Landuss

Wygląda, że infekcja zażegnana. Na dobreprogramy użytkownik bez sensu każe ci wykonywać skan z SystemLook, tu nie ma infekcji ZeroAccess jak on sugeruje więc nie wykonuj tego. Na koniec zrób: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Ale według logów infekcja jest usunięta. Jak wygląda ten stop? Czy to aby nie jest bluescreen? Najlepiej wykonaj screen.

Jak dla mnie, to nic niepokojącego. Ostatnie logi wyraźnie pokazały, ze Sality to już historia

Potwierdzam usunięcie infekcji. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Radzę tymczasowo odinstalować Avasta bo to on może generować tego typu problem. Sam widzisz, że w trybie awaryjnym jest dobrze to znaczy ze problem sprawia coś co ładuje się w trybie normalnym.

Wiem, ale to po prostu dalej siedzi jak przylepione i nie wiem dlaczego. Spróbuj wykonać skan za pomocą Kaspersky Virus Removal Tool i zobacz czy coś znajdzie.

To może jeszcze wykonaj dwie rzeczy: 1. Sprawdź poprawność integralności plików - Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 2. Przeskanuj się na koniec za pomocą Kaspersky Virus Removal Tool

1. Start > uruchom > cmd i wklep te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{64345B57-9A00-4055-BF02-FB7E28174705}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ444YYPL&apn_uid=E023B309-5005-4236-A64B-936D6A79F1EA&apn_sauid=C0D51547-1DB2-4FA2-8B99-6D3AE23C85C3&" O4 - HKLM..\Run: [] File not found O4 - HKCU..\RunOnce: [036DFF8E00505F32004D01CE81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF8E00505F32004D01CE81CB3EF3\036DFF8E00505F32004D01CE81CB3EF3.exe () :Files C:\WINDOWS\Installer\{47680cea-115c-ba4a-8817-6a9980eb737a} C:\Documents and Settings\Magda\Ustawienia lokalne\Dane aplikacji\{47680cea-115c-ba4a-8817-6a9980eb737a} C:\Documents and Settings\Magda\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Magda\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF8E00505F32004D01CE81CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: Ask Toolbar / Live Security Platinum 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 331 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja wygląda na usuniętą. Gdyby jakieś programy nie działały to po prostu trzeba przeinstalować. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz uznaję, że wszystko mas usunięte jak należy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave i Adobe Reader do najnowszych dostępnych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Na razie nie mam na to pomysłu, ale to może być kwestia samego Skype skoro innych błędów nigdzie nie ma.

Źle to wkleiłeś. Zjadłeś dwukropek przed reg. Zrób to raz jeszcze.

Temat w złym dziale umieściłeś i przeniosłem go do odpowiedniego. Dział "Oprogramowanie zabezpieczające" to nie jest dział diagnostyki i usuwania infekcji tylko problemów jak sama nazwa mówi z programami zabezpieczającymi i ogólną dyskusją na ich temat. Prawidłowy dział to "Dział pomocy doraźnej". 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web" [2011/04/26 01:18:15 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\ri7go69x.default\extensions\DTToolbar@toolbarnet.com [2011/11/04 20:25:50 | 000,000,000 | ---D | M] (toolplugin) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\ri7go69x.default\extensions\welcome@toolmin.com [2011/03/26 17:49:43 | 000,002,055 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\ri7go69x.default\searchplugins\daemon-search.xml [2011/11/04 20:25:50 | 000,000,158 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\Search the web.src O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Ehaxtyo] C:\Users\Kamil\AppData\Roaming\Bebuaq\cuux.exe (Hyundai) :Files C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\7531CC92004EA4EE5E569CB24F147CE7 C:\Users\Kamil\Desktop\Live Security Platinum.lnk C:\Users\Kamil\AppData\Roaming\Veuhgo C:\Users\Kamil\AppData\Roaming\Ohut C:\Users\Kamil\AppData\Roaming\Bebuaq :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar (Avira SearchFree Toolbar plus Web Protection) / DAEMON Tools Toolbar / Live Security Platinum / Avira SearchFree Toolbar plus Web Protection Updater 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta i nic tutaj więcej nie ma do usuwania. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj lekko Jave do wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. No tutaj to nic nie poradzę. Ilość procesów zależy od tego ile usług w systemie jest uruchomionych, od ilości oprogramowania zainstalowanego itp. Kwestia optymalizacji, ale to już temat na dział Windows, nie tutaj.

