picasso

Skrypt OTL pomyślnie wykonany. Możesz zastosować opcję Sprzątanie w OTL. I oczekuję na klarowne podsumowanie stanu systemu po tych akcjach: .

Na przyszłość: GMER zobiłeś w złym środowisku, nie odinstalowałeś emulacji SPTD (KLIK), ale już to zostaw. Tytuł tematu dopasowuję do treści. Temat przenoszę do działu Windows. Oznak infekcji brak. Są tylko minamalne szczątki adware, ale to nie ma związku z problememami. Szybko to doczyść (patrz do spoilera). W Dzienniku zdarzeń jest poważny błąd braku usługi systemowej: Error - 2013-07-19 07:45:25 | Computer Name = Acer-Komputer | Source = Service Control Manager | ID = 7003 Description = Usługa Klient DNS zależy od następującej usługi: Tdx. Ta usługa może nie być zainstalowana. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tdx] "DisplayName"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004" "Group"="PNP_TDI" "ImagePath"=hex(2):73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,74,00,64,00,78,00,2e,00,73,00,79,\ 00,73,00,00,00 "ErrorControl"=dword:00000001 "Start"=dword:00000001 "Tag"=dword:00000004 "Type"=dword:00000001 "DependOnService"=hex(7):54,00,63,00,70,00,69,00,70,00,00,00,00,00 "Description"="@%SystemRoot%\\system32\\tcpipcfg.dll,-50004" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tdx\Enum] "0"="Root\\LEGACY_TDX\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system i podaj log z Farbar Service Scanner. Z raportów nic nie wynika. Nie jest jednak wykluczony Avast jako przyczyna spowolnienia. Po wykonaniu działań zadanych wcześniej zacznij od tych kroków obcinania procesów: 1. Odinstaluj zbędny sponsorowany McAfee Security Scan. 2. Uruchom Autoruns i w karcie Logon odznacz te zbędne wpisy startowe: O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) O4 - HKLM..\Run: [LogMeIn Hamachi Ui] C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.) O4 - HKU\S-1-5-21-1086633471-3381692265-4200055443-1006..\Run: [AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe (Alcohol Soft Development Team) O4 - HKU\S-1-5-21-1086633471-3381692265-4200055443-1006..\Run: [RocketDock] C:\Program Files\RocketDock\RocketDock.exe () O4 - Startup: C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Users\Acer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = File not found O4 - Startup: C:\Users\Wiktoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = File not found W karcie Services te: SRV - [2013-06-12 18:57:56 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc) SRV - [2013-05-27 13:21:11 | 000,117,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance) SRV - [2013-05-27 06:57:27 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) SRV - [2013-02-28 18:45:16 | 000,161,384 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate) SRV - [2012-10-02 13:13:44 | 003,064,000 | ---- | M] (Skype Technologies S.A.) [Auto | Running] -- C:\ProgramData\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service) SRV - [2012-07-27 22:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice) SRV - [2010-03-18 11:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto | Running] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon) 3. Zresetuj system. Jeśli kroki 1+2 nie będą mieć wymiernych skutków, zrób testową deinstalację Avast i sprawdź jak system się zachowuje po tej akcji. .

AdwCleaner wykończył Conduit Engine. 1. Końcowe poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "KernelFaultCheck"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "Akamai NetSession Interface"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Search Bar"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files netsh firewall reset /C Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starą Java 6 i przeterminowane produkty Adobe, zaktualizuj IE: KLIK. Internet Explorer (Version = 7.0.5730.11) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 39 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 5.1.20125.0 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "Adobe Shockwave Player" = Adobe Shockwave Player 12.0 .

Wyniki skanerów: - Kaspersky: log usuwam, to jest raport ogólny z wszystkimi wynikami jak leci, a nie tylko detekcja infekcji. Poza tym, on jest podejrzanie krótki, co wskazuje, że skan Kasperskym był robiony w trybie domyślnym ekspresowym. Ponów na wszelki wypadek skan, ale w konfiguracji skanera zaznacz skan wszystkich dysków. Jeżeli skaner coś wykryje, przeklej tylko te wyniki, inne typy mnie nie interesują. - MBAM: do usunięcia PUM.Hijack.System.Hidden oraz Malware.Packer.PEX. Natomiast PUM.Hijack.StartMenu + PUM.Hijack.Help nie liczy się, to tylko zawiadomienie o tym, że pozycja Pomoc jest ukryta w Menu Start. - Dodatkowo, przez SHIFT+DEL skasuj folder F:\.Trashes. To Kosz (innogatunkowy niż Windows). .

