picasso

Temat przenoszę do działu Windows. Poprawiam literówkę w tytule scvhost.exe > svchost.exe. Brak oznak infekcji, ale nie podany obowiązkowy GMER. Z raportów nic kompletnie nie wynika, choć Windows Update w procesach może sugerować (na zasadzie celowania wróżbity), iż to usługa Automatycznych aktualizacji. W pierwszej kolejności zabierz się za wytypowanie o którą instancję svchost.exe chodzi: - Uruchom Menedżer zadań, a w nim: Widok > Wybierz kolumny > zaznacz PID procesu - Uruchom linię komend: Start > Uruchom > cmd W momencie gdy pojawi się ten obciążający svchost.exe zanotuj jego PID w Menedżerze zadań, a następnie w linii komend wpisz polecenie tasklist /svc, wyszukaj na liście proces o zgodnym PID i przeklej z okna do posta jakie obiekty są uruchomione pod tym procesem. .

Zasady działu, obowiązkowe są także raporty z FRST i GMER. Uzupełnij. .

Quazz, zakładasz temat w diale diagnostyki infekcji, a zasady nie zrealizowane: KLIK. Tu jest wymagane podanie raportów FRST, OTL, GMER. Wszystko opisane w zasadach. Czekam na raporty. .

EDIT: Logi dodane. Przechodzę do usuwania: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe [738496 2013-10-18] () 2013-12-08 19:09 - 2013-12-08 19:09 - 00000000 ____D C:\Users\Milson\AppData\Local\Mobogenie 2013-12-08 19:09 - 2013-12-08 19:09 - 00000000 ____D C:\Users\Milson\AppData\Local\cache 2013-12-08 19:09 - 2013-12-08 19:09 - 00000000 _____ C:\Users\Milson\daemonprocess.txt 2013-12-08 19:08 - 2013-12-08 19:09 - 00000000 ____D C:\Program Files (x86)\Mobogenie Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Potwierdź, że błąd ustąpił. Dołącz plik fixlog.txt. .

Brak uprawnień administratora może uniemożliwić usunięcie widocznych plików infekcji, ale próbuj: 1. Otwórz Notatnik i wklej w nim: D:\Users\gayerba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ha2ge3.lnk C:\ProgramData\ha2ge3.fee C:\ProgramData\ha2ge3.reg C:\ProgramData\ha2ge3.odd C:\ProgramData\3eg2ah.jss C:\ProgramData\ha2ge3.zvv S3 StarOpen; No ImagePath U3 SPBBCDrv; HKLM-x32\...\Run: [HP Connection Manager.exe] - [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przejdź w Tryb normalny Windows, by sprawdzić czy blokada na pewno nadal ma miejsce. Zrób nowy skan FRST (bez Addition) + dołącz plik fixlog.txt. .

Ale przecież zmieniłeś kolejność. Logi powstały przed wykonaniem skryptu: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 10-12-2013 Ran by Daniel (administrator) on DANIEL-KOMPUTER on 10-12-2013 22:06:19 Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 10-12-2013 Ran by Daniel at 2013-12-10 22:19:23 Run:1 Dlatego nie wykazują żadnych zmian. Zrób nowe raporty z FRST (ponownie zaznacz, by powstał Addition). .

