnie, zawiesiło się w czasie instalacji,na uruchamianiu procesów po instalacji ... oki ponownie uruchomiłem instalator dodatku sp 3 i tym razem się zainstalowało pomyślnie,ale wyskoczył komunikat aby zresetować kompa i po zresetowaniu przy kolejnym ładowaniu się systemu wyskoczyło okno z napisem instalacja przerwana przywracanie poprzedniej konfiguracji czy coś takiego i ładowanie xp się nie dokończyło tylko sam ponownie zresetował się system ... kliknąłem panel sterowania,system i jest w napisie dodatek Service Pack 3,czyli zainstalowany z tego wynika ... wyłączyłem ponownie automatyczne aktualizacje i wyczyściłem folder Software Distribution ,bo naokragło przy każdym włączeniu komputera pobierał i po każdej instalacji kazał resetować kompa,trochę tych aktualizacji poinstalowałem mimo wszystko Edytowane 27 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2012 Zgłoś Udostępnij Opublikowano 27 Lutego 2012 Wyniki MBAM: ten oczywisty ze ścieżki C:\WINDOWS\system32\config\systemprofile + wszystko z winsoft9 (KLIK) do usunięcia. Reszta to możliwe, że fałszywe alarmy. to nie sa błędy tylko informacje,że brakuje miejsca na dysku Te ostrzeżenia w zasobniku można wyłączyć: KB285107. mniejsza z tym jakbym pewnie sformatował dysk i zostawił tylko jedna partycję to myślę ,że wtedy wróciło by z powrotem do 500 gb Jasno się wypowiedz: ile ten dysk ma na etykiecie od producenta? Jeżeli wg producenta jest to 500 GB, w Windows nigdy w życiu nie będzie pokazane równo 500, bo jak mówię Windows liczy w systemie dwójkowym. Jeżeli Twój dysk od producenta to 500GB = 500000000000 bajtów, to Windows przelicza przez 1024 (a nie 1000): 500000000000 : 1024 = 488281250 KB 488281250 : 1024 = 476837,158203125 MB 476837,158203125 : 1024 = ~465,7 GB OTL widzi dwie partycje: Drive C: | 232,75 Gb Total Space | 13,07 Gb Free Space | 5,62% Space Free | Partition Type: NTFS Drive D: | 233,00 Gb Total Space | 9,56 Gb Free Space | 4,10% Space Free | Partition Type: NTFS Sumują się mniej więcej na obliczoną powyżej liczbę GB i wszystko się zgadza. Dla porównania: mój dysk 640GB od producenta to wg Windows 7 596GB. Nieco ponad 40GB w tył i to nie jest 40GB, które "zaginęło", tylko Windows inaczej liczy jednostki. dam sobie spokój z aktualizacją za dużo jeb... sie z tym,włączyłem automatyczna aktualizacje więc powinien windows sam się zaktualizować ... Niestety ale nie, instalatory w przyklejonym są podane celowo w formie pełnej. XP SP2 jest zbanowany od systemu Automatycznych aktualizacji, Microsoft odciął te sita. Jest wymagany dodatek SP3, by Automatyczne aktualizacje działały i pobierały łaty wydane po. p.s albo pobawie się,dałem pobieranie dodatku sp 3 dla xp kur... i nie potrzebnie, zawiesiło się w czasie instalacji,na uruchamianiu procesów po instalacji ... oki ponownie uruchomiłem instalator dodatku sp 3 i tym razem się zainstalowało pomyślnie,ale wyskoczył komunikat aby zresetować kompa i po zresetowaniu przy kolejnym ładowaniu się systemu wyskoczyło okno z napisem instalacja przerwana przywracanie poprzedniej konfiguracji czy coś takiego i ładowanie xp się nie dokończyło tylko sam ponownie zresetował się system ... kliknąłem panel sterowania,system i jest w napisie dodatek Service Pack 3,czyli zainstalowany z tego wynika ...wyłączyłem ponownie automatyczne aktualizacje i wyczyściłem folder Software Distribution ,bo naokragło przy każdym włączeniu komputera pobierał i po każdej instalacji kazał resetować kompa,trochę tych aktualizacji poinstalowałem mimo wszystko Mam silne wątpliwości czy system jest załatany. Instalacja SP3 to ledwie początek. Wyłączyłeś Automatyczne aktualizacje i przerwałeś pobieranie łat, a co to za łaty to nie wiadomo. Ty masz dokończyć aktualizacje od A do Z. Oczywiście, że tego jest dużo, czego Ty się spodziewasz na XP SP2 lub XP SP2 któremu doinstalowano SP3 (to rok 2008 i od tego czasu duuuużo wydano) ... To jest połowa drogi ... . Odnośnik do komentarza
pzm Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 (edytowane) nie umiem wyłączyć tych ostrzeżeń w zasobniku mniejsza z tym ... według tego co piszesz wszystko jest oki z dyskiem w takim razie, ma 500gb i rzeczywiście tak pokazuje z tego co pamiętam 465,7 gb,a więc włączę te aktualizacje i doprowadze do końca ich instalacje ... z tym nie umiem zrobić porządku tam po angielsku jest napisane Wyniki MBAM: ten oczywisty ze ścieżki C:\WINDOWS\system32\config\systemprofile + wszystko z winsoft9 (KLIK) do usunięcia. Reszta to możliwe, że fałszywe alarmy. napisz mi krok po kroku co zrobić,o ile pisania nie ma za dużo bo z tej strony do której odwołuje mnie ten klik niczego nie kumam ... Edytowane 28 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 nie umiem wyłączyć tych ostrzeżeń w zasobniku mniejsza z tym ... Tzn. z czym masz problem? z tym nie umiem zrobić porządku tam po angielsku jest napisane Miałam na myśli: usuń za pomocą MBAM co wykrył. A link anglojęzyczny podany tylko poglądowo na dowód, że wykrycia winsoft9 to nie są fałszywe alarmy. . Odnośnik do komentarza
