picasso

- Był uruchamiany ComboFix, jest na dysku jego log C:\ComboFix.txt. - Logi są zrobione z poziomu świeżo utworzonego konta Administrator a nie konta użytkownika Kristina. To oznacza brak widoczności wpisów relatywnych do konkretnego konta. Logi muszą powstać z poziomu konta Kristina. - AdwCleaner użyty także na Administratorze (nie adresował wpisów innego konta). Poza tym, jego użycie nastąpiło przed prawidłową deinstalacją adware via Panel sterowania oraz zmieniło zawartość dostarczonych wcześniej logów i dane nie są zgodne. Utrudniłeś mi pracę tym działaniem, gdyż podany dalej skrypt do FRST musiał zostać nagięty do zmian. Na razie w podanym tu zestawie brak oznak infekcji, tylko adware, ale większe spectrum widoczności na innym koncie. Przed wytworzeniem raportów ponownie przeprowadź jednak te działania: Na początek skoryguj sytuację w antywirusach, bo to najsilniejszy podejrzany dla problemów: 1. Jest tu dramatyczne zestawienie Kaspersky Anti-Virus 2013 + Trend Micro Titanium Internet Security, co samo w sobie może być przyczyną blokowania Windows i zamulenia. Odinstaluj stary Trend, proponuję też sprawdzić dodatkowo i deinstalację Kasperskiego oraz SUPERAntiSpyware, by całkowicie wykluczyć wszystkie programy zabezpieczające jako przyczynę. 2. Usuń sterownik Avast: R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [19600 2012-07-03] (AVAST Software) Cytuję akcje do wykonania z poziomu Trybu awaryjnego Windows: Po powyższych działaniach kolejna porcja. Pobierz najnowszą wersję FRST. Zaloguj się na konto Kristina. I przeprowadź te akcje: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Run: [Praetorian] - C:\Users\Kristina\AppData\Local\Yandex\Updater\praetorian.exe [1582976 2012-07-17] (Yandex LLC) Task: {106B6F0E-5021-4412-B485-02679E2A49DF} - \AdobeFlashPlayerUpdate 2 No Task File Task: {2D9D0170-BD12-4886-913F-9868797AE27D} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe Task: {73F1741F-73A4-4B75-A10F-8060ADA48158} - System32\Tasks\DealPly => C:\Users\Kristina\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE Task: {8E827658-D1EF-4777-AA64-CE6D7F53D5A4} - System32\Tasks\EPUpdater => C:\Users\Kristina\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe Task: {E08F1C36-CAAC-40A0-9F3A-F4901365DD1F} - \AdobeFlashPlayerUpdate No Task File HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Default_Page_URL = http://search.certified-toolbar.com?si=41460&home=true&tid=592 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://search.certified-toolbar.com?si=41460&tid=592&bs=true&q= SearchScopes: HKLM-x32 - Yandex URL = http://search.certified-toolbar.com?si=41460&bs=true&tid=592&q={searchTerms} SearchScopes: HKLM-x32 - {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?p2=^HJ^xdm007^YY^pl&si=COeN48e_rLQCFUNa3godwmIAAQ&ptb=03655EC0-1DC8-4999-9491-F0F89F062B76&ind=2013012015&n=77fc202f&psa=&st=sb&searchfor={searchTerms} BHO-x32: No Name - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No File BHO-x32: No Name - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - No File S3 catchme; \??\C:\ComboFix\catchme.sys [x] S3 usbbus; system32\DRIVERS\lgx64bus.sys [x] S3 UsbDiag; system32\DRIVERS\lgx64diag.sys [x] S3 USBModem; system32\DRIVERS\lgx64modem.sys [x] C:\Users\Kristina\AppData\Local\newhb2.crx C:\Users\Kristina\AppData\Local\BargainJoy.crx C:\Users\Kristina\AppData\Local\Yandex C:\Users\Kristina\AppData\Roaming\Yandex C:\Users\Kristina\Downloads\avast-Free-Antivirus(13266).exe C:\Program Files\AVAST Software C:\ProgramData\AVAST Software Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (zaznacz by powstał ponownie plik Addition). Dołącz plik fixlog.txt oraz zaległy ComboFix. .

Od jakiegoś czasu są nowe zasady działu i obowiązkowe są raporty z FRST. Dostarcz. .

