picasso

Temat przenoszę do działu Windows XP. A z raportu nic kompletnie nie wynika w kontekście prolemu. Sprecyzuj co to oznacza: system zatrzymuje się na logo Windows, czy jednak przechodzi ciut dalej już na ekran logowania? .

Temat przenoszę do działu Windows 8. Nie notuję tu żadnych oznak infekcji, a wykrycia MBAM + Windows Defender wyglądają na błahe / nieistotne dla sprawy. W raportach brak konkretów. Może na początek: 1. Odinstaluj zbędniki firmowe zaczynając od ASUS WebStorage Sync Agent (chmura internetowa na dane). Ten program na forum występował wiele razy w kontekście błędów explorer.exe. 2. Przetestuj start systemu w stanie czystego rozruchu: KB929135. .

Grubo przesadziłeś: logi z OTL nieprawidłowo wykonane, dlatego są tak koszmarnie duże i mało czytelne. Wszystkie opcje główne mają być ustawione na Użyj filtrowania + opcje Pliki zmodyfikowane / utworzone w przeciągu mają być ustawione na Młodsze niż, a Ty ustawiłeś kuriozalny przedział czasowy "Wszystkie". Brakuje odczytu z GMER. W OTL brak oznak infekcji, tylko drobne adware widać i to będzie doczyszczane. Temat przeniosę pewnie do działu Windows. Na początek zalecę deinstalację zbędnych firmowych programów. 1. Zacznij od prawidłowych deinstalacji w Panelu sterowania: - Adware: SoftwareUpdater, WinZipper. W zakresie plików adware powstał program Arrange Desktop = czy to była celowa instalacja? - Zbędne aplikacje: AsusVibe2.0 ("sklep"), ASUS WebStorage (internetowy dysk wirtualny, znany z błędów explorer.exe), ASUS Data Security Manager (szyfrowanie danych). Można też wywalić ASUS Video Magic, CyberLink PowerDVD 9, programy Windows Live / Bing i kilka innych Asusowych obiektów (przeglądnij). - Działa tu też IObit Malware Fighter, ale nie widzę deinstalatora.... 2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowe logi OTL z opcji Skanuj wg konfiguracji na forum: KLIK. Dołącz log utworzony przez AdwCleaner. .

Brak oznak czynnej infekcji, są tylko drobnostki adware i to doczyść: 1. Na początek prawidłowo wyczyść przeglądarki: - Otwórz Google Chrome i w Rozszerzeniach odinstaluj WebCake. - Otwórz Firefox i w menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go. Błąd stąd, że infekcja nie została wyczyszczona. Został wpis w starcie. Log z OTL tego nie pokazuje, ale w OTL nie można wierzyć święcie, bo były już tu przypadki niemożności pobrania tych danych z folderu Startup. Podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej: :dir C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup Klik w Look. Przedstaw raport wynikowy. Na pewno Alcohol był usuwany? Wg raportu OTL wytworzyłeś pewną sprzeczność, tzn. usługi Alcohola uruchomione (program nie wygląda na odinstalowany), ale sterownik SPTD emulacji wyszczerbiony: SRV - [2012-01-05 17:42:34 | 000,075,624 | ---- | M] (Alcohol Soft Development Team) [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe -- (AxAutoMntSrv) SRV - [2009-12-23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto | Running] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd) Taki stan powoduje niemożność deinstalacji Alcohola jako programu. Sterownik SPTD musi być obecny podczas deinstalacji Alcohola, w przeciwnym wypadku pojawi się błąd o "naruszonej integralności programu". Dopiero po deinstalacji Alcohola należy usunąć sterownik SPTD. Te objawy nie powinny być powiązane z tym co mówię powyżej, gdyż wskazywane rzeczy są zbyt drobne i nie ten poziom ingerencji. Pod tym kątem uwagę przede wszystkim zwraca avast! Endpoint Protection Suite (nienajnowsza wersja zresztą). Proponuję przetestować stan systemu po deinstalacji Avast, a deinstalacja po to, gdyż to jedyny test gwarantujący kompletne odładowanie czynności antywirusa. Nie da się Avast po prostu "wyłączyć" w rozumieniu które jest potrzebne (sterowniki muszą być wyłączone). .

Ogólnie nie widać czynnej infekcji, drobne adware / szczątki. Jednakże hmmm, są tu odnotowane podejrzane sterowniki: ---- Kernel code sections - GMER 2.1 ---- ? System32\drivers\kujpptsc.sys System nie moze odnalezc okreslonej sciezki. ! + DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ardotpor.sys -- (ardotpor) Ten pierwszy jest w stylu Sality.... Był robiony tylko skan MBAM. Czy skanowałeś system antywirusem? 1. Odinstaluj adware TopArcadeHits. Następnie wyczyść Firefox via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ardotpor.sys -- (ardotpor) IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{76762742-86C8-4F88-A289-479A3DAA1551}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_UK&apn_ptnrs=U3&apn_dtid=YYYYYYYYGB&apn_uid=1C8FC0CB-AAB0-4BB8-B1B6-F455B0E9D445&apn_sauid=8176839C-133C-4E27-80A8-0C967BFA496D IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{B41A82ED-32D2-463B-B04D-77EA8B40CACD}: "URL" = http://search.zonealarm.com/search?src=sp&tbid=base2013&Lan=en&q={searchTerms}&gu=4225913295d1463bb9bc4f2adb018bc8&tu=11JL0008W2B000s&sku=&tstsId=&ver=&&r=735 IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{BD5FA78D-C0FC-4357-8526-21320BFB9563}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033 IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{F5E17536-54D1-4971-84F9-E9EB9F3EC785}: "URL" = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found. O3 - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0 [2013-06-20 20:41:36 | 000,000,308 | ---- | M] () -- C:\Windows\tasks\TopArcadeHits.job [2013-06-12 21:30:11 | 000,000,000 | ---D | C] -- C:\Program Files\FK_Monitor [2013-06-12 21:29:37 | 000,000,000 | ---D | C] -- C:\Users\PARKER DRIVE 100\AppData\Roaming\CheckPoint [2013-06-12 21:26:37 | 000,000,000 | ---D | C] -- C:\ProgramData\CheckPoint :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER. .

+ Tego się już nie dowiemy, bo przedstawiony jest tu stan systemu zawarty w kopii sprzed kilku miesięcy. Nie ma danych z momentu, gdy wystąpiły pierwsze problemy. Aktualne logi: ja tu nie widzę żadnych oznak infekcji, tylko drobne rzeczy z zakresu adware (ale to nie może mieć takiego wpływu). Natomiast: 1. Problem z Dziennikiem zdarzeń: ========== Last 20 Event Log Errors ========== [ Application Events ] OTL encountered an error while reading this event log. It may be corrupt. Sprawdź czy Dziennik działa: - Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Czy przystawka się otwiera, czy można w niej po rozwinięciu "Dzienniki systemu Windows" odczytać wszystkie gałęzie, a jeśli tak to czy stoją tam daty bieżące? - Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Jaki stan (Uruchomiono?) i Typ uruchomienia (Automatycznie?) ma usługa Dziennik zdarzeń systemu Windows? 2. Nie do końca usunięty Avast. Ostał się sterownik filtrujący klawiaturę oraz rozszerznia w Google Chrome: DRV:64bit: - [2012-08-21 11:13:11 | 000,019,600 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswKbd.sys -- (aswKbd) CHR - Extension: avast! WebRep = C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1456_0\ CHR - Extension: avast! WebRep = C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\8.0.1483_0\ - Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i wejdź do klucza klasy klawiatur: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass. - Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklep komendy: sc stop aswKbd sc delete aswKbd del /q C:\WINDOWS\System32\drivers\aswKbd.sys - Otwórz Google Chrome i w Rozszerzeniach odmontuj avast! WebRep. Gdzie to się pokazało? Spróbuj przeinstalować AVG. Spybot - Search & Destroy kwalifikuje się do deinstalacji. To przestarzały słaby skaner, na dodatek 32-bitowy. A to co znalazł nie ma zbyt dużej wagi, to drobne adware i nie jest przyczyną opisywanych problemów. Pod tym kątem przeprowadź działania: 1. Odinstaluj Ask Toolbar, McAfee Security Scan Plus oraz Spybota. 2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go. .

1. Zadane operacje wykonane pomyślnie. Tylko drobna korekta. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Dwa pliki Windows nie mają sygnatury: [2013-06-13 01:13:49 | 000,717,824 | ---- | C] () -- C:\Windows\SysWow64\jscript.dll [2013-06-13 01:13:48 | 000,816,640 | ---- | C] () -- C:\Windows\SysNative\jscript.dll Uruchom komendę sfc /scannow, następnie komendę tworzenia raportu filtrowanego do znaczników [sR] i przedstaw log wynikowy: KLIK. Jak mówiłam: oznak infekcji czynnej tu brak i moim zdaniem problem jest ograniczony tylko do tego określonego folderu oraz wariacji antywirusa. Ja nie wykluczam, że tu chodzi tylko o to, iż antywirus nie może pliku usunąć, plik wcale się nie tworzy na nowo. Skoro nie możesz usunąć folderu "śmieci", przeprowadź następujące działania: 1. Przejdź w Tryb awaryjny, by antywirus nie był aktywny i nie blokował operacji. 2. Uruchom GrantPerms x64 i w oknie wklej: D:\SZKOŁA\szkoła\smieci Klik w Unlock. 3. Spróbuj przez SHIFT+DEL skasować cały folder śmieci. Koleżanka picasso. I byłam nieobecna. .

Temat przenoszę do działu Windows. Oznak czynnej infekcji brak. Są tylko drobnostki, tzn. mikro szczątki adware oraz ten pusty wpis: O20 - HKU\S-1-5-21-2154583305-863273735-3011277561-1000 Winlogon: Shell - (expstart.exe) - File not found Jednakże omijam jego usuwanie ze względu na to, że sytuacja w systemie może się raptownie zmienić: Te błędy o nieprawidłowym haśle i towarzyszące dziwności z kontami oraz Ostatnią poprawną konfiguracją sugerują uszkodzenie rejestru. Proponuję użyć Przywracanie systemu do daty sprzed wystąpienia problemów. To przywraca wsześniejszą postać plików rejestru (m.in. plik SAM z bazą kont i haseł). Daruj sobie ten plik REG. On naprawia całkiem inną usterkę: całkowity brak Trybu awaryjnego, tzn. nie jest nawet możliwe dojście do ekranu logowania nie wspominając o możliwości wpisywania hasła, bo natychmiastowy BSOD/autoreset występuje. U Ciebie wszystko wskazuje na to, że klucz Trybu awaryjnego jest cały, bo przechodzi etap ładowania sterowników (z klucza SafeBoot to się dzieje) i masz błąd o danych w użyciu (sugerujący próbę nadpisu kluczy już obecnych, których uprawnienia wykluczają ponowny nadpis). I stworzyłeś kuriozalny wpis w starcie, umieszczając plik REG: O4 - Startup: C:\Users\v\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SafeBootWin7.reg () Usuń go. .

System kompletnie nieaktualizowany, brak SP1 i IE9/IE10: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) W pierwszej kolejności to Ty nadrób to wszystko i dopiero wtedy oceniaj stan systemu. W raportach OTL brak oznak infekcji, są tylko mikro szczątki adware, ale to nie ma związku z problemami. Nie dołączyłeś jednak obowiązkowego raportu z GMER pod kątem infekcji ukrytych. Jeśli w tym raporcie nic nie będzie widać, temat zostanie przeniesiony do działu Windows. I doczyszczanie szczątków adware: 1. Otwórz Google Chrome i w Rozszerzeniach odinstaluj uTorrentControl_v2. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 IE - HKU\S-1-5-21-2185039245-711480396-3550105576-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 IE - HKU\S-1-5-21-2185039245-711480396-3550105576-1001\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found O3 - HKU\S-1-5-21-2185039245-711480396-3550105576-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKU\S-1-5-21-2185039245-711480396-3550105576-1001..\Run: [AdobeBridge] File not found FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found :Files C:\Users\Zacny\AppData\Roaming\mozilla C:\Users\Zacny\AppData\Roaming\OpenCandy :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Log Extras wygląda bardzo dziwnie.... Jakieś chińskie krzaki... "Brak internetu" = Opis zbyt ogólny, to nic nie mówi. I zgłaszasz to jako główny problem, a nie mówisz nic o infekcji fałszywym antywirusem "System Care Antivirus" która się uruchamia. Poza tym, w systemie są i szczątki innych infekcji z nośników USB oraz adware. Jeśli rzecz o braku sieci, to jako pierwszy podejrzany nasuwają się szczątkowe sterowniki ESET: DRV - [2009-04-09 16:21:12 | 000,094,360 | ---- | M] (ESET) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir) DRV - [2009-04-09 16:18:02 | 000,107,256 | ---- | M] (ESET) [Kernel | System | Stopped] -- D:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv) DRV - [2009-04-09 16:10:30 | 000,113,960 | ---- | M] (ESET) [File_System | Auto | Stopped] -- D:\WINDOWS\system32\drivers\eamon.sys -- (eamon Adresując wszystko co powyżej, punkty 1+2 wykonywane w Trybie awaryjnym, w puncie 3 przechodzisz w Tryb normalny: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-329068152-1614895754-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=119585&babsrc=SP_ss&mntrId=0486001C26C75B03 IE - HKU\S-1-5-21-329068152-1614895754-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468 FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: D:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird O3 - HKU\S-1-5-21-329068152-1614895754-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found. O4 - HKU\S-1-5-21-329068152-1614895754-725345543-1003..\Run: [dso32] D:\DOCUME~1\Marzena\USTAWI~1\Temp\dsoqq.exe File not found O4 - HKU\S-1-5-21-329068152-1614895754-725345543-1003..\Run: [Pokki] "%USERPROFILE%\Local Settings\Application Data\Pokki\Engine\pokki.exe" File not found O4 - HKU\S-1-5-21-329068152-1614895754-725345543-1003..\RunOnce: [048D6875529423690000048D63EF2AA5] D:\Documents and Settings\All Users\Dane aplikacji\048D6875529423690000048D63EF2AA5\048D6875529423690000048D63EF2AA5.exe () O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\Drivers\psdvdisk.sys -- (psdvdisk) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\Drivers\psdfilter.sys -- (psdfilter) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Documents and Settings\Marzena\NTIDrvr.sys -- (NTIDrvr) DRV - File not found [File_System | Auto | Stopped] -- D:\WINDOWS\system32\eLock2FSCTLDriver.sys -- (eLock2FSCTLDriver) DRV - File not found [File_System | Auto | Stopped] -- D:\WINDOWS\system32\eLock2BurnerLockDriver.sys -- (eLock2BurnerLockDriver) :Files autorun.inf /alldrives D:\WINDOWS\tasks\At1.job D:\WINDOWS\tasks\EPUpdater.job D:\Documents and Settings\All Users\Dane aplikacji\048D6875529423690000048D63EF2AA5 D:\Documents and Settings\Marzena\Menu Start\Programy\System Care Antivirus D:\Documents and Settings\All Users\Dane aplikacji\AVG10 D:\Documents and Settings\All Users\Dane aplikacji\Babylon D:\Documents and Settings\All Users\Dane aplikacji\Common Files D:\Documents and Settings\All Users\Dane aplikacji\ESET D:\Documents and Settings\All Users\Dane aplikacji\MFAData D:\Documents and Settings\All Users\Dane aplikacji\TEMP D:\Documents and Settings\All Users\Dane aplikacji\tmp D:\Documents and Settings\Gość\Dane aplikacji\facemoods.com D:\Documents and Settings\Marzena\Dane aplikacji\AVG10 D:\Documents and Settings\Marzena\Dane aplikacji\BabSolution D:\Documents and Settings\Marzena\Dane aplikacji\Babylon D:\Documents and Settings\Marzena\Dane aplikacji\facemoods.com D:\Documents and Settings\Marzena\Dane aplikacji\OpenCandy D:\Documents and Settings\Marzena\Dane aplikacji\PriceGong D:\Program Files\mozilla firefox\searchplugins\babylon.xml netsh firewall reset /C :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu D:\_OTL powstanie log z wynikami usuwania. 2. Usuń odpadki ESET za pomocą ESET Uninstaller . 3. Odinstaluj adware w poprawny sposób: - Przez Dodaj/Usuń programy: DealPly, Delta Toolbar. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowe logi: OTL z opcji Skanuj (włącznie z nowym Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz ten utworzony przez AdwCleaner. .

Nie jest wykluczone, że wtedy infekcja nie została dobrze wyczyszczona. ComboFix usuwa tylko startową część Brontok. Jeśli nie robiłeś wtedy pełnego skanu antywirusowego, to mogły na dysku pozostać pliki Brontok, które teraz omyłkowo uruchomiono i nastąpiła reinfekcja. Nie wiem. Laptop: Log z OTL jest źle skonfigurowany, opcję "Rejestr" ustawiłeś na "Wszystko", a ma być "Użyj filtrowania". Tu widać tylko odpadki Brontok oraz adware. Doczyść: 1. Odinstaluj w poprawny sposób adware: - Przez Panel sterowania: Ask Toolbar, Ask Toolbar Updater, FoxTab Music Converter, HyperCam Toolbar, pdfforge Toolbar v7.2, Winamp Toolbar. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Kacper\AppData\Local\*Bron* C:\Users\Kacper\AppData\Local\*.exe C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml :OTL IE - HKU\S-1-5-21-452875887-317145487-3222741655-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4 IE - HKU\S-1-5-21-452875887-317145487-3222741655-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=4140352c-3410-4b00-8832-0c237edfd09d&apn_sauid=7B26199A-ED1E-4CBA-89E2-79D01C0D0A22 O4 - HKLM..\Run: [] File not found O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCMD = 0 SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Stacjonarny: Stosowałeś jakiś skrypt OTL = co to było? Tu Brontok jest czynny, adware też obecne. Wykonaj następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe () O4 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000..\Run: [Tok-Cirrhatus] C:\Users\Kacper\AppData\Local\smss.exe () O4 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1002..\Run: [Tok-Cirrhatus] C:\Users\Kacper\AppData\Local\smss.exe () O4 - Startup: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () O7 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe () :Files C:\Users\Kacper\AppData\Local\*Bron* C:\Users\Kacper\AppData\Local\*.exe C:\Users\Kacper\AppData\Roaming\OpenCandy netsh advfirewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034. 3. Przez Panel sterowania odinstaluj adware Protected Search 1.1 oraz McAfee Security Scan Plus (sponsor paczek Adobe). 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"=- "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157" "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Default_Page_URL"=- "Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157" [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\AboutURLs] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\Search] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchURI] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchUrl] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\AboutURLs] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\Search] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchURI] [-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (ale podaj mi tylko plik Addition.txt). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner. .

Log z OTL jest niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files rd /s /q G:\$RECYCLE.BIN /C rd /s /q G:\RECYCLER /C del /q "G:\System Volume Information.lnk" /C attrib -s -h G:\czcionki /C attrib -s -h G:\filmy /C attrib -s -h G:\Gry /C attrib -s -h G:\muzyka /C attrib -s -h "G:\Muzyka (na zawody)" /C attrib -s -h G:\Output /C attrib -s -h G:\programy /C C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\n3s0fcbf.default\searchplugins\babylon.xml C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\n3s0fcbf.default\searchplugins\delta.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowy log USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1. Nowy główny skan OTL nie jest potrzebny, ale dodaj zaległy plik Extras. .

Hidrag to infekcja atakująca wszystkie pliki EXE. Pliki są zainfekowane i uszkodzone. Reinstalacja danej aplikacji to nie jest rozwiązanie. Wirus jest aktywny i konsekwentnie zaraża na nowo EXE. Z tym, że: - Masz 64-bitowy Windows, a to oznacza, że szkody są mniejsze, gdyż zarażane są tylko 32-bitowe pliki. - Nie widzę tu nic w starcie od tego wirusa. Są śmieci adware (ogramna ilość), ale to osobna sprawa i nie warto się tym zajmować teraz, gdy EXE są niszczone. Na początek spróbuj tych kroków: 1. Uruchom usuwacz AVG: rmhidrag.exe. Narzędzie zastosuj do skutku. 2. Przeinstaluj wszystkie aplikacje, które uprzednio nie chciały się uruchomić, z nowo pobranych instalatorów (a nie tych już obecnych na dysku). 3. Zrób nowe raporty OTl z opcji Skanuj. .

Po stronie systemu nie widać infekcji, która blokuje dane na dyskach, za to jest porządny śmietnik adware. Zajmę się tym wszystkim, ale w pierwszej kolejności: Wg obrazka jest tu infekcja, która robi następującą manipulację na dysku: tworzy folder "bez nazwy" i do niego przesuwa wszystkie prawidłowe dane z USB, następnie folder ten ukrywa przez atrybuty HS ("ukryty systemowy") i robi widoczny skrót o nazwie urządzenia, który podpuszcza użytkownika, by go uruchomić (a to uruchamia infekcję). Nie widzisz tego folderu "bez nazwy", gdyż nie masz skonfigurowanych wszystkich opcji widoku w Windows. W eksploratorze Windows > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukryj chronione pliki systemu operacyjnego, a się przekonasz o czym mowa. To co należy zrobić to: skasować skrót + odkryć folder "bez nazwy" (zdjęcie atrybutów HS) + z niego przesunąć wszystkie dane poziom wyżej. Na początek poproszę o log z USBFix z opcji Listing. .

Temat przenoszę do działu Software. To nie wygląda w ogóle na problem infekcji. To co wykrył MBAM to szczątki kiedyś obecnej (ponad pół roku temu), ale źle doczyszczonej infekcji UKASH. I tylko kosmetyczna poprawka na inne mini odpadki (bez związku z głównym problemem). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2027006403-1560903587-1949679409-1000\..\SearchScopes\{72478251-56FB-4B4E-AEDB-30B4140FC205}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=989A3260-67CD-4A84-B0E5-8B520236B586&apn_sauid=8D5F421D-3A13-46A3-8DF2-582392424132 O4 - HKU\S-1-5-21-2027006403-1560903587-1949679409-1000..\Run: [] File not found [2013-06-22 18:34:02 | 000,006,546 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\mozilla\firefox\profiles\m7xgo9fv.default\searchplugins\BrowserDefender.xml [2013-06-12 12:14:43 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp [2013-06-26 17:30:14 | 000,000,098 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat [2013-06-20 15:16:50 | 000,001,089 | ---- | M] () -- C:\Users\Damian\Desktop\Continue Vid-Saver Installation.lnk [2013-02-05 20:03:09 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\0I1G1B2Z1T1I1J1LtF1E1I :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. Następnie w OTL uruchom Sprzątanie. Wg raportu OTL w kluczu Uninstall nie ma Hamachi. Jako możliwość zostają więc dane, których OTL nie sprawdza, czyli klucze Instalatora Windows. Na początek użyj to narzędzie: KLIK. Wybierz tryb nieautomatyczny i sprawdź czy jest pokazywane Hamachi na liście. Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń, w sekcji Karty sieciowe sprawdź czy nie ma jakiś komponentów mostkowych Hamachi. .

Temat przenoszę do działu Windows. Używałeś jakiś skrypt do OTL = co to było? Log z OTL niepełny brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Log z GMER zrobiony w nieprawidłowych warunkach (przy czynnym sterowniku SPTD emulacji napędów wirtualnych) Ale zostaw to już, gdyż: Niestety ale to sugeruje zresetowane wszystkie uprawnienia w gałęzi SYSTEM i wymienione usługi to ledwie minimalna widoczna dla Ciebie część afunkcyjna. Przykład: KLIK. Ten typ usterki jest okropnie rozległy i ręczna naprawa wymaga strasznie dużo czasu i zaparcia, by stworzyć plik resetujący przywracający oryginalne uprawnienia. Od razu pytanie: Czy posiadasz punkt Przywracania systemu do czasu sprzed wystąpienia prolemu? Jeśli tak, od razu użyj Przywracanie. To najszybsza droga by to załatwić. .

Ukash Posiadasz log OTL Extras, który precyzjnie mówi co jest w kluczu Uninstall: Posiadasz też główny log OTL = nie ma w ...Policies\Explorer tego co wskazujesz do szukania oraz widać dokładnie jak wygląda FF. Plati Problem nieinfekcyjny. Przenoszę do działu Windows. Mam tylko pytanie: ikona Centrum Akcji ukryta celowo? I doczyść sobie drobne szczątki adware. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{ae07101b-46d4-4a98-af68-0333ea26e113}"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{ae07101b-46d4-4a98-af68-0333ea26e113}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{FB8E02D9-8C61-406B-9C2D-529D1AF5F7E7}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{4EF29608-86C0-47FB-902E-90789285B7BB}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Wejście Firefox nie istnieje w kluczu Uninstall, w którym być powinno. Tam jest tylko widzialny podrzędny komponent Mozilla Maintenance Service + wtyczka Windows Media Player Firefox Plugin. Z tego wynika, że po prostu Firefox jest już teraz w szczątkach. To co zostało od Firefox: Są tu dwa możliwe tory: 1. Zrobić instalację nakładkową Firefox na obecne elementy. Lub: 2. Ręcznie usunąć wszystko co w spoilerze. Zacznij od punktu numer 1. Jeśli to nie przyniesie rezultatów, rozpiszę instrukcje ręczne. .

System jest zainfekowany, uruchamia się w starcie trojan ccoqoazci.exe. Poproszę o dodatkowe raporty: GMER + USBFix z opcji Listing. .

System jest zainfekowany (wpis ccyaoigz.com w starcie), dlatego na dyskach zewnętrznych powstają skróty. Podany log z USBFix mówi mniej, bo jest zrobiony z opcji Research a nie Listing. Na urządzeniach prócz skrótów powinien być ukryty folder "bez nazwy", w którym są dane właściwe. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-842925246-1614895754-839522115-1003..\Run: [ChomikBox] C:\Program Files\ChomikBox\ChomikBox.exe File not found O4 - HKU\S-1-5-21-842925246-1614895754-839522115-1003..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe" File not found O4 - HKU\S-1-5-21-842925246-1614895754-839522115-1003..\Run: [Time Organizer] C:\Program Files\Time Organizer\Time Organizer.exe File not found O4 - HKLM..\RunOnce: [] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 28466 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccyaoigz.com O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Kasia\Dane aplikacji\sbqh.exe) - File not found :Files attrib /d /s -s -h G:\* /C attrib /d /s -s -h J:\* /C G:\Removable Disk (4GB).lnk J:\Removable Disk (8GB).lnk G:\autorun.inf J:\autorun.inf @C:\WINDOWS:7E903AE72F973E53 C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job C:\Program Files\Common Files\ApnToolbarInstaller.exe C:\Program Files\Common Files\ApnStub.exe C:\Documents and Settings\Kasia\Dane aplikacji\Mozilla C:\Program Files\Mozilla Firefox :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing + zaległy GMER. Dołącz log z usuwania OTL z punktu 1. .

Log z OTL jest niepotrzebnie duży, ustawiony licznik na 360 dni, a prosimy tu wyraźnie o 30 dni. System jest zainfekowany. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [MSConfig] C:\Users\sylwia\djc.exe () [2013-06-20 11:06:32 | 000,261,120 | ---- | C] (Ilient Ltd.) -- C:\Users\sylwia\pgq.exe [2013-05-23 23:06:05 | 000,244,224 | ---- | C] (Heads) -- C:\Users\sylwia\mdn.exe [2013-05-15 19:53:59 | 000,240,128 | ---- | C] (Moxie) -- C:\Users\sylwia\lcm.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj zbędniki AVG Security Toolbar, McAfee Security Scan Plus. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) na oczekiwanym ustawieniu 30 dni. Dołącz log z usuwania OTL z punktu 1. .

Temat przenoszę do działu Windows. Oznak infekcji brak. Choć GMER nie sprawdzony: Przecież w przyklejonym jest napisane, że GMER został zaktualizowany i obsługuje już systemy 64-bit. Sprawdź czy to samo zachodzi w stanie czystego rozruchu: KB929135. .

vs. O20 - HKU\S-1-5-21-3923645508-3675989961-2249486224-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation) O20 - HKU\S-1-5-21-3923645508-3675989961-2249486224-1000 Winlogon: Shell - ("C:\Users\śrubowy\winlogon.exe") - File not found Wpis Shell w HKCU (to link do HKU\SID konta) nie ma być edytowany lecz w całości usunięty. Domyślnie jest tylko Shell w HKLM. Poza tym, w systemie jest adware. Popraw klucz wg wskazówek i podaj nowe raporty z OTL. .

Temat doprowadzam do oczekiwanej od początku formy, posty sklejam, nadwyżkę załączników usuwam. W systemie, prócz śmieci adware, działa rootkit ZeroAccess. On jest odpowiedzialny za skasowanie usług systemowych oraz przerobienie Windows Defender na linki symboliczne. Prawdopodobnie jest tu wariant atakujący systemowy plik services.exe. Potrzebne są dodatkowe raporty: 1. Uruchom SystemLook x64 i do skanu wklej: :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt. .

Na temat używania ComboFix: KLIK. I jego log nie został dostarczony. Infekcja nie jest już aktywna, ale są nadal jej szczątki oraz śmieci adware. Przeprowadź następujące działania: 1. Odinstaluj adware: - Przez Dodaj/Usuń programy odinstaluj IB Updater Service, Update Manager for SweetPacks 1.1. - W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- C:\ComboFix\pev.3XE EXEC /i C:\ComboFix\REGT.3XE /S C:\ComboFix\CregB.dat -- (PEVSystemStart) SRV - File not found [Disabled | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KW\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KW\USTAWI~1\Temp\catchme.sys -- (catchme) IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=3712_2&babsrc=SP_ss&mntrId=8453c2840000000000000022433241dd IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={sear IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240 FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\BabylonToolbarTlbr.dll File not found O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. :Files C:\Documents and Settings\KW\Dane aplikacji\skype.ini C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\Search the web.src F:\autorun.0nf netsh firewall reset /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "BrowserMngr Start Page"=- "Secondary Start Pages"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz zaległy ComboFix (C:\ComboFix.txt). .

+ U Ciebie jest zupełnie inny wariant tej infekcji: wariant infekujący sterowniki systemowe (wg GMER rootkit zaatakował systemowy dfsc.sys) skombinowany z najnowszą odmianą tworzącą linki symboliczne w katalogu Windows Defender (dlatego nie da się pobrać plików w przeglądarkach, bo skaner jest uszkodzony). Potrzebne mi dwa dodatkowe raporty przed zadaniem kompletnej instrukcji usuwania: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt. 2. Log z Farbar Service Scanner. .