Pegaz Opublikowano 31 Lipca 2012 Zgłoś Udostępnij Opublikowano 31 Lipca 2012 Witam serdecznie. Proszę o pomoc jak w temacie. System windows xp. Teraz pracuje w trybie awaryjnym z obsługą sieci. Na komputerze znajduje się programAlcohol 120%. Nie mogłem go usunąć, więc wyłączyłem sterowniki tak jak w metodzie drugiej: http://www.fixitpc.p...ulujace-napedy/ defogger_diable: http://wklej.org/id/801492/ OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... GMER.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 1 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy skan. Odnośnik do komentarza
Pegaz Opublikowano 1 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 1 Sierpnia 2012 Przepraszam, ale jak próbuje dodać załącznik wyskakuje mi błąd przeglądarki... złośliwości rzeczy martwych... SystemLook 30.07.11 by jpshortstuff Log created at 21:55 on 01/08/2012 by Administrator Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="\\.\globalroot\systemroot\Installer\{02e20cd5-fd15-bcc8-7d48-af7725820232}\n." "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP2QFE\services.exe --a--c- 111104 bytes [15:23 31/01/2011] [09:55 09/02/2009] 245A46964D7F534E1D20563ACF215E80 C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a--c- 111104 bytes [15:23 31/01/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [15:23 31/01/2011] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 111104 bytes [17:08 06/01/2011] [10:10 09/02/2009] ED4E5391100287B9EABF8F2CF4B42235 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [17:19 06/01/2011] [21:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108544 bytes [21:41 31/01/2011] [12:00 02/03/2006] 3DA8D964D2CC12EF8E8C342471A37917 C:\WINDOWS\ServicePackFiles\i386\services.exe -----c- 109056 bytes [17:14 06/01/2011] [21:51 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\SoftwareDistribution\Download\51fc2b55c6deef38fc801319336cdbc7\services.exe --a--c- 109056 bytes [17:21 14/04/2008] [17:21 14/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 02/03/2006] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe -----c- 111104 bytes [15:23 31/01/2011] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 1. Start > Uruchom > cmd i wklep: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\Michał\Moje dokumenty\!Programy\cFosSpeed\spd.exe -- (cFosSpeedS) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Video3D32.sys -- (Video3D) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Monfilt.sys -- (Monfilt) DRV - File not found [Kernel | System | Stopped] -- system32\drivers\asusgsb32.sys -- (asusgsb) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\Ambfilt.sys -- (Ambfilt) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={2BB1E0C5-630F-11E1-9B5B-00FD0798B146}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={2BB1E0C5-630F-11E1-9B5B-00FD0798B146}&q={searchTerms}&barid={2BB1E0C5-630F-11E1-9B5B-00FD0798B146}" [2012-01-30 22:43:07 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml @Alternate Data Stream - 24 bytes -> C:\WINDOWS:E407AC4151536867 :Files C:\WINDOWS\Installer\{02e20cd5-fd15-bcc8-7d48-af7725820232} C:\Documents and Settings\All Users\Dane aplikacji\036DFF3502DA393502A11A4381CB3F95 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: DAEMON Tools Toolbar / SweetPacks Toolbar for Internet Explorer 4.4 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook na warunek: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Odnośnik do komentarza
Pegaz Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Co dalej? SystemLook 30.07.11 by jpshortstuff Log created at 16:39 on 02/08/2012 by Michał Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\{02e20cd5-fd15-bcc8-7d48-af7725820232}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="C:\WINDOWS\system32\wbem\wbemess.dll" "ThreadingModel"="Both" -= EOF =- OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Jeszcze poprawka pójdzie. 1. Start > Uruchom > cmd i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1935655697-1482476501-839522115-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=7c2c2f5800000000000000fd0798b146" IE - HKU\S-1-5-21-1935655697-1482476501-839522115-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1935655697-1482476501-839522115-1004\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={2BB1E0C5-630F-11E1-9B5B-00FD0798B146}&q={searchTerms}&barid={2BB1E0C5-630F-11E1-9B5B-00FD0798B146}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2011-02-06 20:57:23 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\1785qk06.default\searchplugins\daemon-search.xml [2012-08-02 16:08:50 | 000,005,489 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\1785qk06.default\searchplugins\startpage-https---polski.xml [2012-02-29 21:54:42 | 000,003,974 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\1785qk06.default\searchplugins\sweetim.xml O3 - HKU\S-1-5-21-1935655697-1482476501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1935655697-1482476501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKU\S-1-5-21-1935655697-1482476501-839522115-1004..\Run: [AdobeBridge] File not found :Files C:\Documents and Settings\Michał\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\{02e20cd5-fd15-bcc8-7d48-af7725820232} :Reg [HKEY_USERS\S-1-5-21-1935655697-1482476501-839522115-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz z SystemLook na warunek: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Odnośnik do komentarza
