Weelsof

[arekns]

Witam

Zlapałem Policję

Prosze o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Post wprowadzający w błąd usuwam.

 

arekns, to nie wygląda na log z właściwego konta, zalogowano wbudowanego w system Administratora a nie konto użytkownika:

 

Computer Name: BIURO-215F75360 | User Name: Administrator | Logged in as Administrator.

 

Konto to nie było aktywne przed akcją (świeży zrzut katalogu na dysk). Log musi pochodzić z konta na którym jest problem. Na razie mogę usunąć tylko to co widać ogólnie, ale to nie jest wszystko.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Gość\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

2. Loguj się na właściwe konto i zrób nowy log OTL z opcji Skanuj.

 

 

 

.

[arekns]

Wklejam logi z właściwego konta

Extras.Txt

OTL.Txt

[picasso]

Jak mówiłam, przeprowadziłam tylko wstępne działania. Na właściwym koncie nadal skrót infekcji:

 

O4 - Startup: C:\Documents and Settings\user\Menu Start\Programy\Autostart\ctfmon.lnk =  File not found

 

Poza tym, należy usunąć wpisy puste i szczątki po starszych AVG (w tym pasek). Wg OTL AVG 2013 został co dopiero zainstalowany, ale są składniki paskowe datowane wcześniej. Wg raportów wygląda, że konsekwentnie aktualizowałeś AVG conajmniej od wersji AVG 8 wzwyż.

 

1. Przez Panel sterowania odinstaluj adware AutocompletePro. Pozbądź się też sponsora paczek Adobe McAfee Security Scan Plus.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found 
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-606747145-1409082233-1801674531-1004\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-21-606747145-1409082233-1801674531-1004\..\SearchScopes\{8C224B9D-EB4C-43b8-BA8C-6F39B84FD4F8}: "URL" = "http://home.speedbit.com/search.aspx?aff=106&q={searchTerms}"
IE - HKU\S-1-5-21-606747145-1409082233-1801674531-1004\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={CF2C3655-6DF4-4B4E-9DAF-8A626DCC3129}&mid=e1550c2359c3be5c638c477affd5c71c-bff81dce305edee65692b8468e171ef1ccdff3f8&lang=pl&ds=AVG&pr=fr&d=2012-06-03 00:55:34&v=11.0.0.9&sap=dsp&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\11.2.0\\npsitesafety.dll ()
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}: C:\Program Files\SpeedBit Video Downloader\SPFireFox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\11.1.0.12\ [2012-07-09 16:16:24 | 000,000,000 | ---D | M]
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\user\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll ()
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-606747145-1409082233-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKU\S-1-5-21-606747145-1409082233-1801674531-1004\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O4 - HKLM..\Run: [HF_G_Jul] C:\Program Files\AVG Secure Search\HF_G_Jul.exe ()
O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab" (Reg Error: Key error.)
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll File not found
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\11.2.0\ViProtocol.dll ()
SRV - [2012-07-09 16:16:20 | 000,935,008 | ---- | M] () [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe -- (vToolbarUpdater11.2.0)
SRV - [2011-09-01 09:17:00 | 001,025,352 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\USTAWI~1\Temp\iMSPQMn.sys -- (iMSPQMn)
 
:Files
C:\Documents and Settings\user\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\AVG\AVG10
C:\Program Files\AVG Secure Search
C:\Program Files\Common Files\AVG Secure Search
C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\All Users\Dane aplikacji\AVG Security Toolbar
C:\Documents and Settings\All Users\Dane aplikacji\avg9
C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit
C:\Documents and Settings\Gość\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\user\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\user\Dane aplikacji\Toolbar4
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[arekns]

zalecenie wykonane

logi po wykonaniu zaleceń

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wyraźnie kierowałam do opisu AdwCleaner, gdzie jest link do najnowszej wersji, a Ty użyłeś jakąś zachomikowaną staroć:

 

# AdwCleaner v2.003 - Logfile created 11/10/2012 at 00:43:34

# Running from : C:\Documents and Settings\user\Pulpit\adwcleaner-25.IX.exe

 

Najnowsza wersja programu to 2.007. Wersje mają ogromne znaczenie. Już to zostawmy, nie uruchamiaj żadnego AdwCleaner. Na przyszłość: zawsze najnowsza wersja używana i zawsze pobierana tylko ze strony domowej.

 

1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj poniżej wymienione: KLIK. Wg raportu masz zainstalowane:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216016F0}" = Java™ 6 Update 16
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 35
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{91120415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) ----> wersja nieznana
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dlaFirefox) ----> już jest najnowsza
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Czyli: wszystkie stare Adobe, Java i Silverlight do deinstalacji przed nałożeniem najnowszych, plus instalacja pakietu SP3 dla Office 2003.

 

 

PS. Masz zainstalowaną "dziwną" kombinację Gadu-Gadu 7.1 + Gadu-Gadu 10. Obie wersje do niczego. Pierwsza stara, niezgodna z własną siecią i słabo zabezpieczona (brak szyfrowanych połączeń!). Druga potworna, tak pod kątem przerostu reklam, jak i dręczenia zasobów systemowych. Obejrzyj przyjaźniejsze alternatywy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

.

[arekns]

Dziękuję za pomoc, komputer wolny od Policji