Wygląda na to, że adware nabyłeś z dobrychprogramów, uruchomiłeś "Asystenta pobierania" (Java-SE(13186).exe) a nie instalator zasadniczy Java: 2013-11-25 15:18 - 2013-11-25 23:18 - 00000000 ____D C:\Program Files (x86)\BuzzSearch 2013-11-25 15:18 - 2013-11-25 15:18 - 30694824 _____ (Oracle Corporation) C:\Users\Przemek\Downloads\jre-7u45-windows-x64_(dobreprogramy.pl).exe 2013-11-25 15:17 - 2013-11-25 15:17 - 00685248 _____ C:\Users\Przemek\Downloads\Java-SE(13186).exe Na potem będziesz miał to opracowanie do czytania: KLIK. Przechodząc do usuwania adware: 1. Otwórz Notatnik i wklej w nim: () C:\Program Files (x86)\BuzzSearch\updateBuzzSearch.exe () C:\Program Files (x86)\BuzzSearch\bin\utilBuzzSearch.exe R2 Update BuzzSearch; C:\Program Files (x86)\BuzzSearch\updateBuzzSearch.exe [66336 2013-11-08] () R2 Util BuzzSearch; C:\Program Files (x86)\BuzzSearch\bin\utilBuzzSearch.exe [66336 2013-11-25] () S2 hardlock; \??\C:\Windows\system32\drivers\hardlock.sys [x] HKCU\...\Policies\Explorer: [] AppInit_DLLs: C:\PROGRA~2\OPTIMI~1\OPTPRO~2.DLL [ ] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=9679582C80135226&affID=125032&tsp=5033 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=96795063138A4AD8&affID=119357&tsp=5006 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=ds&from=cor&uid=ST9320325AS_5VE9RLHZXXXX5VE9RLHZ&ts=1379169529 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO-x32: BuzzSearch - {5cf5a690-c8f4-488e-9d20-f21aef602d41} - C:\Program Files (x86)\BuzzSearch\BuzzSearchBHO.dll (BuzzSearch) CHR HKLM-x32\...\Chrome\Extension: [ifohbjbgfchkkfhphahclmkpgejiplfo] - C:\Users\Przemek\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx CHR HKLM-x32\...\Chrome\Extension: [jhjjdgbhohaallcimgcmakfiobacimkm] - C:\Program Files (x86)\BuzzSearch\jhjjdgbhohaallcimgcmakfiobacimkm.crx CHR HKLM\SOFTWARE\Policies\Google: Policy restriction Task: {2AEB0640-E9BD-43C3-8476-93F8A78757E2} - System32\Tasks\FoxTab => C:\Users\Przemek\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Przemek\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Users\Przemek\AppData\Roaming\Babylon C:\Users\Przemek\AppData\Roaming\OpenCandy Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Odinstaluj poprawnie adware i wyczyść przeglądarki: - Przez Panel sterowania odinstaluj: BuzzSearch, Foxtab. Możesz się też pozbyć zbędnego Akamai NetSession Interface. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Jest folder Upload, tylko pomyliłam się i nie umieściłam go na Pulpicie, lecz w ścieżce konta: C:\Users\ZaMlodyZebyUmierac\Upload. Proszę dołącz go. Po uzyskaniu materiału przejdę dalej. Druga sprawa: zmieniłeś środowisko, poprzednio nie było Avast w postaci zainstalowanej, dlatego załączyłam jego szczątkowy (w owym czasie) folder do usunięcia. To się oczywiście nie wykonało teraz, bo doinstalowałeś w międzyczasie Avast, który chroni folder (na szczęście, w przeciwny wypadku program zostałby uszkodzony). Proszę nic nowego nie instaluj w trakcie działań, wszystkie skrypty odnoszą się do sytuacji widzianej w raporcie utworzonym w konkretnym czasie. .

Zakładając, że konto "dom" to właściwe, w raportach brak jakichkolwiek oznak infekcji. Wyjdź z Trybu awaryjnego i sprawdź czy blokada nadal występuje. .

Nie wypowiadasz się czy notujesz jakąś poprawę. I jeszcze poprawki do wykonania: 1. Otwórz Notatnik i wklej w nim: AppInit_DLLs: c:\docume~1\alluse~1\daneap~1\browse~1\261095~1.52\{c16c1~1\browse~1.dll [ ] () SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\WINDOWS\system32\searchplugins C:\WINDOWS\system32\Extensions C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Google Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Dominik\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. .