Pegaz Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Wszystko w załączniku SystemLook 30.07.11 by jpshortstuff Log created at 23:03 on 02/08/2012 by Michał Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) -= EOF =- OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 2 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL oraz usun ten folder z dysku: C:\Documents and Settings\Michał\Menu Start\Programy\Live Security Platinum 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Pegaz Opublikowano 2 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 2 Sierpnia 2012 Wielkie dzięki za pomoc, ale długo się nie mogłem cieszyć bo złapałem UKASH... to są chyba jakieś jaja. Zabawne jest to, że nie wchodziłem na żadne "dziwne" strony. Startpage, yahho, sklep 4f i tatry.prv.pl . Nic tylko dla świętego spokoju odłączyć kabel od internetu... eh. OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Po co nowy temat? Doklejam do poprzedniego. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [cFosSpeed] C:\Documents and Settings\Michał\Moje dokumenty\!Programy\cFosSpeed\cFosSpeed.exe File not found O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755\TimeDateMUICallback.exe File not found :Files C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Complitly 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Pegaz Opublikowano 3 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Ah... wydawało mi się, że jak napisze w tym temacie to nazwa będzie trochę myląca. Na przyszłość będę pamiętał. OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 3 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 3 Sierpnia 2012 Usunięte. Użyj opcji Sprzątanie z OTL. Usuń ten folder z dysku C:\Documents and Settings\Michał\Dane aplikacji\hellomoto I te aktualizacje Javy i Adobe Readera wykonaj... Odnośnik do komentarza
Pegaz Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Sory, że trochę porzuciłem temat i teraz do niego wracam ale był mały wyjazd w góry... Wszystko zrobiłem z twojego ostatniego posta. Siedziałem na stronie sklepu z ochraniaczami do sportów walki i nagle bum, UKASH... Powoli zaczyna mnie to dobijać. W załącznikach skan. Na komputerze jak już wspominałem jest wirtualny napęd. http://img155.imageshack.us/img155/305/antimal.jpg Chciałem się jeszcze spytać czemu ashampoo wyłapał mi pliki exe jako wirusy? I wyłapał też jakiś plik LiveSecurityPlatinium. Wydaje mi się, że warto o tym wspomnieć. Mogę usunąć tego LSP i przywrócić pliki exe? OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [TimeDateMUICallback] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755\TimeDateMUICallback.exe () O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Files C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755 C:\Documents and Settings\Michał\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\Michał\Dane aplikacji\Babylon C:\Documents and Settings\Michał\Dane aplikacji\OpenCandy :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj zaległe adware SweetIM for Messenger 3.6 (poprzednio nie uwzględnione w instrukcji). 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner. Cytat I wyłapał też jakiś plik LiveSecurityPlatinium. Wydaje mi się, że warto o tym wspomnieć. To niedoczyszczony wpis po pierwszej infekcji, konkretnie wpis na liście zainstalowanych programów. To kwestia tego, że podałeś tylko jeden OTL Extras z konta Administrator. Natomiast Extras z konta Michał nie było sprawdzane. Live Security Platinum instaluje się "per konto" i wpis w rejestrze jest widzialny tylko z poziomu tego konta. Wg obrazka wpis został już usunięty przez Ashampoo (jest w kwarantannie), w logu Extras konta Michał też go nie widzę. Tak, możesz go całkowicie zlikwidować z kwarantanny. To samo zresztą było z widocznością klucza ZeroAccess. Pierwszy SystemLook pochodził nie z tego konta co należy, to dopiero drugi był zrobiony we właściwym kontekście i Landuss nanosił stosowną poprawkę. Cytat Chciałem się jeszcze spytać czemu ashampoo wyłapał mi pliki exe jako wirusy? "Possible" = przypuszczalnie, nic pewnego. . Odnośnik do komentarza