To był prawdopodobnie inny rodzaj komunikatu blokującego. Nie ma oznak czynnej infekcji, są tylko źle doczyszczone resztki poprzedniej blokady. Poza tym, jest notowany jakiś problem z WMI: ==================== Security Center ======================== AV: avast! Antivirus (Disabled - Up to date) {7591DB91-41F0-48A3-B128-1A293FD8233D} Could not list Security Center items. Check WMI. ... oraz błędy uszkodzonej struktury systemu plików: Error - 2013-10-23 17:09:53 | Computer Name = MARTYKA-82152A8 | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku. Uruchom narzędzie chkdsk na woluminie C:. 1. Otwórz Notatnik i wklej w nim: HKCU\...\Winlogon: [shell] explorer.exe C:\Documents and Settings\Kasia\Dane aplikacji\settings.ini SearchScopes: HKLM - DefaultScope value is missing. Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File S0 viaxbus; No ImagePath CMD: del /q C:\REMOVE_THIS_FILE.livecd.swap CMD: sc stop winmgmt CMD: rd /s /q C:\WINDOWS\system32\wbem\Repository CMD: chkdsk /f /r Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (zaznacz, by ponownie powstał plik Addition). Dołącz plik fixlog.txt. .

jessika Zmieniam instrukcje, rozszerzając m.in. skrypt FRST (ominięte kilka wpisów takich jak modyfikacje Shell czy zadanie w Harmonogramie), a naprawa usług potem. Toteż Twój post idzie do spoilera. bartek1877 Na początek, programy pobierane z portali (KLIK), to nie są bezpośrednie instalatory: C:\Users\Adrian\Downloads\Gmer(13252).exe C:\Users\Adrian\Downloads\Winamp(12928).exe C:\Users\Adrian\Downloads\CCleaner(13061).exe Wartości Shell są zmodyfikowane, ustawione na uruchamianie linii komend cmd. Ogólnie do wykonania: 1. Otwórz Notatnik i wklej w nim: CMD: netsh winsock reset Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 05 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Task: {23642A77-191C-455C-ADF5-3D5C21D38359} - System32\Tasks\0 => Iexplore.exe HKLM-x32\...\Winlogon: [shell] cmd.exe [302592 2010-11-21] (Microsoft Corporation) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM-x32\...\Command Processor: "C:\Users\Adrian\AppData\Local\dHFWJHzy9A\zdzthhs2rpc.exe" HKCU\...\Winlogon: [shell] cmd.exe [345088 2010-11-21] (Microsoft Corporation) HKCU\...\Command Processor: HKCU\...\Policies\Explorer: [HideSCAHealth] 1 HKLM-x32\...\Run: [] - [x] S2 postgresql-9.2; C:/Program Files (x86)/PostgreSQL/9.2/bin/pg_ctl.exe runservice -N "postgresql-9.2" -D "C:/Program Files (x86)/PostgreSQL/9.2/data" -w [x] S3 atillk64; \??\C:\Program Files (x86)\AMD\System Monitor\atillk64.sys [x] HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=idg&from=idg&uid=Hitachi_HTS547550A9E384_J2150050DBZ7DDDBZ7DDX&ts=1354045889 HKCU\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?affID=110819&tt=010712_1&babsrc=HP_ss&mntrId=423e6d91000000000000402cf438bfbc URLSearchHook: HKCU - (No Name) - {6edc3889-b841-4127-a2bf-c5fc48f972c7} - No File SearchScopes: HKLM - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499 SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499 SearchScopes: HKLM-x32 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499 SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499 SearchScopes: HKCU - DefaultScope {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQPhrpYc1&i=26 SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzuyEtDtB0C0FyEtAzz0B0F0B0CyC0DzytCtN0D0TzutBtDtCtBtDyBtDtB&cr=353983499 SearchScopes: HKCU - {23E9B683-1399-B8DE-8D5A-2A540491B51E} URL = http://search.babylon.com/?q={searchTerms}&affID=110819&tt=010712_1&babsrc=SP_ss&mntrId=423e6d91000000000000402cf438bfbc SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6PQPhrpYc1&i=26 BHO-x32: DVDVideoSoft WebPageAdjuster Class - {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} - C:\Program Files (x86)\Common Files\DVDVideoSoft\bin\IEDownloadMenuAndBtns.dll (DVDVideoSoft Ltd.) Toolbar: HKLM-x32 - No Name - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - No File Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKCU - No Name - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No File CHR HKLM\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Adrian\AppData\Local\funmoods-speeddial.crx CHR HKLM\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx CHR HKLM\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\Adrian\AppData\Local\funmoods.crx CHR HKLM-x32\...\Chrome\Extension: [cjpglkicenollcignonpgiafdgfeehoj] - C:\Users\Adrian\AppData\Local\funmoods-speeddial.crx CHR HKLM-x32\...\Chrome\Extension: [dlnembnfbcpjnepmfjmngjenhhajpdfd] - C:\Program Files\IB Updater\source.crx CHR HKLM-x32\...\Chrome\Extension: [fdloijijlkoblmigdofommgnheckmaki] - C:\Users\Adrian\AppData\Local\funmoods.crx CHR HKLM-x32\...\Chrome\Extension: [jbpkiefagocgkmemidfngdkamloieekf] - C:\Program Files (x86)\TornTV.com\torn10.crx CHR HKLM-x32\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files (x86)\StartSearch plugin\vshareplg.crx C:\ProgramData\RJS6O4ql C:\Program Files (x86)\Google\Desktop C:\Program Files (x86)\v9Soft C:\Program Files (x86)\mozilla firefox C:\Program Files (x86)\Common Files\DVDVideoSoft C:\Users\Adrian\Downloads\178500 C:\Users\Adrian\Downloads\CCleaner(13061).exe C:\Users\Adrian\Downloads\Gmer(13252).exe C:\Users\Adrian\Downloads\Winamp(12928).exe C:\Users\Adrian\AppData\Roaming\cLaT83yw C:\Users\Adrian\AppData\Roaming\Mozilla C:\Users\Adrian\AppData\Local\funmoods-speeddial.crx C:\Users\Adrian\AppData\Local\funmoods.crx C:\Users\Adrian\AppData\Local\MFAData C:\Users\Adrian\AppData\Local\Avg2014 C:\ProgramData\AVAST Software C:\ProgramData\MFAData Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Rozszerzenia > odinstaluj FunDial, Funmoods Ustawienia > karta Historia > wyczyść 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Ten błąd FRST był wynikiem naruszonej przez infekcję usługi WMI. Zostało to już naprawione. Toteż pobierz najnowszą wersję FRST i zrób raporty z tego narzędzia. .