To nie wirus, to adware - instalowane ręcznie przez nieuwagę w instalatorze danej aplikacji lub portalowym asystencie: KLIK. I wymagane drobne poprawki. Otwórz Notatnik i wklej w nim: Task: {160622BE-C64A-4952-9273-9422C808E2F8} - \AmiUpdXp No Task File FF HKLM-x32\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files (x86)\Better-Surf\ff FF HKLM-x32\...\Firefox\Extensions: [ext@bettersurfplus.com] - C:\Program Files (x86)\BetterSurf\BetterSurfPlus\ff S3 cpuz136; \??\D:\TEMP\cpuz136\cpuz136_x64.sys [x] 2013-12-08 17:54 - 2013-12-08 17:53 - 00000000 ____D C:\Program Files (x86)\Mobogenie Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{73C8C7B9-A094-4D71-947C-F1C2E0F10B36}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Poprzednie zadania wykonane. Usuń jeszcze szczątki po Advanced Anti Keylogger (i kilka drobnostek po ESET, które jakoś ominęłam) oraz powtórz komendę netstat, bo zapomniałam pobrać PID procesów odrębną komendą. 1. Zresetuj system. 2. Otwórz Notatnik i wklej w nim: CMD: netstat -ano CMD: tasklist /svc Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f AppInit_DLLs-x32: system32\aakah.dll [ ] () S2 aakah; \??\C:\Windows\system32\aakah.sys [x] S2 aakbdrv; \??\C:\Windows\system32\aakbdrv.sys [x] C:\Windows\SysWOW64\aakah.dll C:\Windows\SysWOW64\lqoe89kr.lwp C:\Users\mati\Downloads\advanced-anti-keylogger.zip C:\Users\mati\Downloads\advanced-anti-keylogger(1).zip C:\Users\mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Advanced Anti Keylogger C:\Users\mati\AppData\Roaming\ESET C:\Users\mati\AppData\Local\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Jest zainstalowane adware. Wyczyść to, a zobaczymy jakie rezultay zostaną osiągnięte. 1. Przez Dodaj/Usuń programy odinstaluj: BrowserProtect, Delta Chrome Toolbar, Delta toolbar, IB Updater 2.0.0.578, IB Updater Service, Incredibar Toolbar on IE, Internet Explorer Toolbar 4.7 by SweetPacks, SweetIM for Messenger 3.7, Sweetpacks Bundle Uninstaller. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz log utworzony przez AdwCleaner. .

Wynik tej komendy wydrukuje mi skrypt do FRST. Nie widzę tu żadnej czynnej infekcji, choć niepokoją mnie kombinacje z crackami / keygenami (ślady akcji widzialne), bo tam coś mogło być i scrackowany program "coś" może wykonywać w tle. Jedyne co tu ma oczywisty związek z keyloggerem, to plik pobrany na dysk: ==================== Alternate Data Streams (whitelisted) ========= AlternateDataStreams: C:\Users\mati\Downloads\keylogger-3-0.exe:BDU Dodatkowa uwaga: zainstalowałeś niejaki "Advanced Anti Keylogger". Program stary sprzed kilku lat i bezużyteczny na systemie 64-bit: oficjalna kompatybilność to archaiczne systemy XP/NT/2000/2003, jest 32-bitowy (na systemie 64-bit ochrona częściowa, o ile jakakolwiek). Nawet nie wiadomo czy on w ogóle się uruchamia poprawnie, bo wszystkie elementy są w stanie "Zatrzymano": ==================== Services (Whitelisted) ================= S2 aaksrv; C:\Windows\SysWow64\aaksrv.exe [237568 2013-12-05] (Spydex, Inc.) ==================== Drivers (Whitelisted) ==================== S2 aakah; C:\Windows\SysWow64\aakah.sys [34272 2013-12-05] (Spydex, Inc.) S2 aakbdrv; C:\Windows\SysWow64\aakbdrv.sys [20768 2013-12-05] (Spydex, Inc.) Na systemie 64-bit to raczej coś w stylu komercyjnej wersji SpyShelter (natywne wsparcie 64-bit). Tylko broń Boże nie crackować. Na razie usuń tylko śmieci (w tym szczątki adware i Google Chrome), bo nic więcej nie widzę: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird Task: {3D638DC8-A812-40C0-A73A-6C3C605800B8} - System32\Tasks\{7F62A6E8-11D9-4E8E-8840-E54438E8AAB3} => C:\Users\mati\Desktop\CW.eXe Task: {4F2FB7A7-0233-407A-AE42-ADA64A711242} - System32\Tasks\{DF8F4B2D-E371-4E1F-A673-09F69CD657B3} => C:\Users\mati\Desktop\CW.eXe Task: {6D1FAAC8-13C0-40D6-8BE2-61D3A4710311} - \DealPlyUpdate No Task File Task: {8684B747-1DEC-4C51-B873-7F4952D9365E} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {9A8E4271-D566-46B5-81DE-DDB18CDB5736} - System32\Tasks\{3CE8F943-FF9B-4513-AC3F-EF3465D9ABCB} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe Task: {9AF2A33E-5A79-44AE-99C1-4EA55360335B} - System32\Tasks\{B0333B40-1455-4644-AC85-1FF819DCCEA3} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe Task: {EA53A5AE-3766-469F-8812-535751DBCD5F} - \Program aktualizacji online firmy Adobe. No Task File Task: {FC11F15A-1E4B-49F0-BDB6-6A3F9A75E16F} - System32\Tasks\{3D7BB322-38DF-41E8-9CFB-D0D5F2905237} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\59056029.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\59056029.sys => ""="Driver" R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [39768 2013-02-19] (AVG Technologies) S1 EIO64; system32\DRIVERS\EIO64.sys [x] S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [x] S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [x] C:\Windows\system32\drivers\avgtpx64.sys C:\Users\mati\Downloads\keylogger-3-0.exe C:\Users\mati\AppData\Roaming\syslog C:\Users\mati\AppData\Local\SwvUpdater C:\Users\mati\AppData\Local\Google\Chrome CMD: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netstat -ano Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Pozbądź się definitywnie Advanced Anti Keylogger. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

