martinesq Opublikowano 14 Stycznia 2013 Zgłoś Udostępnij Opublikowano 14 Stycznia 2013 Nie jestem pewien czy to dobry dział więc wybaczcie jeśli się pomyliłem. Otóż od paru dni Firefox ma problemy, wyłącza się podczas prostych czynności np. gdy wchodze do Opcji czy chce coś pobrać albo przycisnę myszką na jakiś obrazek i spróbuje go przenieść, po prostu program przestaje odpowiadać, odinstalowałem wszystko, adobe flash, java, przeinstalowywałem setki razy przeglądarkę, próbowałem nowe konto zrobić i również to samo, dodam jeszcze że na innych przeglądarkach np. chrome jest to samo tylko IE Explorer jakoś dziala.. pomóżcie bo już nerwicy dostaje. wrzuciłbym screena ale nie mogę bo program przestaje działać.. Odnośnik do komentarza
deFco247 Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Sprawdź jak wygląda sytuacja przy wyłączonym oprogramowaniu ochronnym (firewall, antywirus). Odnośnik do komentarza
martinesq Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Nie posiadam antywirusa, ale udalo mi się pobrać OTL poprzez Internet Explorer, niestety gdy próbuje załączyć to przeglądarka przestaje działać dlatego macie na wklej.org OTL - http://wklej.org/id/925983/ EXTRAS - http://wklej.org/id/925984/ Odnośnik do komentarza
deFco247 Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Nie posiadam antywirusa No to nie za mądra decyzja... w szczególności, że masz system bez Service Pack 1 oraz Internet Explorera 8 (najnowsza wersja to 9). Na razie jednak to zostaw, gdyż w logach widać infekcje. Temat zgłaszam do przeniesienia do działu pomocy doraźnej, gdzie ich usunięciem zajmą się wyznaczone osoby. Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Temat przenoszę do działu diagnostyki infekcji. W logu trojany nabyte z lewych paczek Tibia oraz adware. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\martma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\comram.exe C:\Users\martma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe C:\Users\martma\AppData\Roaming\icsxml C:\Users\martma\AppData\Roaming\2835183364d77538b99bf66.44542788 C:\Users\Olta\AppData\Roaming\Babylon C:\Users\Olta\AppData\Roaming\CheckPoint C:\Users\Olta\AppData\Roaming\StatusWinks C:\Users\Olta\AppData\Roaming\Thinstall C:\Windows\SysWow64\vlljlhln.dat C:\Windows\SysWow64\hqjgrfmc.dat C:\Windows\SysWow64\yrocxnoe.dat C:\Windows\SysWow64\ykctfwxu.dat C:\Windows\SysWow64\zoxwynvh.dat C:\Windows\SysWow64\eptiqkgt.dat C:\Windows\SysWow64\malcrcxi.dat C:\ProgramData\Local Settings C:\ProgramData\Babylon C:\Program Files (x86)\File Scout C:\Program Files (x86)\Conduit C:\Users\martma\AppData\Local\Conduit C:\Users\martma\AppData\Local\CRE C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Users\martma\Desktop\Search the Web.url C:\Users\martma\Desktop\SweetPcFix.url netsh advfirewall reset /C :OTL SRV - [2013-01-12 09:30:00 | 000,205,624 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\serv32.dll -- (cpzasczx) IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d7dfeeed-01cb-11e2-a26e-5404a6b0d4c8&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=ct3205709&SSPV=IEWSP06" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d7dfeeed-01cb-11e2-a26e-5404a6b0d4c8&q={searchTerms}" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\SearchScopes\{60FDC649-D428-4A17-A006-CDD1263BB791}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112468&tt=120912_cpc_3712_2&babsrc=SP_ss&mntrId=76f000020000000000005404a6b0d4c8" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=ct3205709&SSPV=IEWSP06" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d7dfeeed-01cb-11e2-a26e-5404a6b0d4c8&q={searchTerms}" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1001\..\SearchScopes\{60FDC649-D428-4A17-A006-CDD1263BB791}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112468&tt=120912_cpc_3712_2&babsrc=SP_ss&mntrId=76f000020000000000005404a6b0d4c8" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={8349708F-57B4-4CA3-9501-CAC3AACDB9B9}&mid=40e8777ea98544cab18074e53e249010-cf04e9f239f8c46b92269119320830390c0d2a33&lang=pl&ds=xn011&pr=sa&d=2012-12-12 15:41:45&v=13.2.0.4&sap=dsp&q={searchTerms}" IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\URLSearchHook: {62d40876-df18-411f-9d34-a9dd7a197bc5} - No CLSID value found IE - HKU\S-1-5-21-378919720-3291061036-2308940619-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - No CLSID value found FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\statuswinks@StatusWinks: C:\Users\Olta\AppData\Roaming\Mozilla\Extensions\statuswinks@StatusWinks [2013-01-13 14:12:27 | 000,000,000 | ---D | M] O2 - BHO: (no name) - {00000000-0000-0000-0000-000000000000} - c:\Windows\SysWOW64\serv32.dll () O2 - BHO: (no name) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - No CLSID value found. O2 - BHO: (no name) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O3 - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O3 - HKU\S-1-5-21-378919720-3291061036-2308940619-1001\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-378919720-3291061036-2308940619-1001\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O3 - HKU\S-1-5-21-378919720-3291061036-2308940619-1003\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-21-378919720-3291061036-2308940619-1003\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found. O4 - HKLM..