jak w temacie. Od ok tygodnia nęka mnie chyba trojan. Adwcleaner nic nie znajduje. Objawy to m.in. spowolniona praca komputera, dziwne ikonki na pasku koło zegara, m.in. mscfami.com, wyskakujące komunikaty systemowe o braku pamięci albo o tym, że plik jest używany przez inny program…

Proszę o analizę i skrypt do wykonania:

OTL.txt - http://wklej.to/OQJit

Extras - http://wklej.to/NW9Vq

Będę wdzięczny za pomoc.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL
DRV - [2014-04-05 17:39:45 | 000,055,232 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tStLib.sys -- (tStLib)
DRV - [2013-10-03 12:17:08 | 000,013,560 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\gfibto.sys -- (gfibto)
O4 - HKLM..\Run: [GPULoader] "C:\Program Files\VLC Player GPU+\GPULog.exe" File not found
O4 - HKLM..\Run: [GPUTemp] "C:\DOCUME~1\BARTEK~1.PC1\USTAWI~1\Temp\GPUTemp.exe" File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [0001f43e.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\0001f43e.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [0011fdc6.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\0011fdc6.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [010e25f5.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\010e25f5.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [INPZIX.exe] C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\INPZIX.exe File not found
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [ISR400.exe] C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\ISR400.exe ()
O4 - HKU\S-1-5-21-876113172-3026482042-1131965719-1006..\Run: [mscfaml.com] C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 0 = Reg Error: Value error. File not found
:Files
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\dclogs
C:\Documents and Settings\All Users\Dane aplikacji\1C0
C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\adawaretb
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[resethosts]
[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart. Pokaż raport z usuwania.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Dziękuję. Skrypt wykonany. Jest jakby lepiej ale jeszcze pojawia się jakaś ikonka koło zegara “mscafi.exe” czy coś takiego.

Oto raport:

http://wklej.to/IfQIL

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [Ad-Aware Browsing Protection] => "C:\Documents and Settings\All Users\Dane aplikacji\Ad-Aware Browsing Protection\adawarebp.exe"
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [mscfaml.com] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [0] () <===== ATTENTION
SearchScopes: HKLM - DefaultScope value is missing.
C:\AdwCleaner
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
Task: C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe
D:\Autorun.inf
D:\AUTORUN.FCB 
Reboot:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

nowy raport

http://wklej.to/hcvaS

Nie sądzisz, że należy przeczytać całą odpowiedź?

Nie znasz się na tym to dlaczego zmieniasz ustawienia w FRST?

Nie zmieniałem żadnych ustawień…

Zrobiłem raport jeszcze raz:

http://wklej.to/6MsXN

Nie można tego usunąć. Spróbuj w trybie awaryjnym.

Dlatego też proszę zapoznać się z tym tematem: http://forum.dobrepr…e-logi-t208287/

A następnie korzystając z przycisku Edytuj i opcji Użyj pełnego edytora , dokonać korekty tytułu, tak aby konkretnie mówił o problemie.

W przeciwnym razie temat trafi do Kosza.

ok. tak czy inaczej bardzo dziękuję. Jest trochę lepiej.

Podpowiesz jeszcze skąd to najlepiej usunąć?

Uruchom w awaryjnym i wykonaj poprzedni Fix.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

http://support.kaspersky.com/pl/general/various/493#q1

Pokaż Fixlog i nowy raport z FRST.

Zrobiłem fix w awaryjnym i przeskanowałem w FRST.

Nowy Fixlog i raport z FRST:

http://wklej.to/QoWr0

http://wklej.to/gH1d2

Przecież wykonałeś pusty fixlist: http://wklej.to/QoWr0/text

Poza tym masz się logować na własne konto.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Policies\Explorer\Run: [13643] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [1393690 2012-06-02] ( ())
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [mscfaml.com] => C:\Documents and Settings\All Users\Local Settings\Temp\mscfaml.com [1393690 2012-06-02] () <===== ATTENTION
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [{35B9AA18-CAED-1C53-610A-F692E5A4E4FB}] => C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy\luaqu.exe [141824 2014-06-20] ()
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Ocsaix
C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.com

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

Sorry, coś musiałem pochrzanić.

Wykonałem. Nowy fixlog:

http://wklej.to/mKg50

…i nowy FRST:

http://wklej.to/mADyP

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

() C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\00098eb7.exe
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [00098eb7.exe] => C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\00098eb7.exe <===== ATTENTION
HKU\S-1-5-21-876113172-3026482042-1131965719-1006\...\Run: [{35B9AA18-CAED-1C53-610A-F692E5A4E4FB}] => "C:\Documents and Settings\Bartek.PC135144841777\Dane aplikacji\Pysiy\luaqu.exe"
C:\Documents and Settings\All Users\Local Settings\Temp\*.com
C:\Documents and Settings\All Users\Local Settings\Temp\*.exe
C:\Documents and Settings\All Users\Local Settings\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.exe
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.dll
C:\Documents and Settings\Bartek.PC135144841777\Ustawienia lokalne\Temp\*.com

Uruchom FRST i kliknij Fix.

Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Przeskanuj za pomocą Dr.Web CureIt i napisz czy wykrywa wirusy.

Zrobione. Dr Web CureIt wykrył 10 zagrożeń. Wydaje mi się, że są one nieistotne ponieważ miałem je na dysku dużo wcześniej znim pojawiły się problemy. Oto printscreen ze skanowania:

W takim razie nie wiadomo dlaczego po restarcie tworzą się nowe szkodliwe pliki w Temp.

Wygląda na to, że wirus został usunięty, a przynajmniej wszystkie objawy zniknęły. Komp działa szybciej, a programy mogę włączyć za pierwszym razem, bez komunikatów typu “brak pamięci…” albo “program jest używany…”.

Jak się tym zaraziłem? Mam podejrzanego. Problemy zaczęły się w momencie, gdy otrzymałem (rzekomo od Allegro) informację, o nieprawidłowym wystawieniu przedmiotu (prowadzę sklep na Allegro) i blokadzie konta (do której nigdy nie doszło). Szczegóły miały być przedstawione w załączonym pliku, do którego podglądu musiałem wyłączyć makra. Mail wyglądał bardzo autentycznie, więc zaciekawiony jakim cudem automatycznie ponawiana od roku aukcja nagle okazała się być niezgodna z regulaminem, spróbowałem podejrzeć plik. Bezskutecznie.

Tak czy inaczej Atis bardzo Ci dziękuję. Jestem pod wrażeniem Twojej wiedzy i cierpliwości. Pozdrawiam i zamykam temat.