W systemie są śmieci adware. 1. Przez Dodaj/Usuń programy odinstaluj: Bonanza Deals, Desk 365, Lollipop, Mobogenie, WinZipper. Mobogenie podaję, gdyż program może być instalowany sposobem adware w jakiś portalowych pobieraczach (KLIK). 2. Wyczść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Zrób nowy skan FRST (bez Addition). Dołącz log utworzony przez AdwCleaner. .

Mimo wszystko nadal proszę o raporty z FRST (mają udowodnićpożądane zmiany) oraz log utworzony wtedy przez AdwCleaner (by było jasne co i skąd usuwał).

Klucze awaryjnego są całe. STOP 0x0000007E insynuuje niekompatybilny sterownik, tylko że tu w awaryjnym bez obsługi sieci nie ma nic niedomyślnego, wszystko Microsoftu, w awaryjnym z obsługą sieci owszem jeden niedomyślny, ale problem jest we wszystkich typach awaryjnego, więc nic do rzeczy to nie powinno mieć. Z tego co ja widzę, to w ogóle nie wygląda na problem relatywny do infekcji. Twierdzisz zresztą, że używałeś Przywracanie systemu, które (jeśli infekcja uszkodziłaby coś w awaryjnym) powinno problem zlikwidować. Pytania: - Co konkretnie usuwał KIS 2013 - skąd, jaka ścieżka dostępu? - Czy na pewno BSOD podczas próby wejścia w awaryjny pojawił się za sprawą infekcji, czy na 100% to nie występowało już wcześniej przed infekcją tylko tego nie zauważyłeś? Kiedy ostatni raz był sprawdzany Tryb awaryjny, co jeszcze było zmieniane w systemie (dokładanie sprzętu / zmiana konfiguracji dysków / instalacja określonego oprogramowania...)? Skopiuj na Pulpit folder C:\WINDOWS\Minidump, spakuj go do ZIP, rzuć na jakiś hosting i podaj link do paczki. I się tak zastanawiam... Widzę pokaźną kolekcję programów nakładających filt na dysk twardy (Acronis, Paragon). Rozważam czy te filtry nie mają coś do rzeczy podczas próby bootowania w awaryjnym. Jeśli rzecz o infekcji, to w ogóle nie widzę żadnych oznak infekcji "policyjnej". Za to widoczny uszkodzony katalog Winsock, a forma wpisów sugeruje coś w stylu kiedyś obecnej infekcji ZeroAccess (żadnych innych szczątków tej infekcji nie widać). To napraw (skutki uboczne: reset Winsock wypnie integracje VMWare z tego miejsca) + usunięcie wpisów pustych: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKLM\...\Run: [] - [x] BHO: IEPluginBHO Class - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Himalaya\Application Data\Nowe Gadu-Gadu\_userdata\ggbho.1.dll No File S3 PsaSrv; C:\WINDOWS\system32\PsaSrv.exe [x] S3 UBKZGGXENAA; C:\DOCUME~1\Himalaya\LOCALS~1\Temp\UBKZGGXENAA.exe [x] S3 cpu; \??\C:\cpu.sys [x] S2 cpudriver; \??\C:\Program Files\Temporary\cpu.sys [x] S3 HTCAND32; System32\Drivers\ANDROIDUSB.sys [x] S2 P1C1394; \SystemRoot\System32\Drivers\p1c1394.sys [x] S3 TVTPktFilter; system32\DRIVERS\tvtpktfilter.sys [x] S4 vsdatant; a [x] S3 xp; \??\C:\Documents and Settings\Himalaya\xp.sys [x] Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" CMD: netsh winsock reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj system. Dołącz plik fixlog.txt. .

