swav Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Nie wiem jak usunąć speedbit search z firefoxa,próbowałem resetować firefoxa nie pomogło,przez about:config i też nie pomaga.Proszę o pomoc.Mam Vista Home Premium Servis Pack 2 32bit. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 To niepełny log OTL, brakuje pliku Extras, opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania". Dodaj ten log. Dodatkowo szukanie extra, uruchom SystemLook i do okna wklej: :regfind speedbit Klik w Look. . Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Ok Dodałem obydwa. SystemLook.txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Skleiłam. Usuwanie SpeedBit nieudane, bo w tle działa usługa aktualizacyjna SpeedBit. Tu jeszcze masz w systemie stare szczątki rootkita ZeroAccess. 1. Przez Panel sterowania odinstaluj adware Download Updater (AOL LLC), Winamp Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\Windows\$NtUninstallKB60528$ /C C:\Program Files\Common Files\SpeedBit C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\49Uninstall Utility Chest.dll C:\Program Files\49res.dll C:\ProgramData\2103 C:\ProgramData\9625 C:\ProgramData\7049 C:\Users\user\AppData\Local\2232 C:\Users\user\AppData\Roaming\0279 C:\Windows\System32\rp_stats.dat C:\Windows\System32\rp_rules.dat C:\END :Reg [-HKEY_CURRENT_USER\Software\SpeedBit] [-HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit] [-HKEY_USERS\S-1-5-18\Software\SpeedBit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Moikrug] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Yandex] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\Yandex] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN54668511621630200 IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=make&s={searchTerms}&f=4" IE - HKCU\..\SearchScopes\{2599BB2F-B98B-4F0A-881A-5E4DFB2F4651}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=crm&q={searchTerms}&locale=&apn_ptnrs=FV&apn_dtid=YYYYYYYYGB&apn_uid=50bb6858-9411-4b16-8eba-eb89785c8cae&apn_sauid=20F0DCB6-5FF0-4CC6-989D-1AB65984FCC6" IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.google.com/search?q={sear" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3176921&CUI=UN54668511621630200" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/?search={searchTerms}&loc=search_box_im2_test_v2" IE - HKCU\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKCU\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - No CLSID value found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKCU..\Run: [AdobeBridge] File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoPropertiesMyComputer = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFileAssociate = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFind = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoClose = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogoff = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispCPL = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0 O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_33-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\PROGRA~1\SpeedBit Video Accelerator\VideoAcceleratorService.exe -- () DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Ponownie w Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Po wkonaniu skryptu komp nie chciał wystartować musiałem użyć ostatnio dobrej konfiguracji czy mam dalej z kolejnymi krokami postępować? Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 To nie powinno się stać. Czy na pewno po pierwszej nieudanej próbie sprawdziłeś ponowny restart systemu? W związku z awarią robotę powtarzasz od początku. Wejdź w Tryb awaryjny Windows i zastosuj ponownie skrypt do OTL. Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Po wykonaniu skryptu system poprosił o restart więc kliknąłem ok. System po restarcie wyświetla mi komunikat że windows nie może się uruchomić i opcje: -uruchom awaryjnie -uruchom awaryjnie z poleceniem wiersza itd.dwie ostatnie to ostatnia dobra konfiguracja i uruchom normalnie. 2x próbowałem normalnie i nie poszedł awaryjnie też nie poszedł,wystartował dopiero gdy odpaliłem z ostatnio dobrej konfiguracji. Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Nie wiem co się dzieje. Czyżby ten link symboliczny rootkita ZeroAccess to coś więcej niż "szczątek"? Podaj log z GMER. Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 O to log GMER 2.1.19115 - http://www.gmer.net Rootkit scan 2013-02-27 21:40:15 Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 TOSHIBA_MK1652GSX rev.LV010M 149,05GB Running: 53486gzm.exe; Driver: C:\Users\user\AppData\Local\Temp\kxldapob.sys ---- System - GMER 2.1 ---- INT 0x52 ? 85F07CC8 INT 0x62 ? 85F07CC8 INT 0x62 ? 85F07CC8 INT 0x72 ? 85F07CC8 INT 0x82 ? 85F07CC8 INT 0x92 ? 8464CCC8 INT 0x92 ? 8464CCC8 INT 0x92 ? 85F07CC8 INT 0x92 ? 8464CCC8 INT 0xA2 ? 8464CCC8 INT 0xB2 ? 8464CCC8 ---- Kernel code sections - GMER 2.1 ---- .text sptd.sys 82698000 32 Bytes [06, F1, 3C, 82, 60, 5F, 3C, ...] .text sptd.sys 82698024 4 Bytes [D2, 73, 7C, 82] .text sptd.sys 8269802C 196 Bytes [90, E5, 21, 82, 1B, 69, 1B, ...] .text sptd.sys 826980F1 11 Bytes [DC, 04, 82, F0, D7, 04, 82, ...] .text sptd.sys 826980FD 211 Bytes [73, 02, 82, 18, D5, 04, 82, ...] .text ... .sptd2 C:\Windows\System32\Drivers\sptd.sys entry point in ".sptd2" section [0x8278FD38] ? C:\Windows\System32\Drivers\sptd.sys Proces nie moze uzyskac dostepu do pliku, poniewaz jest on uzywany przez inny proces. .text C:\Windows\system32\DRIVERS\tos_sps32.sys section is writeable [0x88551000, 0x4036D, 0xE8000020] .dsrt C:\Windows\system32\DRIVERS\tos_sps32.sys unknown last section [0x8859A000, 0x510, 0x40000040] .text USBPORT.SYS!DllUnload 8CF1F41B 5 Bytes JMP 85F071D8 ---- User code sections - GMER 2.1 ---- .text C:\Program Files\Mozilla Firefox\firefox.exe[2980] ntdll.dll!LdrLoadDll 77289378 5 Bytes JMP 5F4A8BF0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2980] kernel32.dll!HeapSetInformation + 26 76E6A8B0 7 Bytes JMP 5F4BF1AD C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2980] kernel32.dll!LockResource + C 76E86ACB 7 Bytes JMP 5F7F7FCD C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2980] kernel32.dll!VirtualAllocEx + 54 76E8AF50 7 Bytes JMP 5F7F7FF0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Mozilla Firefox\firefox.exe[2980] GDI32.dll!SetStretchBltMode + 256 773B745C 7 Bytes JMP 5F7F7F4E C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation) .text C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[3020] ntdll.dll!DbgUiRemoteBreakin 772ECD44 1 Byte [C3] ---- Kernel IAT/EAT - GMER 2.1 ---- IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [82699FE0] \SystemRoot\System32\Drivers\sptd.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUlong] [82699574] \SystemRoot\System32\Drivers\sptd.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [826990C0] \SystemRoot\System32\Drivers\sptd.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [8269A1BC] \SystemRoot\System32\Drivers\sptd.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [826992A4] \SystemRoot\System32\Drivers\sptd.sys IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [82699362] \SystemRoot\System32\Drivers\sptd.sys IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [826AE312] \SystemRoot\System32\Drivers\sptd.sys ---- User IAT/EAT - GMER 2.1 ---- IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [740E7817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [7412B4E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [740EBB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [740DF695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [740E75E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [740DE7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [741173F5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [740EDA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [740DFFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [740DFF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [740D71CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7416CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [7410C8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [740DD968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [740D6853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [740D687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) IAT C:\Windows\Explorer.EXE[3076] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [740E2AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation) ---- Devices - GMER 2.1 ---- Device \FileSystem\Ntfs \Ntfs 846541F8 Device \Driver\usbuhci \Device\USBPDO-0 85F4C1F8 Device \Driver\usbuhci \Device\USBPDO-1 85F4C1F8 Device \Driver\usbehci \Device\USBPDO-2 85F2C1F8 Device \Driver\usbuhci \Device\USBPDO-3 85F4C1F8 Device \Driver\usbuhci \Device\USBPDO-4 85F4C1F8 Device \Driver\usbuhci \Device\USBPDO-5 85F4C1F8 Device \Driver\usbehci \Device\USBPDO-6 85F2C1F8 Device \Driver\cdrom \Device\CdRom0 85FD91F8 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-0 846521F8 Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-4 846521F8 Device \Driver\atapi \Device\Ide\IdePort0 846521F8 Device \Driver\atapi \Device\Ide\IdePort1 846521F8 Device \Driver\atapi \Device\Ide\IdePort2 846521F8 Device \Driver\atapi \Device\Ide\IdePort3 846521F8 Device \Driver\msahci \Device\Ide\PciIde1Channel0 846531F8 Device \Driver\msahci \Device\Ide\PciIde1Channel1 846531F8 Device \Driver\netbt \Device\NetBT_Tcpip_{0362782A-0A8F-4EA4-B787-86E814CFAD3D} 867D81F8 Device \Driver\netbt \Device\NetBt_Wins_Export 867D81F8 Device \Driver\Smb \Device\NetbiosSmb 869FF1F8 Device \Driver\iScsiPrt \Device\RaidPort0 85FFE1F8 Device \Driver\netbt \Device\NetBT_Tcpip_{370725C2-D234-4BF4-8F4F-FCACACBFAE90} 867D81F8 Device \Driver\usbuhci \Device\USBFDO-0 85F4C1F8 Device \Driver\usbuhci \Device\USBFDO-1 85F4C1F8 Device \Driver\usbehci \Device\USBFDO-2 85F2C1F8 Device \Driver\usbuhci \Device\USBFDO-3 85F4C1F8 Device \Driver\usbuhci \Device\USBFDO-4 85F4C1F8 Device \Driver\usbuhci \Device\USBFDO-5 85F4C1F8 Device \Driver\usbehci \Device\USBFDO-6 85F2C1F8 Device \FileSystem\cdfs \Cdfs AFF621F8 ---- Trace I/O - GMER 2.1 ---- Trace ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x846521f8]<< 846521f8 Trace 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85889ac8] 85889ac8 Trace 3 CLASSPNP.SYS[883118b3] -> nt!IofCallDriver -> [0x85030860] 85030860 Trace 5 acpi.sys[87e086bc] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-4[0x84ffdb98] 84ffdb98 Trace \Driver\atapi[0x84ffcf38] -> IRP_MJ_CREATE -> 0x846521f8 846521f8 ---- Registry - GMER 2.1 ---- Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ... Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ... Reg HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\Otw Reg HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\Otw Reg HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\Otw@ C:\Program Files\CCleaner\ccleaner.exe Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ... Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ... Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ... Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ... Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ... Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ... Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ... Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ... Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32 Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\Windows\system32\OLE32.DLL Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ... ---- EOF - GMER 2.1 ---- Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Log z GMER zrobiłeś w złych warunkach, nie zdjąłeś sterownika SPTD od emulacji napędów wirtualnych: KLIK. Do powtórki. I podaj mi jeszcze log OTL z przetwarzania skryptu, co tam w ogóle się działo. Log siedzi w katalogu C:\_OTL. Ma rozszerzenie *.LOG, musisz zmienić ręcznie na *.TXT, by można było log doczepić przez załączniki. . Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Nie mogę go wysłać.Daje mi komunikat nie masz do tego uprawnień a jest w txt!! Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Na pewno to nie *.TXT, pewnie zrobiłeś podwójne rozszerzenie *.TXT.LOG, tylko tego nie widzisz. W Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. . Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Zrrobiłem SPTD restart i zniknęła upierdliwa speedbit search jako startowa.Czy polacasz jeszcze czyszczenie ?? Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Czy polacasz jeszcze czyszczenie ?? Przecież tu w ogóle nie koniec. Nie wykonane zadania, skrypt się wykłada. Na teraz proszę o logi: nowy GMER + log z usuwania OTL wygrzebany z katalogu C:\_OTL . Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 GMER 2.1.19115 - http://www.gmer.netRootkit scan 2013-02-27 22:58:19Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 TOSHIBA_MK1652GSX rev.LV010M 149,05GBRunning: 53486gzm.exe; Driver: C:\Users\user\AppData\Local\Temp\kxldapob.sys---- Kernel code sections - GMER 2.1 ----.text C:\Windows\system32\DRIVERS\tos_sps32.sys section is writeable [0x88353000, 0x4036D, 0xE8000020].dsrt C:\Windows\system32\DRIVERS\tos_sps32.sys unknown last section [0x8839C000, 0x510, 0x40000040]---- User code sections - GMER 2.1 ----.text C:\Program Files\Mozilla Firefox\firefox.exe[1776] ntdll.dll!LdrLoadDll 77089378 5 Bytes JMP 5CA28BF0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation).text C:\Program Files\Mozilla Firefox\firefox.exe[1776] kernel32.dll!HeapSetInformation + 26 765AA8B0 7 Bytes JMP 5CA3F1AD C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation).text C:\Program Files\Mozilla Firefox\firefox.exe[1776] kernel32.dll!LockResource + C 765C6ACB 7 Bytes JMP 5CD77FCD C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation).text C:\Program Files\Mozilla Firefox\firefox.exe[1776] kernel32.dll!VirtualAllocEx + 54 765CAF50 7 Bytes JMP 5CD77FF0 C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation).text C:\Program Files\Mozilla Firefox\firefox.exe[1776] GDI32.dll!SetStretchBltMode + 256 7727745C 7 Bytes JMP 5CD77F4E C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation).text C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe[2936] ntdll.dll!DbgUiRemoteBreakin 770ECD44 1 Byte [C3]---- User IAT/EAT - GMER 2.1 ----IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [73D97817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [73DDB4E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [73D9BB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [73D8F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [73D975E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [73D8E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [73DC73F5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [73D9DA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [73D8FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [73D8FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [73D871CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [73E1CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [73DBC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [73D8D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [73D86853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [73D8687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)IAT C:\Windows\Explorer.EXE[2864] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [73D92AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18581_none_9e591052ca1013d0\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)---- Registry - GMER 2.1 ----Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0x2E 0xE8 0xE1 0x00 ...Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x6A 0x9C 0xD6 0x61 ...Reg HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\OtwReg HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\OtwReg HKLM\SOFTWARE\Classes\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\Shell\Otw@ C:\Program Files\CCleaner\ccleaner.exeReg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xB0 0x18 0xED 0xA7 ...Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0x31 0x77 0xE1 0xBA ...Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x01 0x3A 0x48 0xFC ...Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0x51 0xFA 0x6E 0x91 ...Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x3D 0xCE 0xEA 0x26 ...Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xF8 0x31 0x0F 0xA9 ...Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel ApartmentReg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\Windows\system32\OLE32.DLLReg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0x6C 0x43 0x2D 0x1E ...---- EOF - GMER 2.1 ---- Na pewno to nie *.TXT, pewnie zrobiłeś podwójne rozszerzenie *.TXT.LOG, tylko tego nie widzisz. W Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Powyższej opcji próbowałem nie skutkuje Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Do uzupełniania posta, gdy nikt nie odpisał służy opcja Edytuj. Posty powyżej sklejam. Powyższej opcji próbowałem nie skutkuje Masz ją odznaczyć, a następnie ręcznie zmienić nazwę pliku do postaci plik.txt a nie plik.txt.log lub plik.log. . Odnośnik do komentarza
