picasso

W systemie nie widać oznak infekcji. Dokasuj tylko przez SHIFT+DEL te obiekty: [2013-06-29 20:05:54 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\337 [2013-06-29 13:56:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Tarma Installer [2013-06-29 13:56:02 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon [2013-07-10 20:23:03 | 000,000,637 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat Jak sądzę chodzi o dysk: H:\ -> Fixed drive # 931 Gb (160 Mb free - 17%) [My Passport] # NTFS A na nim nie ma nic szczególnego: [20/07/2013 - 22:58:54 | HD ] H:\$AVG [20/06/2013 - 14:34:00 | D ] H:\$RECYCLE.BIN [01/01/1970 - 02:10:33 | A | 21] H:\.cm0012 [01/01/1970 - 02:01:11 | A | 2277376] H:\.cmdb [23/04/2013 - 20:44:52 | ASH | 0] H:\autorun.inf [20/04/2013 - 16:37:37 | ASHD ] H:\Dysk [16/06/2013 - 18:14:41 | SHD ] H:\found.000 [21/07/2013 - 15:09:31 | SHD ] H:\found.001 [04/12/2012 - 15:31:16 | SHD ] H:\System Volume Information [01/01/1970 - 02:02:28 | A | 0] H:\tempidfile.devorg Jedyny plik wyglądający infekcyjnie to autorun.inf, a jedyny faktycznie ukryty folder to H:\Dysk. Foldery H:\$AVG (vault AVG), H:\$RECYCLE.BIN (Kosz), H:\System Volume Information (Przywracanie systemu), H:\found.* (odpadki checkdiska) powinny być ukryte w taki sposób. 1. Przez SHIFT+DEL skasuj: H:\autorun.inf H:\found.* H:\tempidfile.devorg 2. Odkryj folder H:\Dysk. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz poniższą komendę i ENTER: ATTRIB -S -H H:\Dysk .

Tak, zadanie wykonane. Teraz ręcznie zresetuj system i zrób nowe logi z OTL i FRST zgodnie z instrukcjami w przyklejonym: KLIK. Pliki Extras i Addition są zbędne. .

1. Jeszcze drobna poprawka na ukryte pliki na C oraz śmieciarskie instalatory na D (głównie pliki adware downloaderów portalowych, w tym "Asystenta pobierania" dobrychprogramów = te z cyframi w nawiasach, a skaner SpyHunter jest wątpliwej reputacji). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\$RTAMJUY.exe C:\$RVDEMNS.exe C:\$RY02QKX.exe C:\$RZR3Z31.exe D:\7ka216ww (1).exe D:\7ka216ww.exe D:\84r5up3g.exe D:\biye8q4n.exe D:\Chip_Downloader_Ad-Aware_Free_9.6.exe D:\DirectX10_downloader_by_programspl.exe D:\DirectX_11(pobierz.pl).exe D:\drivermax_7_13_cnet.exe D:\gfwlivesetup_*.exe D:\ATF(11943).exe D:\AVG 2013 keygen.exe D:\CDCheck(12390).exe D:\CrystalDiskInfo(27691).exe D:\Everest-Home-Edition(11558).exe D:\Logo-Maker(12346).exe D:\Skype(13018).exe D:\Sony-Vegas-Pro(13037).exe D:\RootkitRevealer(11876).exe D:\Recuva(13044).exe D:\Razer_Game_Booster_downloader.exe D:\return.to.castle.wolfenstein.patch_idg_downloader_1182_gry.exe D:\SoftonicDownloader_dla_microsoft-visual-c.exe D:\soundmax.integrated.digital.audio_pcworld_downloader_31523_pc.exe D:\SpyHunter-Installer.exe D:\SteamInstall(Pobierz.pl)[1].msi D:\Unlocker(12240) (1).exe D:\Unlocker(12240) (2).exe D:\Unlocker(12240).exe D:\VuuPC_setup.exe D:\Qoobox Klik w Wykonaj skrypt. 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wszystkie programy, które zwracają błąd, należy przeinstalować na świeżo z nowopobranych instalatorów (nie używaj tych już obecnych na dyskach). Dodatkowo, widzę że na dyskach masz zgromadzoną dużą ilość różnych instalatorów (w tym duplikaty), pozbądź się wszystkich. Na dysku dotkniętym Sality należy odnowić co się da. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. SalityKiller to miniaturowy skaner zawężony tematycznie. Dla pewności zrób jeszcze ogólne skanowanie w Kaspersky Virus Removal Tool. Domyślnie Kaspersky robi skan ekspresowy, należy wejść do opcji i zaznaczyć skan wszystkich dysków. Wg ostatniego raportu OTL są trzy dyski: Drive C: | 33,38 Gb Total Space | 5,02 Gb Free Space | 15,04% Space Free | Partition Type: NTFS Drive D: | 120,01 Gb Total Space | 34,35 Gb Free Space | 28,62% Space Free | Partition Type: NTFS Drive J: | 7,23 Gb Total Space | 1,22 Gb Free Space | 16,90% Space Free | Partition Type: NTFS Dysk D jest spory, podziel skan, tzn. skanuj dyski partiami, a nie wszystkie na raz. .