Ad "uratowałeś" = jestem kobietą. Na zakończenie: 1. Dokasuj sobie jeszcze ręcznie plik J:\desktop.ini. Poza tym, drobna poprawka na ustawienia IE. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\PROTOCOLS\Handler\vnd.ms.radio] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{7473b6bd-4691-4744-a82b-7854eb3d70b6}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj wszystke stare produkty Adobe / Java / Silverlight, zaktualizuj pozostałe pozycje niżj zakreślone: KLIK / KLIK. Na liście zainstalowanych u Ciebie widać: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 21 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight 5.1.10411.0 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.3 MUI "{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3 "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Gadu-Gadu 10" = Gadu-Gadu 10 .

Na zakończenie: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj starą Java 64-bit i zaktualizuj wtyczki Adobe Flash: KLIK. Wersje widziane jako zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417010FF}" = Java 7 Update 10 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtycza dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll () .

Na zakończenie: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w OTL uruchom Sprzątanie. 2. Zaktualizuj Firefox i wtyczkę Adobe Flash w nim: KLIK. Aktualnie posiadasz: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Mozilla Firefox 19.0.2 (x86 pl)" = Mozilla Firefox 19.0.2 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll () .

Na zakończenie: 1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu w systemie są wersje: Internet Explorer (Version = 6.0.2900.5512) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.1 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "ENTERPRISE" = Microsoft Office Enterprise 2007 "Mozilla Firefox 21.0 (x86 pl)" = Mozilla Firefox 21.0 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: F:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_224.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: f:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation) .

Akcje zrobione, zakończ sprawy: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{23E413D9-4C09-4363-A1F2-3F5D29D24008}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{23E413D9-4C09-4363-A1F2-3F5D29D24008}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{23E413D9-4C09-4363-A1F2-3F5D29D24008}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń starszą Java 6 i Adobe Reader, resztę poniżej wyliczoną zaktualizuj: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java™ 6 Update 25 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.7) MUI "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "Office14.Click2Run" = Microsoft Office Click-to-Run 2010 "Opera 12.01.1532" = Opera 12.01 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll () .

W raportach nie widać żadnych oznak infekcji. Skąd gra została pobrana? Jeśli z oficjalnego źródła, podejrzewam fałszywy alarm. Jeśli jednak źródło "poboczne", to rzeczywistość infekcji niewykluczona. Nie rozumiem związku z dodawaniem raportów = o co chodzi? A aktualizacje Flash ogólnie mają znaczenie dla bezpieczeństwa. BTW. Widzę, że gustujesz w programach "portable". Oznaki w logach wskazują, że i MBAM był pobierany chyba jako "portable" (skąd? nie ma takiej wersji oficjalnie) i to co jest na dysku przeczy, że to wersja rzeczywiście "portable", gdyż w systemie rozmieściły się określone katalogi + zainstalowany został sterownik MBAM: DRV - [2013-07-12 12:08:22 | 000,146,648 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\mbamswissarmy.sys -- (mbamswissarmy) [2013-07-12 12:08:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes' Anti-Malware (portable) [2013-07-12 12:08:22 | 000,146,648 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys [2013-07-12 12:05:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes .

Kończymy: 1. Jeszcze przez SHIFT+DEL dokasuj te obiekty z dysków: [30/05/2008 - 12:08:26 | AH | 2964] G:\svcl32.reg [03/03/2009 - 14:16:14 | D ] H:\Recycled [18/05/2009 - 11:30:52 | D ] H:\RECYCLER [26/06/2013 - 09:47:36 | ASH | 126] H:\desktop.ini [30/05/2008 - 12:08:26 | AH | 2964] H:\svcl32.reg [30/05/2008 - 12:08:26 | AH | 2964] I:\svcl32.reg 2. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. .