\Run: [sweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.) O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 2 = C:\PROGRA~3\LOCALS~1\Temp\msxxqyoni.exe () O7 - HKU\S-1-5-21-378919720-3291061036-2308940619-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1 O7 - HKU\S-1-5-21-378919720-3291061036-2308940619-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWindowsUpdate = 1 O20 - AppInit_DLLs: (c:\progra~3\browse~1\261070~1.41\{c16c1~1\browse~1.dll) - File not found :Reg [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1000\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1001\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1003\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1000\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1001\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Przez Panel sterowania odinstaluj adware SweetIM for Messenger 3.7, SweetPacks bundle uninstaller oraz (o ile będzie widoczny wpis) ZoneAlarm LTD Toolbar. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację BrotherSoft Extreme3, Download and Sa, Smiley Bar for Facebook, SweetIM for Facebook oraz w zarządzaniu wyszukiwarkami ustaw Google jako domyślną i po tym usuń z listy WebSearch. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
martinesq Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 proszę AdwCleanerS1.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 15 Stycznia 2013 Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Czy jest poprawa po przeprowadzonych tu działaniach? Wszystko zgodnie z planem usunięte. Przejdź do tych czynności: 1. Przez SHIFT+DEL skasuj ten folder: C:\Users\martma\AppData\Roaming\CheckPoint 2. Firefox był resetowany na koncie martma. AdwCleaner usuwał adware z Firefoxa na koncie Olta. Zaloguj się na to konto i tam też zrób reset Firefox. 3. Korekta domyślnych wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-378919720-3291061036-2308940619-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 4. W Google Chrome są martwe wtyczki: ========== Chrome ========== CHR - plugin: LiveVDO plug-in (Enabled) = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dllCHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dllCHR - plugin: npFFApi (Enabled) = C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll Ich usunięcie wymaga już edycji pliku Preferences przeglądarki. Skopiuj na Pulpit te pliki z dwóch profilów: C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Olta\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj do tego link. . Odnośnik do komentarza
martinesq Opublikowano 15 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 15 Stycznia 2013 Tak jest poprawa, przeglądarka działa już normalnie.. nie wywala błędów. http://www.speedyshare.com/nZhjr/Desktop.rar Odnośnik do komentarza
picasso Opublikowano 16 Stycznia 2013 Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 1. Przesyłam zedytowane pliki Google Chrome: KLIK. Podmień pliki korespondująco na obu profilach, Google Chrome musi być zamknięte podczas tej operacji. Po podmianie plików uruchom Google Chrome i sprawdź czy nie wyrzuca żadnych błędów przy starcie. 2. Zrób nowy log z OTL poświadczający zmiany, ale go ogranicz: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. . Odnośnik do komentarza
martinesq Opublikowano 16 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 16 Stycznia 2013 Nie wywala już błędu. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Czy Ty na pewno dobrze podstawiłeś pliki? Jest jeszcze gorzej niż było. Zniknęły wszystkie prawidłowe wpisy, a w zamian widać teraz coś zupełnie sprzecznego z zamierzeniem, czyli tylko adware (które usuwałam zresztą): ========== Chrome ========== CHR - Extension: Download and Sa = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ganegkjbjomifkpepkfgakpjdiegpeod\7.1_0\CHR - Extension: Download and Sa = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ganegkjbjomifkpepkfgakpjdiegpeod\7.1_0\ . Odnośnik do komentarza
martinesq Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Podmieniłem, mi działa normalnie chrome jak uruchamiam.. Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Log się nie zgadza zupełnie. Wcześniej były pokazane takie dane dwóch kont (Scan Mode: All users): ========== Chrome ========== CHR - homepage: CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter} CHR - homepage: CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\PepperFlash\pepflashplayer.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll CHR - plugin: LiveVDO plug-in (Enabled) = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\NPOFF12.DLL CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll CHR - plugin: Java Platform SE 7 U7 (Enabled) = C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll CHR - plugin: Java Deployment Toolkit 7.0.70.11 (Enabled) = C:\Windows\SysWOW64\npDeployJava1.dll CHR - plugin: NVIDIA 3D Vision (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll CHR - plugin: NVIDIA 3D VISION (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll CHR - plugin: npFFApi (Enabled) = C:\Program Files\CheckPoint\ZAForceField\WOW64\TrustChecker\bin\npFFApi.dll CHR - homepage: http://www.google.com/ CHR - default_search_provider: Google (Enabled) CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding} CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}, CHR - homepage: http://www.google.com/ CHR - plugin: Shockwave Flash (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\PepperFlash\pepflashplayer.dll CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer CHR - plugin: Native Client (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\ppGoogleNaClPluginChrome.dll CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Program Files (x86)\Google\Chrome\Application\24.0.1312.52\pdf.dll CHR - plugin: LiveVDO plug-in (Enabled) = C:\Users\Olta\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll CHR - plugin: Adobe Acrobat (Enabled) = C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\NPOFF12.DLL CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll CHR - plugin: Google Update (Enabled) = C:\Program Files (x86)\Google\Update\1.3.21.123\npGoogleUpdate3.dll CHR - plugin: Java Platform SE 7 U9 (Enabled) = C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll CHR - plugin: NVIDIA 3D Vision (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll CHR - plugin: NVIDIA 3D VISION (Enabled) = C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll CHR - plugin: Shockwave Flash (Enabled) = C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll CHR - plugin: Java Deployment Toolkit 7.0.70.11 (Enabled) = C:\Windows\SysWOW64\npDeployJava1.dll CHR - Extension: YouTube = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: Szukaj w Google = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: Facebook Fast Delete Messages = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\klmpnhheahecaojonebajllddfhpilan\0.3_0\ CHR - Extension: Gmail = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ CHR - Extension: YouTube = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\ CHR - Extension: Szukaj w Google = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\ CHR - Extension: Facebook Fast Delete Messages = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\klmpnhheahecaojonebajllddfhpilan\0.3_0\ CHR - Extension: Gmail = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\ Aktualnie tylko to co zacytowałam poprzednio i tylko z jednego konta (Scan Mode: Current user). Drastyczna różnica. Może zrób mi jeszcze raz nowy log OTL z opcji Skanuj (zaznacz skan Wszystkich użytkowników)... . Odnośnik do komentarza
martinesq Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 no masz : OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Niestety ale jest bez widocznych zmian: ========== Chrome ========== CHR - default_search_provider: Google (Enabled)CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}&sugkey={google:suggestAPIKeyParameter}CHR - Extension: Download and Sa = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ganegkjbjomifkpepkfgakpjdiegpeod\7.1_0\CHR - Extension: Download and Sa = C:\Users\martma\AppData\Local\Google\Chrome\User Data\Default\Extensions\ganegkjbjomifkpepkfgakpjdiegpeod\7.1_0\ Ubogi konfig + adware na koncie martma. Tu jest coś nie tak, konfiguracja pierwotna była diametralnie różna. W związku z tym proponuję reinstalację Google Chrome na czysto i bez przywracania żadnych kopii zapasowych czy synchronizacji z serwerem. 1. Wyeksportuj tylko zakładki do pliku. Nie kopiuj żadnych innych ustawień. 2. Odinstaluj Google Chrome na obu profilach. Przy pytaniu o usuwanie danych użytkownika odpowiedz twierdząco. 3. Upewnij się, że nie ma tych folderów na dysku, w razie czego dokasuj ręcznie: C:\Program Files (x86)\Google\Chrome C:\Users\martma\AppData\Local\Google\Chrome C:\Users\Olta\AppData\Local\Google\Chrome Start > w polu szukania wpisz regedit > upewnij się że ten klucz jest usunięty: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome 4. Zainstaluj na nowo Google Chrome na obu profilach. Przy instalacji sprecyzuj tylko instalację dla bieżącego użytkownika, a nie globalnie. Nowy log z OTL, infekcja ponownie wróciła, musiałeś uruchomić jakąś lewą paczkę, która tego trojana przywraca: O4 - Startup: C:\Users\martma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe () 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\martma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wostock416.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Przeprowadź działania z Google Chrome, jak wyżej opisałam. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
martinesq Opublikowano 17 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 masz OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Stycznia 2013 Zgłoś Udostępnij Opublikowano 17 Stycznia 2013 Widzę, że wyrzucanie Google Chrome przeprowadzone, infekcja jakoby usunięta. Ale nadal mnie niepokoi, że władowałeś sobie infekcję ponownie. Musiałeś uruchamiać coś, jakiś bot / dodatek / mod pewnie związany z grą. Ze świeżych widzę takie obiekty, nie wiadomo czy czyste: [2013-01-14 23:27:21 | 285,548,739 | ---- | C] (InstallShield Software Corporation) -- C:\Users\martma\Desktop\cs16full_v7.exe[2013-01-14 23:21:13 | 000,000,000 | ---D | C] -- C:\Users\martma\Desktop\[NONSTEAM]_WH-3_Cheat[2013-01-14 23:11:34 | 000,000,000 | ---D | C] -- C:\Users\martma\Desktop\cd_disabler_4.33.4b W ramach wykończeń: 1. Na liście zainstalowanych nadal widzę wpis ZoneAlarm LTD Toolbar. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZoneAlarm LTD Toolbar 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox i pliki Preferences Google Chrome, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji Adobe Reader, FileZilla, Office 2007 (brak SP3) i cały Windows (brak SP1 i IE9): 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"ENTERPRISE" = Microsoft Office Enterprise 2007"FileZilla Client" = FileZilla Client 3.5.3 . Odnośnik do komentarza
Rekomendowane odpowiedzi