Komunikat pochodzi od zdekompletowanej infekcji, w starcie jest skrót próbujący uruchamiać nieistniejący już na dysku plik. 1. Otwórz Notatnik i wklej w nim: Startup: C:\Documents and Settings\Właściciel\Menu Start\Programy\Autostart\runctf.lnk HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtDtC0CyCzy0EtByEzz0BtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=34597676&ir= HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=irmsd103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtDtC0CyCzy0EtByEzz0BtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=34597676&ir= SearchScopes: HKLM - DefaultScope {116B11B3-73AF-FC81-4D76-586AA4C1DA31} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtDtC0CyCzy0EtByEzz0BtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=34597676&ir= SearchScopes: HKLM - {116B11B3-73AF-FC81-4D76-586AA4C1DA31} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtDtC0CyCzy0EtByEzz0BtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=34597676&ir= SearchScopes: HKCU - DefaultScope {116B11B3-73AF-FC81-4D76-586AA4C1DA31} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtDtC0CyCzy0EtByEzz0BtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=34597676&ir= SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://startsear.ch/?src=sp&aff=51&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms} SearchScopes: HKCU - {116B11B3-73AF-FC81-4D76-586AA4C1DA31} URL = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=irmsd103&cd=2XzuyEtN2Y1L1Qzu0B0CyD0F0FyEtDtC0CyCzy0EtByEzz0BtN0D0Tzu0CyCyCyEtN1L2XzutBtFtBtFyDtFtCtDyBtDtN1L1Czu1L1C1H1B1QtCtDtA&cr=34597676&ir= SearchScopes: HKCU - {C7F8A9ED-12EB-4BA4-A0BF-71E22622212C} URL = http://search.v9.com/web/?q={searchTerms} S2 SplashtopRemoteService; "C:\Program Files\Splashtop\Splashtop Remote\Server\SRService.exe" [x] U3 TlntSvr; S3 USBAAPL; System32\Drivers\usbaapl.sys [x] S3 WinRing0_1_2_0; \??\C:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [x] C:\WINDOWS\Tasks\At1.job C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\SpeedyPC Software C:\Documents and Settings\Właściciel\Dane aplikacji\DriverCure C:\Documents and Settings\Właściciel\Dane aplikacji\mysearchdial C:\Documents and Settings\Właściciel\Dane aplikacji\SpeedyPC Software C:\0.bak C:\0 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Zasady działu: KLIK. Dodaj obowiązkowe tu logi (FRST / GMER) oraz dodatkowo USBFix z opcji Listing. .