Poprzedni temat z wirusem Sality nieskończony, nie zgłosiłeś się z raportami. I teraz pokazujesz ten sam błąd, który sugeruje reinfekcję. Proszę w końcu dostarczyć wymagane raporty do oceny. Tematy sklejam. .

1. W systemie nie ma oznak infekcji. Usuń tylko drobne szczątki adware. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-3759259033-2518468386-1498446779-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=72C28C89A5DB33F3&affID=44444&tsp=4930 FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found [2013-07-01 09:13:27 | 000,006,504 | ---- | M] () -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\abz7tkyi.default-1372413158934\searchplugins\babylon.xml [2013-07-01 09:13:37 | 000,001,294 | ---- | M] () -- C:\Users\User\AppData\Roaming\mozilla\firefox\profiles\abz7tkyi.default-1372413158934\searchplugins\delta.xml [2013-07-01 09:13:34 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\mozilla firefox\Extensions\ffxtlbr@babylon.com [2013-07-01 09:13:43 | 000,000,000 | ---D | C] -- C:\Users\User\Local Settings [2013-07-01 09:13:34 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\BabSolution [2013-07-01 09:13:18 | 000,000,000 | ---D | C] -- C:\Users\User\AppData\Roaming\Babylon [2013-07-01 09:13:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po tym zastosuj Sprzątanie w OTL. 2. Obrazek z Kasperskiego pokazuje tylko detekcje w izolowanym katalogu Przywracania systemu na dysku F. Jak sądzę (w spisie dysków w OTL brak takiej litery) to były wykrycia na owym zewnętrznym dysku, który aktualnie nie jest podpięty. Skoro to dysk zewnętrzny, cały katalog F:\System Volume Information można byłoby skasować. Zapewne wystąpi problem z uprawnieniami tego katalogu podczas usuwania. Objaśnij co masz na myśli. .

Temat przenoszę do działu Windows. Oznak infekcji brak. Związek z VLC wydaje mi się naciągany. 1. Podstawowy program, które bije w oczy w raporcie, a ingeruje w opisywane partie, to COMODO Internet Security. Tak więc upewnij się, że to nie on jest sprawcą zamieszania z długim startem. 1. Po drugie, uruchamiałeś GMER, więc upewnij się, że nie pogrążył sprawy poprzez degradację transferu dysku do PIO. Wróć do opisu GMER i wykonaj ustęp Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP). W mojej sygnaturze jest link kierujący do stosownego wątku w dziale Serwis. Wszystkie dane tam podane są aktualne. Dzięki. .

Nie prosiłam o główny skan OTL (usuwam), bo to już do niczego nie jest potrzebne. Prosiłam o USBFix z opcji Listing.

Zasady działu na temat tytułowania tematów, opisu problemu oraz składu obowiązkowych logów: KLIK. Proszę wyjaśnić cel podawania logów. A skoro temat jest w dziale diagnostyki infekcji, to brak także obowiązkowego GMER. .

Akcje zrobione. Teraz: 1. Sprawdź czy się uruchamia MSSE, bo zostały skorygowane wszystkie wady. Windows Defender jest aktualnie zdeaktywowany, ale to normalne, gdyż MSSE go deaktywuje. 2. Podaj mi też spis aktualnych uprawnień katalogów Microsoft Security Client + Windows Defender. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 64 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Microsoft Security Client" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\DbgHelp.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\EppManifest.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\mpevmsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpOAv.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MSESysprep.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MsMpEng.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\msseces.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\msseoobe.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\msseooberes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\MsseWat.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\NisIpsPlugin.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\NisLog.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\NisSrv.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\NisWFP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\Setup.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\SetupRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\shellext.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\SqmApi.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\SymSrv.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\SymSrv.yes" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\Backup" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\Drivers" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\en-us" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Microsoft Security Client\pl-pl" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy plik C:\log.txt. .