Temat przenoszę do działu Windows. Żadnych oznak, by rzecz była w infekcjach. W systemie są tylko martwe szczątki adware, ale rzeczy błahe i kompletnie bez związku z problemem. W spoilerze szybkie doczyszczenie tych śmieci. Ten błąd występuje, gdy jest naruszony (bądź nieczynny) sterownik SPTD. Poprawne działanie Alcohola (w tym deinstalacja) wymaga go. Po akcji z Defoggerem sterownik został wyłączony, a FRST jeszcze notuje brak: S4 sptd; \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [x] Potem, gdy uporasz się z problemem, trzeba będzie sterownik przywrócić / przeinstalować, by Alcohol mógł w ogóle działać. Oceniając niedomyślne składniki, znaczna różnica między trybami to ładowanie Avast (zresztą po datach sterowników widać, że to jakaś stara wersja). Rozpocznij od próbnej deinstalacji programu. Najpierw przez Panel sterowania, co powinno być możliwe w awaryjnym, gdyż Avast nie opiera się na Instalatorze Windows. Dopiero po tym podejściu popraw Avast Uninstall Utility. .

MBAM nieznacznie naruszył składniki tego "Protectora". Problem nadal jest, bo moduł jest ciągle aktywny: ==================== Loaded Modules (whitelisted) ============= 2012-10-11 11:54 - 2012-10-11 11:54 - 00427520 _____ () C:\Program Files (x86)\MocaFlix\sprotector.dll Poza tym, są do poprawki inne rzeczy, m.in. zdewastowane preferencje Firefox. Akcja: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [] - [x] C:\Program Files (x86)\MocaFlix C:\ProgramData\InstallMate C:\windows\SysWOW64\sho*.tmp C:\windows\72AAF4551E54475BB0AB5413C78D0E63.TMP C:\Users\Dominik\AppData\Local\Google Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Jeśli FRST nie wymusi resetu, zrób to ręcznie. 2. Przez Panel sterowania odinstaluj adware (MBAM zresztą to ruszał częściowo): LiveVDO plugin 1.3, vShare.tv plugin 1.3. Te wpisy mogą być zdefektowane, ale Windows przynajmniej powinien zapytać czy usuwać puste wejścia. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł, ale używane rozszerzenia trzeba będzie przeinstalować na świeżo (zajmiesz się tym na szarym końcu). 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Jeszcze skomentuję co się poprzednio działo, bo się bliżej przyjrzałam: Teraz możemy przejść do usuwania reszty śmieci na podstawie ostatnich dodanych raportów. Akcja z poziomu Trybu normalnego Windows: 1. Otwórz Notatnik i wklej w nim: IFEO\rjatydimofu.exe: [Debugger] tasklist.exe SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Task: {406A6279-D779-4316-BA6E-CE78D4A6ABD7} - System32\Tasks\Easy Deals-codedownloader => C:\Program Files (x86)\Easy Deals\Easy Deals-codedownloader.exe Task: {45D54888-5BA8-4C8E-8A04-BE07F618D97B} - System32\Tasks\Easy Deals-updater => C:\Program Files (x86)\Easy Deals\Easy Deals-updater.exe Task: {4E23D542-D89B-46B4-9104-89D0821A80A9} - System32\Tasks\Easy Deals-chromeinstaller => C:\Program Files (x86)\Easy Deals\Easy Deals-chromeinstaller.exe Task: {98B9D27F-1952-4B00-B30D-A91607B326FA} - \DSite No Task File Task: {A6A1E395-2657-49BC-AA4A-B9723545E953} - \Desk 365 RunAsStdUser No Task File Task: {CECBCF1F-FED1-4BEC-B321-F3B3D71E6C9D} - System32\Tasks\Easy Deals-enabler => C:\Program Files (x86)\Easy Deals\Easy Deals-enabler.exe Task: {D3FC6BBF-F9AC-4706-A386-9E4AAFD99065} - \QtraxPlayer No Task File TTask: {EDEA9053-3105-4C82-BD72-F644BCCDBD4F} - System32\Tasks\PC