Dlaczego temat został założony w dziale diagnostyki infekcji? Przenoszę do działu Windows. W kwestii błędu: naruszenia w plikach kategorii KnowDlls. Zrób skan z FRST. .

Czy na pewno system jest nadal zablokowany w Trybie normalnym? Nie widać w raportach żadnych oznak infekcji blokującej Windows, tylko adware będzie do usunięcia.

Czy na pewno nie działa Tryb awaryjny z Wierszem polecenia? Zrób skan z zewnątrz za pomocą FRST. W opisie narzędzia jest przekierowanie do artykułu o WinRE, gdzie to w spoilerze jest link do pobierania tej płyty w wersji skrojonej. .

- Chodzi o oprogramowanie zabezpieczające z określonymi funkcjami, czyli HIPS. - Jest też małe narzędzie CryptoPrevent realizujące polityki implementowane przez rejestr. Podany przeze mnie wcześniej artykuł na Bleeping wyjaśnia go bliżej. Jest napisane coś przeciwnego, metoda użyta przez Cryptolocker ma na celu właśnie uniemożliwić odzysk via narzędzia pokroju Photorec. Nie testowałam tego trojana (nie miałam odwagi go zapuścić na maszynie ze współdzieleniem plików z hostem), toteż nie wiem jakie działania mają sens. Artykuł na Bleeping jako możliwość odzysku danych wylicza dostęp do kopii cieniowych punktów Przywracania systemu (Vista i nowsze), aczkolwiek nie umiem się do tego ustosunkować. To byłoby chyba zbyt proste, a ponadto tyczy to tylko dysku objętego Ochroną (domyślnie tylko dysk systemowy). Ta metoda przykładowo poległa na innej sławnej tu na forum infekcji szyfrującej (pliki *.block). .

Kolejny artykuł, tym razem Kasperskiego: KLIK. "Cryptolocker uses a solid encryption scheme as well, which so far appears uncrackable. (...) Cryptolocker uses a solid method to encrypt files and to make sure their unencrypted versions can't be recovered by tools such as Photorec." .

Usuwanie wykonane pomyślnie, aczkolwiek nie ma śladów wykonania tego działania: Zrób ten reset, gdyż usuwanie wcześniej przez AdwCleaner + moja poprawka skryptem FRST na adware Crossrider w FF nie gwarantuje dobrego wyczyszczenia preferencji. I zanim zadam czynności końcowe: Tu jest całkiem inny podejrzany, czyli Kaspersky Internet Security 2013. Instalacja wygląda zresztą na świeżą, pliki KIS utworzone 16 października. Do przeprowadzenia testy: - Wyłączenie całej osłony rezydentnej, by sprawdzić czy to działanie coś zmienia. - Całkowita deinstalacja programu (tylko to gwarantuje odcięcie wszystkich aktywności). .

kunek, ale przecież prosiłam o wykonanie skanów przed i po, a logów nie dostarczyłeś: 1. Skan przed wykonaniem usuwania: Czy go zrobiłeś? 2. Oraz skan na samym końcu po usuwaniu: .