pzm Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 nie mogę odnaleźć klucza jeśli chodzi o ostrzeżenia w zasobniku,mam usunąc za pomoca MBAM ale co to jest to MBAM ? podaj link do tego jeśli możesz i powiedz od razu co mam wpisać jeśli coś trzeba wpisywać ... Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 nie mogę odnaleźć klucza jeśli chodzi o ostrzeżenia w zasobniku Tak, bo masz go utworzyć. Skoro masz z tym problem, to zrób to automatycznie. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] "NoLowDiskSpaceChecks"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system, by zatwierdzić zmiany. mam usunąc za pomoca MBAM ale co to jest to MBAM Jest to skrót nazwy narzędzia, którym już dysponujesz: MBAM = Malwarebytes Anti-Malware. Przecież to ten program wykrył infekcje, logicznym założeniem jest, że on ma być użyty do usuwania, skoro przy tych wynikach stoi "Nie wykonano akcji". . Odnośnik do komentarza
pzm Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 (edytowane) okey,zaraz to wykonam ... zapisałem go jako FIX.REG ale gdzie go znajde żeby go uruchomic ? acha okey wpisałem FIX.REG w uruchom i teraz zrestartuje system ... juz po restarcie, czyli teraz uruchomić mam MBAM dać od nowa skanowanie całego systemu C i D ? Edytowane 28 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 zapisałem go jako FIX.REG ale gdzie go znajde żeby go uruchomic ? acha okey wpisałem FIX.REG w uruchom i teraz zrestartuje system ... Plik FIX.REG można było także uruchomić: przez dwuklik lub z prawokliku na plik w menu kontekstowym opcja "Scal". czyli teraz uruchomić mam MBAM dać od nowa skanowanie całego systemu C i D ? A ja myślałam, że okna nie zamknąłeś i możesz od razu podjąć działania na wynikach ... W takim układzie musisz wywołać ponownie skan i wystarczy tylko skan C, bo to z C mają być usuwane obiekty. . Odnośnik do komentarza
pzm Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 (edytowane) cyt. Plik FIX.REG można było także uruchomić: przez dwuklik lub z prawokliku na plik w menu kontekstowym opcja "Scal". nie rozumiem,gdzie sie ten plik FIX.REG znajduje ? oki więc ponownie uruchomie skan tylko dysku C w między czasie obejrze horror który sobie ściągnąłem,a Ty widze nocny marek jestes tak jak ja,albo za dużo piwa wytrabiłaś i dlatego spać nie możesz no chyba,że to ze względu na mnie wciąż jesteś na forum Edytowane 28 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 cyt. Plik FIX.REG można było także uruchomić: przez dwuklik lub z prawokliku na plik w menu kontekstowym opcja "Scal". nie rozumiem,gdzie sie ten plik FIX.REG znajduje ? pzm no kurcze, plik jest tam gdzie go zapisałeś z poziomu Notatnika ... To Ty wskazywałeś przecież ścieżkę. Poza tym, mówiłeś coś takiego: "acha okey wpisałem FIX.REG w uruchom i teraz zrestartuje system". Tu naprawdę nie rozumiem co to była za akcja z "uruchom", skoro teraz mnie pytasz gdzie jest FIX.REG, który ... Ty przecież zapisywałeś! Ty widze nocny marek jestes A jestem. . Odnośnik do komentarza
pzm Opublikowano 28 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2012 (edytowane) ja nie wiem gdzie go zapisałem potem kliknąłem start,uruchom wpisałem FIX.REG i wyskoczyło pytanie czy dodac go do kluczy rejestru więc potwierdziłem że tak i zrestartowałem system a gdzie się utworzył ten plik to nie wiem i go nie uruchamiałem klikaniem,jest jakas mozliwość żeby go znaleźć ? nie oglądnę filmu wywaliłem bo wersja z napisami i lektor ruski w dodatku ... okey już znalazłem i faktycznie tak mogłem go uruchomic jak napisałaś czyli teraz mogę go usunąć bo juz jest dodany do rejestru,zrobię sobie tylko taki sam na viście i też go wpisze w rejestr ... jak będe na Viscie moze w dzień to zrobie log i Ci podeślę tutaj bo napewno mam tam sporo śmieci i niepotrzebnych rzeczy i chętnie bym sobie oczyścił zobaczysz co i jak oki ? Edytowane 28 Lutego 2012 przez pzm Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2012 Zgłoś Udostępnij Opublikowano 28 Lutego 2012 czyli teraz mogę go usunąć bo juz jest dodany do rejestru,zrobię sobie tylko taki sam na viście i też go wpisze w rejestr ... Skoro chcesz go używać na Vista, to po co robić drugi plik. Przekopiuj go sobie na dysk z Vista. Natomiast plik po użyciu możesz wywalić, bo jest jednorazowy. Z drugiej strony, możesz sobie przygowować na zapas i odwrotność, czyli plik który usuwa blokadę, na wypadek gdybyś kiedykolwiek chciał przywrócić te powiadomienia o małej ilości wolnego miejsca. Plik miałby zawartość: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies] "NoLowDiskSpaceChecks"=- Poza tym, blokowanie powiadomień to jedno, to jest tylko kosmetyczne ukrywanie problemu. Ale zainteresuj się i porządkami na dysku, które w rzeczywisty sposób uwolnią miejsce na dysku. . Odnośnik do komentarza
Rekomendowane odpowiedzi