Optimizer Pro startups => C:\Users\ZaMlodyZebyUmierac\Desktop\Crack\StartApps.exe Task: {F109AB02-81FB-458F-8B35-2A1C03612E2D} - \DealPly No Task File Task: {F8AC7EA4-A22D-420A-AC48-6506DCE0CC5D} - System32\Tasks\Easy Deals-firefoxinstaller => C:\Program Files (x86)\Easy Deals\Easy Deals-firefoxinstaller.exe Task: {FBABA5F7-1A5C-4C27-A6CB-EF64324897DA} - System32\Tasks\PC Optimizer Pro64 startups => C:\Program Files\PC Optimizer Pro\StartApps.exe Task: C:\Windows\Tasks\Easy Deals-chromeinstaller.job => C:\Program Files (x86)\Easy Deals\Easy Deals-chromeinstaller.exe Task: C:\Windows\Tasks\Easy Deals-codedownloader.job => C:\Program Files (x86)\Easy Deals\Easy Deals-codedownloader.exe Task: C:\Windows\Tasks\Easy Deals-enabler.job => C:\Program Files (x86)\Easy Deals\Easy Deals-enabler.exe Task: C:\Windows\Tasks\Easy Deals-firefoxinstaller.job => C:\Program Files (x86)\Easy Deals\Easy Deals-firefoxinstaller.exe Task: C:\Windows\Tasks\Easy Deals-updater.job => C:\Program Files (x86)\Easy Deals\Easy Deals-updater.exe Task: C:\Windows\Tasks\PC Optimizer Pro startups.job => C:\Users\ZaMlodyZebyUmierac\Desktop\Crack\StartApps.exe Task: C:\Windows\Tasks\PC Optimizer Pro64 startups.job => C:\Program Files\PC Optimizer Pro\StartApps.exe FF NetworkProxy: "type", 4 FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF Plugin HKCU: ubisoft.com/uplaypc - C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File R2 bdfsfltr; C:\Windows\system32\Drivers\bdfsfltr.sys [431176 2011-03-24] (BitDefender) S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [x] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [x] C:\Windows\system32\Drivers\bdfsfltr.sys C:\Users\Public\Documents\Downloaded Installers C:\Users\ZaMlodyZebyUmierac\lua5.1.dll C:\Users\ZaMlodyZebyUmierac\vcredist_x86.exe C:\Users\ZaMlodyZebyUmierac\AppData\Roaming\mozilla\Firefox\extensions C:\Users\ZaMlodyZebyUmierac\AppData\Roaming\Mozilla\Firefox\profiles\extensions C:\Users\ZaMlodyZebyUmierac\AppData\Local\Google C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Google C:\ProgramData\AVAST Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: md C:\Users\ZaMlodyZebyUmierac\Upload CMD: copy C:\Windows\System32\Tasks\{34841E1D-07C4-4321-B3AF-2452D20AC864} C:\Users\ZaMlodyZebyUmierac\Upload CMD: copy C:\Windows\System32\Tasks\{3E93A5F5-DBCA-4625-A574-BDCBD223825E} C:\Users\ZaMlodyZebyUmierac\Upload CMD: copy C:\Windows\System32\Tasks\{64A06BFD-D2BC-4AA2-8EFD-78D7999168A4} C:\Users\ZaMlodyZebyUmierac\Upload CMD: copy C:\Windows\System32\Tasks\{6EC2F1BD-8DB1-4E42-A1C7-C233E2F6BDD0} C:\Users\ZaMlodyZebyUmierac\Upload Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Na liście zainstalowanych nadal widać: adware uTorrentControl_v2 Toolbar. Poza tym, spróbuj usunąć pozostałe produkty IOBit (Advanced SystemCare 7 + Game Booster 3 + Smart Defrag 2), bo jak mówiłam przekombinowano z nimi + produkty tej firmy w ogóle nie budzą mojego zaufania, instalują też adware. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (zaznacz, by powstał ponownie plik Addition) oraz Farbar Service Scanner. Dołącz plik fixlog.txt. Poza tym, na Pulpicie utworzyłam nowy folder Upload, spakuj go do ZIP, shosuj gdzieś i wklej tu link do paczki. Nie dodawaj raportów z OTL, one nie są mi już potrzebne. .