Te dwa pierwsze wyniki są niepokojące z punktu widzenia potencjalnych fałszywych alarmów, a dwa ostatnie to szczątki McAfee... Te niby "rootkity" widać w skanie GMER i to nie są prawdziwe rootkity tylko obiekty systemu, a także komponenty Avast per se. Nie jest wykluczone, że to Avast jest przyczyną tych wyników... Tzn. że on może generować blokadę. Co do dostarczonych tu raportów, to widzę adware. Doczyść to oraz inne szczątki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?affID=119357&babsrc=HP_ss_din2g&mntrId=B0D274E543455C54 URLSearchHook: (No Name) - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - No File SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=B0D274E543455C54 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119357&babsrc=SP_ss&mntrId=B0D274E543455C54 Toolbar: HKLM-x32 - SimilarWeb - {74198672-5F7D-4FE9-A611-4AC1D5A66A15} - C:\Program Files (x86)\SimilarWeb\SimilarWeb.dll (SimilarGroup) Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Task: {253392B6-EE38-49EA-9306-F172AD9D2A3C} - System32\Tasks\Norton Product InstallerIdle => C:\Users\Antek\AppData\Local\Temp\Adobe\Shockwave 12\SymInstallStub.exe Task: {3145BA82-CA4E-4879-95AB-DC781FB93044} - System32\Tasks\DSite => C:\Users\Antek\AppData\Roaming\DSite\UpdateProc\UpdateTask.exe [2013-06-08] () Task: {41001091-834D-4BBA-8143-9495DDCAF924} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: C:\Windows\Tasks\DSite.job => C:\Users\Antek\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird U3 BcmSqlStartupSvc; U4 bdselfpr; U2 CLKMSVC10_3A60B698; U2 CLKMSVC10_C3B3B687; U2 DriverService; U2 iATAgentService; U2 idealife Update Service; U3 IGRS; U2 IviRegMgr; U2 Oasis2Service; U2 PCCarerService; U2 ReadyComm.DirectRouter; U2 RichVideo; U2 RtLedService; U2 SeaPort; U2 SoftwareService; U3 SQLWriter; C:\Program Files (x86)\ESET C:\Program Files (x86)\McAfee C:\Program Files\Common Files\mcafee C:\Windows\SysWOW64\sho3CD1.tmp C:\Users\Antek\AppData\Roaming\Babylon C:\Users\Antek\AppData\Roaming\DSite C:\Users\Antek\AppData\Roaming\SimilarWeb Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{5D06ED6E-DA78-4486-A246-B131A2C39807}" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Extensions\{5D06ED6E-DA78-4486-A246-B131A2C39807}" /f CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Antek\AppData\Local\{*}) do rd /s /q "%f" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj PC Speed Up Extension, SimilarWeb. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusz zakładek i haseł, ale zainstalowane rozszerzenia trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.babylon.com Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, po tym skasuj z listy Babylon. Ustawienia > karta Rozszerzenia > odinstaluj 22Apple, Amazon 1Button App for Chrome, New Tab Ustawienia > karta Historia > wyczyść 5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 6. Uruchom TFC - Temp Cleaner. 7. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

1. Pewien błąd został naprawiony w FRST i należy to sprawdzić. Skasuj obecną wersję z pendrive i pobierz najnowszą (z tego samego linka). Zrób nowy skan FRST i dostarcz log. Dopiero po dostarczeniu raportu przejdź do usuwania: 2. Otwórz Notatnik i wklej w nim: Reg: reg export HKLM\SYSTEM\ControlSet001\Services\Winmgmt H:\winmgmt.reg HKLM-x32\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, [x] HKU\Mirek\...\Run: [baacafecaacc] - C:\ProgramData\baacafecaacc.exe [296448 2013-09-21] () HKU\Mirek\...\Winlogon: [shell] explorer.exe S2 dealplylive; C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe [148000 2013-09-18] (DealPly Technologies Ltd) S3 dealplylivem; C:\Program Files (x86)\DealPlyLive\Update\DealPlyLive.exe [148000 2013-09-18] (DealPly Technologies Ltd) S4 eabfiltr; S2 Winmgmt; C:\PROGRA~3\27tw8zowl.pss [61544 2013-10-23] (Microsoft Corporation) C:\ProgramData\27tw8zowl.bxx C:\ProgramData\27tw8zowl.fvv C:\ProgramData\27tw8zowl.pss C:\ProgramData\lwoz8wt72.dss C:\ProgramData\baacafecaacc.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\libnspr4.dll C:\ProgramData\lsass.exe C:\Users\Mirek\AppData\Local\{*} C:\Users\Mirek\AppData\Local\BIT*.tmp C:\Users\Mirek\AppData\Local\Temp\*.exe C:\Users\Mirek\AppData\Local\Temp\*.dll C:\Users\Mirek\AppData\Roaming\cache.ini C:\Users\Mirek\AppData\Roaming\Other.res C:\Users\Mirek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\27tw8zowl.lnk C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineUA.job C:\Windows\Tasks\DealPlyLiveUpdateTaskMachineCore.job C:\Windows\Tasks\Dealply.job Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Na H (pendrive) powstaną pliki: fixlog.txt oraz winmgmt.reg. 3. System powinien zostać odblokowany. Loguj się normalnie do Windows. Zrób nowy skan FRST, zaznacz by powstał także plik Addition. Dołącz jako załącznik posta plik fixlog.txt. Natomiast plik H:\winmgmt.reg shostuj gdzieś i wyślij mi link na PW do tego pliku. .