I teraz wygląda OK. Uruchom plik C:\Users\hp\desktop\FRST64.exe i kliknij w Fix. Pojawia się błąd, czy narzędzie wykonuje usuwanie i przedstawia log z usuwania? .

Nakładanie uprawnień pomyślne. Możemy przejść do innej porcji zadań: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane przez AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Przez SHIFT+DEL skasuj foldery: C:\Users\Igor\Desktop\Stare dane programu Firefox C:\FRST W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Tak, w tej sytuacji jest to niepożądane. W takim przypadku należy opuścić stare FIXMBR i FIXBOOT.

Poproszę jeszcze o log z USBFix z opcji Listing. .

Daniel, wg loga jednak: - Nie usunąłeś w ogóle folderu C:\FRST. Skasuj go przez SHIFT+DEL. - Aktualnie plik skryptu jest na Pulpicie: C:\Users\hp\desktop\fixlist.txt Ale narzędzie FRST wcale: C:\Users\hp\Downloads\FRST64.exe Otwórz eksplorator Windows, wejdź do folderu C:\Users\hp\Downloads, wytnij FRST64.exe, następnie w eksploratorze Windows otwórz folder C:\Users\hp\desktop i wklej tam FRST64.exe. Po tej akcji zrób nowy log z SystemLook na warunki które podałam powyżej. .

Skrypt pomyślnie wykonany. Temat rozwiąany. Zamykam.

Tak, gdyż upłynie dłuższy okres czasu i coś może się zmienić. .

Na temat używania ComboFix: KLIK. Zasady działu: KLIK. Proszę: opisać po co w ogóle uruchomiłeś to narzędzie + jaki jest konkretnie problem oraz dostarczyć obowiązkowe w tym dziale raporty (OTL i GMER). Raportu z CombFix nie usuwaj, bo musi być wiadome co robiło narzędzie. .

Coś tu się nie zgadza. Poproszę o skan pokazujący ewentualne kopie. Uruchom SystemLook x64, do okna wklej: :filefind fixlist* frst* Klik w Look. Przedstaw wynikowy raport. .

To by wskazywało, że być może naprawy były w tym obszarze i naprawa objawiła się "uszkodzeniem". 1. Spróbuj jeszcze z poziomu Konsoli Odzyskiwania wdrożyć komendy: CHKDSK /P /R FIXMBR FIXBOOT 2. Wykonaj diagnostykę dysku w MHDD. .