Wszystko poprawnie wykonane. Teraz chcę się upewnić jak FRST zresetował uprawnienia katalogu C:\Program Files\Windows Defender. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 64 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ar-SA" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ar-SA\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ar-SA\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ar-SA\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\bg-BG" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\bg-BG\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\bg-BG\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\en-US" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\en-US\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\en-US\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\en-US\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\fr-FR" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\fr-FR\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\fr-FR\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\fr-FR\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\hr-HR" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\hr-HR\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\hr-HR\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\pl-PL\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ru-RU\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ru-RU" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ru-RU\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\ru-RU\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\sl-SI" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\sl-SI\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\sl-SI\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\tr-TR" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\tr-TR\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\tr-TR\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "C:\Program Files\Windows Defender\tr-TR\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy plik C:\log.txt. A ja go nadal widzę w starcie: HKLM-x32\...\Run: [G Data ASM] - "C:\Program Files (x86)\G Data\InternetSecurity\DelayLoader\AutorunDelayLoader.exe" /autostart [472016 2013-02-25] (G Data Software AG) Zastosuj firmowy usuwacz AVCleaner i zresetuj system. Po tym zrób nowy log z FRST (bez Addition). Nie mam szczególnych typów, jeśli chodzi o konkretną markę antywirusa. Byle był dobrany z puli popularnych o ustalonej reputacji, a nie jakieś niszowe rozwiązania, oraz w możliwie jak najnowszej wersji. .

Logi proszę dołączaj w formie załączników. Przechodzimy do usuwania: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS] "Type"=dword:00000020 "Start"=dword:00000003 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Usługa inteligentnego transferu w tle" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać." "FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum] "0"="Root\\LEGACY_BITS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Aktualizacje automatyczne" "ObjectName"="LocalSystem" "Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters] "ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\ 61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum] "0"="Root\\LEGACY_WUAUSERV\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm" "CustomizeSearch"="http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Default_Page_URL"=- "Search Bar"=- "Start Page"="about:blank" "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik umieść wprost na dysku C:\. 2. Otwórz Notatnik i wklej w nim: DeleteJunctionsIndirectory: C:\Program Files\Microsoft Security Client CMD: cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F CMD: cacls C:\RECYCLER\S-1-5-18\$a7973212fb20de1c2a2a55606a23d3a3 /E /G Wszyscy:F CMD: cacls C:\RECYCLER\S-1-5-21-1220945662-1417001333-725345543-1004\$a7973212fb20de1c2a2a55606a23d3a3 /E /G Wszyscy:F CMD: rd /s /q C:\RECYCLER CMD: reg import C:\FIX.REG HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] C:\RECYCLER\S-1-5-18\$a7973212fb20de1c2a2a55606a23d3a3\n. ATTENTION! ====> ZeroAccess Winsock: Catalog5 01 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5 03 mswsock.dll File Not found (Microsoft Corporation) ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" SearchScopes: HKLM - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=8c34155d-f23a-4b5b-afd8-3391d053b1d3&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={2D20EE15-EFDE-4E2C-A37E-3A9F9E77DEB2} SearchScopes: HKCU - {006ee092-9658-4fd6-bd8e-a21a348e59f5} URL = http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=8c34155d-f23a-4b5b-afd8-3391d053b1d3&affid=111583&searchtype=ds&babsrc=lnkry&q={searchTerms} SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=005DC83A35D7F570&affID=119357&tsp=4947 SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=IMB&o=15785&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=HQ&apn_dtid=YYYYYYYYPL&apn_uid=5FB8DE8E-EC9D-442D-998F-BE7B3054907F&apn_sauid=F39E843D-0AA6-47CF-ABDD-CF8C6B712BE7 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.v9.com/web/?q={searchTerms} SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&q={searchTerms}&barid={2D20EE15-EFDE-4E2C-A37E-3A9F9E77DEB2} BHO: Adobe PDF Link Helper - {58DA231B-7A8E-1B6D-4ECD-2C0C7C767A78} - C:\WINDOWS\system32\certmggr.dll () Toolbar: HKLM - No Name - {ae07101b-46d4-4a98-af68-0333ea26e113} - No File Toolbar: HKCU -No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File S2 StarOpen; No ImagePath C:\WINDOWS\system32\certmggr.dll C:\WINDOWS\system32\roboot.exe C:\WINDOWS\Tasks\SmartPCFix Task.job C:\WINDOWS\Tasks\Lyrmix Update.job C:\Program Files\Lyrmix C:\Program Files\SmartPCFix C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Documents and Settings\Marianu\Qtrax C:\Documents and Settings\Marianu\Dane aplikacji\Mipony C:\Documents and Settings\Marianu\Dane aplikacji\SmartPCFix C:\Documents and Settings\Marianu\Dane aplikacji\systweak C:\Documents and Settings\Marianu\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Franek\Chipmunks.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + FRST (już bez Addition). Dołącz fixlog.txt oraz log utworzony przez AdwCleaner. .

Dopiero ten log USBFix pokazuje zawartość urządzeń. Przestawienie opcji Widoku nie wpływa na zdolność pobrania danych przez USBFix, chodzić musiało o coś całkiem innego. 1. Przy podpiętych urządzeniach uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files $RECYCLE.BIN /alldrives RECYCLER /alldrives G:\*.lnk H:\desktop.ini H:\autorun.inf :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Wejdź na dysku H + I, tam są utworzone przez infekcję ukryte foldery "bez nazwy": [25/06/2013 - 08:26:10 | SHD ] H:\ [29/07/2013 - 13:02:22 | SHD ] I:\ W nich infekcja umieściła wszystkie dane. Po prostu dane z tych folderów przenieś poziom wyżej, a owe foldery "bez nazwy" skasuj przez SHIFT+DEL. 3. Zrób nowy log USBFix z opcji Listing. Dodaj ten log z wynikami usuwania OTL powstały w punkcie 1. .

Zainfekowałaś system rootkitem ZeroAccess. Rootkit niszczy usługi systemu oraz Windows Defender i MSSE (są przerobione na linki symboliczne i dopóki nie zostaną rozlinkowane, nic z nimi nie zrobisz). Potrzebne są dodatkowe raporty: 1. Logi z FRST. 2. Log z Farbar Service Scanner. .

Ale te wszystkie logi w poście pierwszym oraz ostatnim są bezużyteczne i nie widać w nich żadnej infekcji. One zostały zrobione z poziomu nie tego konta co należy, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: KIEROWNIK | User Name: Administrator | Logged in as Administrator. Logi muszą być zrobione z poziomu konta na którym był / jest problem. .

Temat przenoszę do działu Windows. Brak oznak infekcji w rozumieniu trojanów etc., tylko adware. Szybkie akcje: - Przez Dodaj/Usuń programy odinstaluj Delta Chrome Toolbar, PC Performer, Pokki Download Helper, Logitech Desktop Messenger. - W Google Chrome odinstaluj w Rozszerzeniach Delta Toolbar, uTorrentControl_v6. - Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go. Pierwszym skojarzeniem byłyby dla mnie sterowniki Kasperskiego filtrujące właśnie klawiaturę i mysz: DRV - [2013-03-06 13:24:14 | 000,024,920 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klmouflt.sys -- (klmouflt) DRV - [2013-03-06 13:24:14 | 000,024,408 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\klkbdflt.sys -- (klkbdflt) I te filtry bym zaczęła ściągać, ale: Uściślij na którym etapie nie działa klawiatura? Jeśli podczas bootowania z płyty instalacyjnej, to w tym momencie problem rysuje się na poziomie sprzętu a nie Windows i punktowane przeze mnie filtry Kasperskiego nie mają nic do rzeczy. Nie, system operacyjny nie może być sformatowany spod siebie samego. To byłoby podcięcie gałęzi na której się siedzi. .

Temat przenoszę wstępnie do działu Windows. Nie widać tu żadnej infekcji. Są tylko minimalne szcząteczki adware, ale to nie ma nic wspólnego z problemami. Użyj AdwCleaner. Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK. Widzę, że już podejmowałeś jakieś próby za pomocą NirSoft BlueScreenView. Raczej dostarcz wszystkie pliki DMP do analizy via Debugger MS. .

Temat przenoszę do działu Software. Brak oznak infekcji. Tylko doczyść resztki adware: odinstaluj Complitly + Pandora Service, a następnie uruchom AdwCleaner i zastosuj Usuń, przedstaw wynikowy log utworzony na dysku C. Sprawdź czy niedomyślne wtyczki nie kolidują. W pasku adresów wklej w pasku adresów wpisz chrome://plugins. Wyłącz wszystko co niedomyślne i przeładuj Google Chrome. .