swav Opublikowano 27 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 27 Lutego 2013 Czy o ten log chodzi? 02272013_203239.txt Odnośnik do komentarza
picasso Opublikowano 27 Lutego 2013 Zgłoś Udostępnij Opublikowano 27 Lutego 2013 A to ciekawe, log z usuwania wygląda jakby wszystko się przetworzyło i nie widzę gdzie zachodzi błąd, z wyjątkiem linka symbolicznego ZeroAccess. Tym się zajmę, ale na początek: czy wykonałeś punkty 3 do 5 z poprzedniej instrukcji? Jeśli nie, zrób. Jeśli tak, to podaj wynikowe raporty: 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. Pro forma zrób szukanie w SystemLook na ten sam warunek co poprzednio. Jeśli będzie brak wyników, to raportu SystemLook nie musisz przedstawiać. . Odnośnik do komentarza
swav Opublikowano 28 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2013 O to logi. FSS.txt OTL.Txt AdwCleanerS1.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 28 Lutego 2013 Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Prawie wszystko zrobione, został do upłynnienia link symboliczny ZeroAccess oraz drobne korekty. 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB60528$ Klik w Unlock. 2. Otwórz Notatnik i wklej w nim: fsutil reparsepoint delete C:\Windows\$NtUninstallKB60528$ sc delete VideoAcceleratorService sc delete "Lavasoft Kernexplorer" reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f reg delete HKLM\Software\MozillaPlugins\adobe.com/AdobeAAMDetect /f rd /s /q "C:\Users\user\Desktop\Stare dane programu Firefox" rd /s /q "C:\Users\user\Desktop\Stare dane programu Firefox-1" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
swav Opublikowano 28 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 28 Lutego 2013 Zrobione. OTL.Txt Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 Link symboliczny ZeroAccess pomyślnie zdjęty. Teraz w bezpieczny sposób można już usunąć folder. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\$NtUninstallKB60528$ Klik w Wykonaj skrypt. 2. Do oceny wystarczy tylko log z wynikami przetwarzania skryptu. Nowy skan OTL nie jest potrzebny. . Odnośnik do komentarza
swav Opublikowano 1 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2013 log 03012013_152950.txt Odnośnik do komentarza
picasso Opublikowano 1 Marca 2013 Zgłoś Udostępnij Opublikowano 1 Marca 2013 Akcja przeprowadzona pomyślnie. Możemy przejść do finalizacji tematu: 1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę usuń ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Drobne aktualizacje, odinstaluj starsze Java 6 i Adobe Reader X (najnowszy to Adobe Reader XI) oraz zaktualizuj OpenOffice.org (najnowszy to 3.4.1): ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 33"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3 Uwaga spoza: masz zainstalowane Gadu-Gadu 10. Program jest: stary, nieużytkowy (więcej reklam niż funkcji + duża konsumpcja zasobów systemowych), skreślony przez firmę (wyłączone serwisy integrowane w GG10). Albo obejrzyj najnowsze GG11 (jest nieco lepiej), albo przerzuć się na alternatywny program: WTW, Kadu, Miranda NG, AQQ. Wszystkie opisy tu: KLIK. . Odnośnik do komentarza
swav Opublikowano 1 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 1 Marca 2013 Ok zrobiłem wszystko tak jak poleciłaś,teraz zajmę się aktualizacją Adobe i Open Office.Co do GG10 to odinstaluję go bo nie korzystam najczęściej używam Skypa. Twoje forum jest naprawdę przyjazne i pożyteczne.Diś na forum społecznościowym iooi zamieściłem dwa tematy w których to polecam fixitpc.pl gdzie warto zaglądać.Tu są fajni ludzie-spece,moje pełne uznanie.Na fb i na twitter też będę polecał Twoje forum.Chciałbym serdecznie Ci podziękować,ba zaprosiłbym na kawę i ciastko lecz dzieli nas duża odległość więc chociaż wirtualny kwiatek przyjmij Pozdrawiam serdecznie from Edinburgh.Jeżeli to już wszystko to można zamykać temat,jeszcze raz wielkie dzięki.Z poważaniem Swav. Odnośnik do komentarza
Rekomendowane odpowiedzi