Temat przenoszę do działu Hardware. W systemie widać tylko drobne adware w Google Chrome, ale to na razie nieistotne, gdyż: W Dzienniku zdarzeń są takie błędy złych bloków dysku: Error - 2013-07-19 18:01:48 | Computer Name = ADMIN | Source = Disk | ID = 262151 Description = W urządzeniu \Device\Harddisk0\D wystąpił zły blok. Bad blocki i zła kondycja dysku byłyby wyjaśnieniem dla awarii systemu, mozolnego formatu i objawienia nowych problemów po formacie. Podaj skan oraz SMART wyciągnięte przez MHDD. PS. Wymagana pełna aktualizacja systemu (KLIK), ale to na razie odpuść, bo stan dysku może wykluczyć jego dalsze używanie. Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) .

Z eksportów nic nie wynika, wszystkie wpisy MIME jawią się jako prawidłowe. Obrazki na forum są w formacie PNG. Podaj mi jeszcze szukanie na klasę filtra PNG, bo nie jest wykluczone, że infekcja coś zmodyfikowała w tym obszarze: Uruchom SystemLook i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A3CCEDF7-2DE2-11D0-86F4-00A0C913F750} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PNGFilter.CoPNGFilter /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PNGFilter.CoPNGFilter.1 /s Klik w Look. .

Teraz odtwórz oryginalne uprawnienia katalgu Windows Defender (dostęp konta TrustedInstaller): 1. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. 2. Skasuj z dysku plik C:\log.txt. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy plik C:\log.txt. .

SFC raportuje dużą liczbę uszkodzonych plików relatywnych do Internet Explorer i nie może tego naprawić (brak poprawnych kopii w systemie). Mam pytania: - Czy były robione jakieś operacje związane z Internet Explorer (reinstalacje / deinstalacje, aktualizacje)? - Jaka wersja IE faktycznie jest zinstalowana? Log OTL pokazuje IE9, ale temu nie można już dowierzać (wersja IE10 nie jest wykrywana przez OTL): 64bit- Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) .

Zrobione. Kończymy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Usuń starą Java, zaktualizuj Firefox i jego wtyczkę Adobe Flash: KLIK. Na liście zainstalowanych widać wersje: ==================== Installed Programs ======================= Adobe Flash Player 11 Plugin (Version: 11.7.700.224) Java 7 Update 9 (Version: 7.0.90) Mozilla Firefox 20.0.1 (x86 pl) (Version: 20.0.1) .

Adresując to wszystko co powyżej: 1. Usunięcie szczątkowego wpisu G Data. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [G Data ASM] - "C:\Program Files (x86)\G Data\InternetSecurity\DelayLoader\AutorunDelayLoader.exe" /autostart [x] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Odtworzenie uprawnień TrustedInstaller dla katalogu Windows Defender. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\ar-SA" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\bg-BG" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\en-US" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\fr-FR" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\hr-HR" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\ru-RU" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\sl-SI" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" SetACL -on "C:\Program Files\Windows Defender\tr-TR" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Z prawokliku na plik Uruchom jako Administrator. Następnie skasuj z dysku plik C:\log.txt, ponownie uruchom plik LISTA.BAT i przedstaw wynikowy C:\log.txt. .

Wszystko zrobione. Drobne poprawki: 1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome. 2. Otwórz Notatnik i wklej w nim: Task: {1ADFD61E-2D04-4875-8F6E-9CAE94A95E7D} - System32\Tasks\EPUpdater => C:\Users\MARTYNA\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe No File Task: {F964EFD2-D4ED-4002-9E06-111034496539} - System32\Tasks\DSite => C:\Users\MARTYNA\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE No File S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [x] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f 2013-07-21 01:41 - 2013-07-21 01:41 - 00000097 _____ C:\Windows\DeleteOnReboot.bat Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Przedstaw go. .