To sprawa załatwiona, możesz kończyć: 1. Wklej do OTL mini poprawkę: :Files C:\Users\Michal\AppData\Local\{597b2101-d7e8-3e67-74e1-30d0328e90c6} Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Tu jeszcze nie koniec roboty. Do usuwania śmieci sponsoringowe. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&affID=100471&mntrId=1ca63f30000000000000001e4c54d1ae" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100471&mntrId=1ca63f30000000000000001e4c54d1ae" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=1ca63f30000000000000001e4c54d1ae&tlver=1.4.31.2&instlRef=sst&affID=100471&q=" [2011-06-01 22:35:01 | 000,000,000 | ---D | M] (IMinent Toolbar) -- C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\t6c6zgl1.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444} [2011-05-30 23:54:45 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\t6c6zgl1.default\extensions\DTToolbar@toolbarnet.com [2012-01-24 17:12:30 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\t6c6zgl1.default\extensions\ffxtlbr@babylon.com [2012-04-14 15:09:11 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / DAEMON Tools Toolbar / SweetPacks Toolbar for Internet Explorer 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL Po to tutaj jestem by trafnie odpowiadać inaczej nie brałbym się za to. Owszem, na każdym systemie jest co innego do usuwania ale to wszystko jest podobne jak się bliżej przyjrzysz. Logi mają podobną strukturę i w wielu przypadkach ja na pamięć wiem co będzie usuwane. Ale to wymaga lat siedzenia w tym i dobrej znajomości systemów Windows.

To możesz użyć jakiegoś uninstalera np. Revo Uninstaller. Infekcje masz usunięta i możesz wykonać zadania końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 5. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To by było na tyle. Kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java 7 Update 4 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Świetnie. To teraz jeszcze sfinalizuj temat. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj IE, Jave i Adobe Reader do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Usuniemy OTLem. Wklej taki skrypt: :OTL O2 - BHO: (Ashampoo PO Toolbar) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Ashampoo PO Toolbar) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - C:\Program Files (x86)\Ashampoo_PO\prxtbAsha.dll (Conduit Ltd.) :Files C:\Program Files (x86)\Ashampoo_PO :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ashampoo_PO Toolbar] :Commands [reboot] Klik w Wykonaj skrypt. Sprawdź czy się to usunęło i wklej nowy log z OTL ze skanowania.

Jesteś tutaj trochę za szybko moim zdaniem i wątpię być zrobił wszystko. Zrób restart systemu i sprawdź czy działa zapora.

A co się dzieje przy próbie odinstalowania?

Jest jeszcze tutaj trochę do zrobienia. :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2801948" IE - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - No CLSID value found IE - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14796" IE - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "iLivid Web Search" FF - prefs.js..browser.search.defaultthis.engineName: "NCH EN Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "iLivid Web Search" [2010-09-09 00:49:32 | 000,002,059 | ---- | M] () -- C:\Users\AS\AppData\Roaming\Mozilla\Firefox\Profiles\x7300jkv.default\searchplugins\daemon-search.xml [2010-08-17 18:26:32 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011-10-12 16:21:45 | 000,002,520 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - HKU\S-1-5-21-3596335938-2692223016-1231008323-1000..\Run: [AdobeBridge] File not found :Files C:\ProgramData\0C1CFB130000177CCD25AF40E56C34C7 C:\ProgramData\0C1CFB130000177CCD25AF40F875F002 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Windows iLivid Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Lec dalej, takie rzeczy mogą się zdarzać choć nie powinny bo nikt tutaj do tej pory nie miał żadnego bluescreena.

Masz usunięte. Standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.