kunek, ale wszystko jest w linkowanym opisie. Masz: - Pobrać FRST i zapisać na pendrive - Uruchomić środowisko WinRE (jeśli system Windows 7, to jest pod F8 opcja "Napraw komputer", jeśli opcji brak lub inny system, to przeczytaj cały linkowany tam artykuł o WinRE na temat płyty) - W linii komend WinRE uruchomić z pendrive FRST. .

Zrób log z poziomu środowiska zewnętrznego za pomocą FRST.

Ale brakuje głównego skanu FRST + te wszystkie logi wstaw tu jako załączniki posta: Tylko plik searchscopes.reg + kwarantanna FRST w ZIP na PW. Dzięki za paczkę. Już pobrałam. .

Obowiązkowe raporty w dziale to także FRST. Proszę dodaj, a przejdę do usuwania infekcji.

woda48, proszę przez podbić. Jest napisane w wytycznych działu na temat cierpliwości. Ja tu nie mogę być 24/7. Stosowałeś SpyHunter, skaner wątpliwej reputacji. Widzę pobrany i używany AdwCleaner na dysku - nie dostarczyłeś z niego logów. Adware A2ZLyrics jest zarówno w Firefox jak i Google Chrome. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: Task: {1E9F26DE-F8E9-499A-9D23-0A6366D5BA8B} - \a2zLyrics-1-codedownloader No Task File Task: {4E22A3EE-DC63-4481-9E58-C62B8F7D39D4} - System32\Tasks\a2zLyrics-1-firefoxinstaller => C:\Program Files (x86)\a2zLyrics-1\a2zLyrics-1-firefoxinstaller.exe Task: {50965D33-F651-424A-81C0-160C19860725} - \a2zLyrics-1-chromeinstaller No Task File Task: {9F9B61A0-25E7-4B93-94B5-68B5847ECF7E} - \a2zLyrics-1-updater No Task File Task: {F2EAFC16-8055-4C30-84AD-889ADCD1E764} - \a2zLyrics-1-enabler No Task File CHR HKLM-x32\...\Chrome\Extension: [dlmdlmoekcipeicfbnohedgkglmbhcla] - C:\Program Files (x86)\Whilokii\dlmdlmoekcipeicfbnohedgkglmbhcla.crx FF Extension: No Name - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\a6wuznt8.default\Extensions\536c2ac1-a17c-4de1-a3f2-1b869a3be96c@2f6608a0-8c65-4bfe-8e2f-c65b5cc757cb.com C:\Users\Marcin\AppData\Local\avgchrome C:\Users\Marcin\AppData\Roaming\iSafe C:\Users\Marcin\AppData\Roaming\eCyber C:\Users\Marcin\Downloads\iSafedl.exe C:\Users\Marcin\Desktop\Search.lnk C:\Windows\SysWOW64\searchplugins C:\Windows\SysWOW64\Extensions C:\Program Files\Enigma Software Group Reg: reg export "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" C:\Users\Marcin\Desktop\searchscopes.reg Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. FRST będzie miał trudność z usunięciem tego krzaczastego wpisu: SearchScopes: HKCU - ŰźĆîZ§’2ąŢpv¨IÍá*X(Ž2s(ŰÎŔJşÔÓµť± vË°!×—(äĽ48иpatm6ęo^Mp`Ëő÷_iŁwľ!„Áű†x˘8€ŮjŔ˙ţ ´Ń;áa´[¦†8 ş~ŹRŮxśňÜ8'Ł-)x­ä­ URL = Start > w polu szukania wpisz regedit > z prawokliku skasuj: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\ten krzak 3. W Google Chrome: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Rozszerzenia > odinstaluj a2zLyrics-1 Ustawienia > karta Historia > wyczyść 4. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt oraz logi utworzone podczas usuwania AdwCleaner (są w katalogu C:\AdwCleaner). Dodatkowo: na Pulpicie utworzyłam plik searchscopes.reg, ten plik oraz cały katalog C:\FRST\Quarantine spakuj do ZIP, umieść na jakimś hostingu i prześlij mi link do paczki na PW. .

Temat przenoszę do działu Windows. To nie wygląda na problem infekcji, a te odczyty "rootkit" w GMER na obiektach Avast to prawdopodobnie wynik niskiej responsywności systemu. PS. I unikaj pobierania z portali (KLIK). Widać, że pościągałeś pliki "asystentów" a nie zasadnicze instalatory: 2013-10-16 19:56 - 2013-10-16 19:56 - 00685248 _____ C:\Users\Portitor\Downloads\XnView(12934).exe 2013-10-16 19:14 - 2013-10-16 19:14 - 00685248 _____ C:\Users\Portitor\Downloads\PDFCreator(12691).exe Do wdrożenia punkt 5 z ogłoszenia: KLIK. Widać na dysku, że w katalogu C:\Windows\Minidump powstały zrzuty pamięci. Skopiuj cały folder C:\Windows\Minidump na Pulpit, zapakuj do ZIP, shostuj gdzieś i podaj link do paczki. .

Jak sądzę, były czynniki które spowodowały niemożność pełnej instalacji infekcji. Widzę w Firefox zainstalowany NoScript, w tle działał COMODO. Brak oznak infekcji w raportach. Tylko drobne działania porządkowe: 1. Usunięcie wpisów szczątkowych. Otwórz Notatnik i wklej w nim: Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] S3 NPPTNT2; \??\C:\Windows\system32\npptNT2.sys [x] S3 vtany; \??\C:\Windows\vtany.sys [x] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\Razer\Razer Game Booster\Driver\WinRing0x64.sys [x] S3 X6va005; \??\C:\Users\owsiej\AppData\Local\Temp\0057C21.tmp [x] S3 X6va008; \??\C:\Windows\SysWOW64\Drivers\X6va008 [x] S3 X6va009; \??\C:\Windows\SysWOW64\Drivers\X6va009 [x] AlternateDataStreams: C:\ProgramData:gs5sys AlternateDataStreams: C:\Users\All Users:gs5sys AlternateDataStreams: C:\Users\owsiej:gs5sys AlternateDataStreams: C:\ProgramData\Application Data:gs5sys AlternateDataStreams: C:\ProgramData\Templates:gs5sys AlternateDataStreams: C:\Users\owsiej\Cookies:gs5sys AlternateDataStreams: C:\Users\owsiej\Dane aplikacji:gs5sys AlternateDataStreams: C:\Users\owsiej\Ustawienia lokalne:gs5sys AlternateDataStreams: C:\Users\owsiej\Desktop\desktop.ini:gs5sys AlternateDataStreams: C:\Users\owsiej\AppData\Local:gs5sys AlternateDataStreams: C:\Users\owsiej\AppData\Roaming:gs5sys AlternateDataStreams: C:\Users\owsiej\AppData\Local\Dane aplikacji:gs5sys AlternateDataStreams: C:\Users\owsiej\AppData\Local\Historia:gs5sys C:\Windows\SysWOW64\npptNT2.sys C:\Users\owsiej\AppData\Local\Google C:\Users\owsiej\AppData\Local\1C C:\Users\owsiej\AppData\Roaming\0ad Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Wyczyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner. 3. Do aktualizacji poniższe pozycje: KLIK. Przeczytaj też dodatkowy wątek o Java. ==================== Installed Programs ====================== Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.168) ----> wtyczka dla Firefox Adobe Shockwave Player 12.0 (x32 Version: 12.0.2.122) Java 7 Update 25 (x32 Version: 7.0.250) Java™ 7 Update 5 (x32 Version: 7.0.50) Skype™ 5.10 (x32 Version: 5.10.116) .

Założyłeś temat w dziale diagnostyki infekcji, żadnych obowązkowych danych nie podałeś, nawet nie wiadomo o jakim systemie mowa. Sprawdź czy coś da ta procedura: .

W końcu udało się usunąć ten plik. Był uruchamiany GMER. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. .