Nie widzę żadnych znaków infekcji. Temat przenoszę do działu Windows XP. 1. Skoro uruchamiany był GMER to na początek sprawdź, czy transfer dysku nie został zdegradowany do PIO. Z opisu GMER wykonaj instrukcje Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). 2. Czy G Data InternetSecurity było zainstalowane przed wystąpieniem problemu? Nie jest to dostatecznie jasne na podstawie logów, choć określone obiekty są datowane na miesiąc wstecz: [2013-06-21 22:16:31 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Greg\Ustawienia lokalne\Dane aplikacji\G DATA [2013-06-21 21:03:05 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\G Data [2013-06-21 21:01:45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\G Data I są też błędy G Data w Dzienniku zdarzeń: [ Application Events ] Error - 2013-07-20 05:37:06 | Computer Name = M-G | Source = AVKWCtl | ID = 0 Description = Sterownik filtra nie mógł zostać uruchomiony z następującej przyczyny: FilterConnectCommunicationPort failed with code 0x47e [ System Events ] Error - 2013-07-20 05:33:37 | Computer Name = M-G | Source = Service Control Manager | ID = 7031 Description = Usługa G Data AntiVirus Proxy niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca czynność korekcyjna: Uruchom usługę ponownie. Error - 2013-07-20 05:34:37 | Computer Name = M-G | Source = Service Control Manager | ID = 7032 Description = Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi G Data AntiVirus Proxy, ale ta akcja nie powiodła się przy następującym błędzie: %%1058. Error - 2013-07-20 05:37:02 | Computer Name = M-G | Source = DCOM | ID = 10005 Description = Model DCOM odebrał błąd „%1058” podczas próby uruchomienia usługi AVKWCtl z argumentami „-Service” w celu uruchomienia serwera: {BCB3CC02-761B-4C74-8B04-891A31034D19} Usuń pakiet G Data na próbę. .

GMER zrobiony w złym środowisku, czynny Alcohol i sterownik SPTD (KLIK), ale zostaw to już. Oznak infekcji brak. Temat przenoszę do działu Windows. Usuń sobie tylko szybko wpisy puste i wyczyść Tempy. W spoilerze instrukcje. Na początek wykonaj standardowe testy: 1. Uruchomiłeś GMER, a w Dzienniku zdarzeń jest poniższy błąd, więc się upewnij, że transfer dysku nie został zdegradowany do PIO. Z opisu GMER wykonaj instrukcje Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). Error - 2013-07-17 04:51:02 | Computer Name = DUZY | Source = atapi | ID = 262153 Description = Urządzenie \Device\Ide\IdePort0 nie odpowiedziało w ramach ustalonego limitu czasu. 2. Został zgłoszony także błąd uszkodzonej struktury systemu plików, więc w Start > Uruchom > cmd zastosuj komendę chkdsk /f /r. Error - 2013-07-17 04:51:42 | Computer Name = DUZY | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku. Uruchom narzędzie chkdsk na woluminie C:. 3. W systemie jest zainstalowana rozszerzona wersje Microsoft Update, która może obciążać proces Aktualizacji: O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1346843896375 (MUWebControl Class) Wykonaj wszystkie kroki z tego tematu: KLIK. Po tym zresetuj system. 4. Jeśli nadal nie będzie poprawy, zrób testową deinstalację Avast. .

W systemie są zainstalowane śmieci adware. Przeprowadź następujące akcje: 1. Na początek prawidłowe deinstalacje: - Przez Panel sterowania odinstaluj: Babylon toolbar, Babylon Chrome Toolbar, BrowserProtect, Delta Chrome Toolbar, McAfee Security Scan Plus, Update for Hoolapp. - Google Chrome: w Rozszerzeniach odinstaluj Babylon Toolbar, BrowserProtect. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (Addition ma zostać dostarczony). Dołącz log utworzony przez AdwCleaner. .

Prosiłam o log USBFix z opcji Listing a nie Research. Kolejne działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\*.pif D:\*.pif C:\atxx.exe C:\awree.exe C:\bafjdw.exe C:\bfmaja.exe C:\bktoo.exe C:\bpiv.exe C:\bttnea.exe C:\cbsa.exe C:\clwhii.exe C:\cmvkes.exe C:\cwhvc.exe C:\dbbs.exe C:\edqdn.exe C:\ehtwu.exe C:\epbcwf.exe C:\fmcxtk.exe C:\fucaib.exe C:\gsvmb.exe C:\gtqmj.exe C:\hlvbo.exe C:\ixow.exe C:\kauv.exe C:\kkjkw.exe C:\mefxvm.exe C:\nafa.exe C:\nmlfg.exe C:\nsdk.exe C:\ojgsi.exe C:\paif.exe C:\ppfxu.exe C:\psccj.exe C:\ptqbr.exe C:\qbfmqi.exe C:\qfmi.exe C:\qlsl.exe C:\slimr.exe C:\uflc.exe D:\atnsg.exe D:\cpmt.exe D:\dyta.exe D:\epmmum.exe D:\exyalb.exe D:\eyxid.exe D:\ghvc.exe D:\iqopp.exe D:\jhxmgn.exe D:\kudbbn.exe D:\kulexk.exe D:\kxyk.exe D:\sewc.exe D:\stoyqs.exe D:\sxeol.exe D:\umyabb.exe D:\uunqh.exe D:\vljbr.exe D:\vrab.exe D:\wawibk.exe D:\wpgyvs.exe D:\xqeuu.exe D:\yjltk.exe D:\lnte.exe D:\CONFIG.exe D:\DownTango_Metin2Mod_KR_11012012.exe.exe D:\autorun.inf C:\Windows\DeleteOnReboot.bat C:\Program Files\Smart File Advisor C:\Users\zby\AppData\Roaming\70F104 C:\Users\zby\AppData\Roaming\wyUpdate AU C:\Users\zby\AppData\Roaming\AVG C:\Users\zby\AppData\Roaming\AVG2013 C:\Users\zby\AppData\Roaming\mozilla :OTL IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.b1.org/?bsrc=4hixr&chid=c167991 IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{105E99FF-8B9A-4492-B155-06194B9056D2}: "URL" = http://www.bing.com/search?FORM=UP21DF&PC=UP21&dt=012813&q={searchTerms}&src=IE-SearchBox IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms} O3 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006..\Run: [AVG-Secure-Search-Update_JUNE2013_TB] "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe" /PROMPT /CMPID=JUNE2013_TB File not found O4 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006..\Run: [DriverMax] "D:\DriverMax\drivermax.exe" -agent File not found O4 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006..\Run: [DriverMax_RESTART] "D:\DriverMax\drivermax.exe" -RESTART File not found O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4279762936-2041923811-3607526187-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4279762936-2041923811-3607526187-1006\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{105E99FF-8B9A-4492-B155-06194B9056D2}" [HKEY_USERS\S-1-5-21-4279762936-2041923811-3607526187-1006\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Start Page"="about:blank" "Start Page Before"=- [HKEY_USERS\S-1-5-21-4279762936-2041923811-3607526187-1006\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) oraz USBFix z opcji Listing. .

1. Otwórz Notatnik i wklej w nim: Rootkit:: C:\Documents and Settings\Corri\Dane aplikacji\Xcmgmd.exe Folder:: C:\Documents and Settings\Corri\Dane aplikacji\PriceGong C:\Documents and Settings\Corri\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox Registry:: [HKEY_CURRRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Xcmgmd"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\A7764E2C-6180-4216-BF1E-D99663DE906D] Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa. Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Dla każdego urządzenia zewnętrznego (pendrive etc): Start > Uruchom > cmd i wpisz komendy każdą zawierając ENTER: del /q X:\*.lnk rd /s /q X:\RECYCLER attrib /d /s -s -h X:\* (pod X oczywiście podstawiasz za każdym razem inną właściwą literę pod którą jest widziane dane urządzenie) 3. Przez Dodaj/Usuń programy odinstaluj: - Adware: uTorrentControl_v2 Toolbar, V9 Homepage Uninstaller - Starocie: Symantec Endpoint Protection + LiveUpdate 3.3, Skaner on-line mks_vir, ZoneAlarm 4. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + USBFix z opcji Listing + GMER. Dołącz log utworzony przez ComboFix. .