Uzupełnij brakujące raporty, tu są obowiązkowe także logi z FRST.

Proszę uzupełnić raporty, tu są obowiązowe także logi z FRST. A skoro MBAM coś usuwał, to proszę dodać także raport z tym co usuwał. .

Proszę nie pisz posta pod postem (do uzupełniania używa się opcję Edytuj), posty sklejam. Prosiłam tylko o konkretne raporty, OTL nie jest mi już potrzebny. I nie kombinuj na własną rękę. Ja wiem dokładnie jak to naprawić. Oczywiście, że internet nadal nie działa, gdyż ja nie zadałam żadnego fiksa! Ten skrypt do FRST to był tylko pobór danych, by obliczyć jak zmodyfikować przerwany łańcuch, który rozwalił skrypt do OTL. Przetworzenie owej linii wyrwało brutalnie klucz między tymi dwoma (a licznik ogólny kluczy Num_Catalog_Entries się nie zgadza, bo jest ustawiony na 8 a kluczy już tylko 7): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004 LibraryPath REG_SZ %SystemRoot%\system32\pnrpnsp.dll DisplayString REG_SZ @%SystemRoot%\system32\pnrpnsp.dll,-1001 ProviderId REG_BINARY CD89FE036D767649B9C1BB9BC42C7B4D SupportedNameSpace REG_DWORD 0x26 Enabled REG_DWORD 0x1 Version REG_DWORD 0x0 StoresServiceClassInfo REG_DWORD 0x1 ProviderInfo REG_BINARY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006 LibraryPath REG_SZ %SystemRoot%\System32\mswsock.dll DisplayString REG_SZ @%SystemRoot%\system32\wshtcpip.dll,-60103 ProviderId REG_BINARY 409D05229E7ECF11AE5A00AA00A7112B SupportedNameSpace REG_DWORD 0xc Enabled REG_DWORD 0x1 Version REG_DWORD 0x0 StoresServiceClassInfo REG_DWORD 0x0 ProviderInfo REG_BINARY By zamknąć "lukę" w łańcuchu i zsynchronizować licznik najlepiej odtwórz całą strukturę Winsock NameSpace na czysto: 1. Wejdź do tego artykułu: KLIK. Z posta reset części NameSpace pobierz plik WinsockNSP_WIN7_Vista_64bit.txt. Zmień mu wg instrukcji nazwę na WinsockNSP_WIN7_Vista_64bit.reg i plik zaimportuj. 2. Zresetuj system. Potwierdź, że internet działa. Po potwierdzeniu zabiorę się za usuwanie śmietnika z systemu. Czy przypadkiem nie użyłeś opcji "Sprzątanie" w OTL? .

Sprawdziłeś testową deinstalację ESET? To miało być wykonane jako pierwszy krok, przed aktualizacjami (antywirusy mogą utrudniać te procesy).