Pegaz Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Dziękuje za taką szybką pomoc:) Log z AdwCleane podaje tak bo "nie mam uprawnień do wysyłania tego typu plików". All processes killed ========== OTL ========== Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TimeDateMUICallback deleted successfully. C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755\TimeDateMUICallback.exe moved successfully. Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Search the Web\ deleted successfully. ========== FILES ========== C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4755 folder moved successfully. C:\Documents and Settings\Michał\Dane aplikacji\hellomoto folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Babylon folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491}\19FDBF56AF14340D folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\InstallMate\{B01A9061-55EF-4AEF-9983-6BD5B2D76491} folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\InstallMate folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Premium\Setup folder moved successfully. C:\Documents and Settings\All Users\Dane aplikacji\Premium folder moved successfully. C:\Documents and Settings\Michał\Dane aplikacji\Babylon folder moved successfully. C:\Documents and Settings\Michał\Dane aplikacji\OpenCandy folder moved successfully. ========== COMMANDS ========== [EMPTYTEMP] User: Administrator ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes ->FireFox cache emptied: 12643767 bytes ->Flash cache emptied: 0 bytes User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: LocalService ->Temp folder emptied: 66016 bytes ->Temporary Internet Files folder emptied: 33170 bytes User: Michał ->Temp folder emptied: 537804 bytes ->Temporary Internet Files folder emptied: 1864253 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 85326557 bytes ->Opera cache emptied: 0 bytes ->Flash cache emptied: 988 bytes User: NetworkService ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 33170 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 89850 bytes RecycleBin emptied: 0 bytes Total Files Cleaned = 96,00 mb OTL by OldTimer - Version 3.2.55.0 log created on 08312012_080448 Files\Folders moved on Reboot... PendingFileRenameOperations files... Registry entries deleted on Reboot... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Cytat Log z AdwCleane podaje tak bo "nie mam uprawnień do wysyłania tego typu plików". Mówisz o logu z usuwania OTL a nie AdwCleaner (a ten w ogóle nie podany). Do wglądu zasady działu oraz Pomoc forum (link na spodzie strony), bo jest to tam wyjaśnione. Załączniki przyjmują tylko rozszerzenie *.TXT, a tu formatem loga z usuwania OTL jest *.LOG. Na przyszłość: wystarczy zmiana nazwy pliku. 1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Pegaz Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Wszystko zrobione. Malware nic nie znalazł. Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Na koniec podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java 7 Update 5"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX (wtyczka dla IE) Wszystkie Java odinstaluj, następnie zainstaluj najnowszą wersję 6 (ta będzie współpracować z OpenOffice.org) oraz najnowszą wersję 7. . Odnośnik do komentarza
Pegaz Opublikowano 31 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Ok, zaktualizuje to jeszcze dzisiaj. Nie mogę wejść do ustawień Zapory systemu Windows, to ma jakiś związek z UKASH? Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Cytat Nie mogę wejść do ustawień Zapory systemu Windows, to ma jakiś związek z UKASH? Rzeczywiście, nie zauważyłam, że w OTL Extras w ogóle brak detekcji kluczy SharedAccess od Zapory. Nie, to nie pochodna UKASH. To kolejna nie rozwiązana tu sprawa po infekcji z czasu Live Security Platinum. Usługę z rejestru skasował trojan ZeroAccess. Podaj log z Farbar Service Scanner. . Odnośnik do komentarza
Pegaz Opublikowano 2 Września 2012 Autor Zgłoś Udostępnij Opublikowano 2 Września 2012 Może to trochę dziwne pytanie ale nie jestem do końca pewny. http://img267.imageshack.us/img267/241/javaf.jpg Mam odinstalować cztery programy Java a następnie ściągnąć i zainstalować to: http://www.java.com/pl/download/windows_xpi.jsp?locale=pl ? FSS.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 3 Września 2012 Zgłoś Udostępnij Opublikowano 3 Września 2012 Log z Farbar Service Scanner potwierdza usunięte usługi przez infekcję. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: skrypt unikatowy - import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Zresetuj system i zrób nowy log z Farbar Service Scanner. Cytat Może to trochę dziwne pytanie ale nie jestem do końca pewny. Pegaz, wydawało mi się, że piszę przejrzyście: picasso napisał(a): Wszystkie Java odinstaluj, następnie zainstaluj najnowszą wersję 6 (ta będzie współpracować z OpenOffice.org) oraz najnowszą wersję 7. Deinstalacja wszystkich obiektów Java, a po tym instalacja dwóch najnowszych Java: 6 + 7. Linki pobierania podane w przyklejonym: KLIK. . Odnośnik do komentarza
Pegaz Opublikowano 23 Września 2012 Autor Zgłoś Udostępnij Opublikowano 23 Września 2012 Wszystko zrobione. Zaktualizować coś jeszcze, dać jakiś skan? Odnośnik do komentarza
picasso Opublikowano 24 Września 2012 Zgłoś Udostępnij Opublikowano 24 Września 2012 (edytowane) Miałeś podać nowy log z Farbar Service Scanner, dowodujący wykonanie akcji importu pliku REG. Edytowane 25 Października 2012 przez picasso 25.10.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi