picasso

Temat przenoszę do działu Windows XP. A z raportu nic kompletnie nie wynika w kontekście prolemu.

system wisi po motywie falujących okienek (XP) nie może się załadować dalej.

Sprecyzuj co to oznacza: system zatrzymuje się na logo Windows, czy jednak przechodzi ciut dalej już na ekran logowania?

.

Temat przenoszę do działu Windows 8. Nie notuję tu żadnych oznak infekcji, a wykrycia MBAM + Windows Defender wyglądają na błahe / nieistotne dla sprawy.

Parę dni temu zauważyłem znaczący spadek wydajności mojego komputera. Nie jest to tylko "odczuwalne zamulanie" - zauważyłem też spadek PFS'ów w grze, w którą dość często gram, z cap'u na 60fps do około 15 i znaczne (przeszło dwukrotne) wydłużenie czasu ładowania.

 

Domowym sposobem zrobiłem więc czyszczenie: CCleaner, Anti-Malware i Windows Defender. Te dwa ostatnie wykryły jakieś "cosie", które zostały wyleczone/usunięte - log i screenshot w załącznikach.

 

Sytuacja wróciła do normy - ale gdzieś po 2 dniach znowu zaczął strasznie zamulać. Powtórzyłem procedurę - tym razem nic nie zostało wykryte.

W raportach brak konkretów. Może na początek:

1. Odinstaluj zbędniki firmowe zaczynając od ASUS WebStorage Sync Agent (chmura internetowa na dane). Ten program na forum występował wiele razy w kontekście błędów explorer.exe.

2. Przetestuj start systemu w stanie czystego rozruchu: KB929135.

.

Grubo przesadziłeś: logi z OTL nieprawidłowo wykonane, dlatego są tak koszmarnie duże i mało czytelne. Wszystkie opcje główne mają być ustawione na Użyj filtrowania + opcje Pliki zmodyfikowane / utworzone w przeciągu mają być ustawione na Młodsze niż, a Ty ustawiłeś kuriozalny przedział czasowy "Wszystkie".

Brakuje odczytu z GMER. W OTL brak oznak infekcji, tylko drobne adware widać i to będzie doczyszczane. Temat przeniosę pewnie do działu Windows.

ponieważ laptop mi strasznie muli, długo się wszystko wczytuje i chodzi wolniej niż zwykle

Na początek zalecę deinstalację zbędnych firmowych programów.

1. Zacznij od prawidłowych deinstalacji w Panelu sterowania:

- Adware: SoftwareUpdater, WinZipper. W zakresie plików adware powstał program Arrange Desktop = czy to była celowa instalacja?

- Zbędne aplikacje: AsusVibe2.0 ("sklep"), ASUS WebStorage (internetowy dysk wirtualny, znany z błędów explorer.exe), ASUS Data Security Manager (szyfrowanie danych). Można też wywalić ASUS Video Magic, CyberLink PowerDVD 9, programy Windows Live / Bing i kilka innych Asusowych obiektów (przeglądnij).

- Działa tu też IObit Malware Fighter, ale nie widzę deinstalatora....

2. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowe logi OTL z opcji Skanuj wg konfiguracji na forum: KLIK. Dołącz log utworzony przez AdwCleaner.

.

Brak oznak czynnej infekcji, są tylko drobnostki adware i to doczyść:

1. Na początek prawidłowo wyczyść przeglądarki:

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj WebCake.

- Otwórz Firefox i w menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

2 tygodnie temu miałem nieprzyjemność z wirusem policja, z którym mam nadzieje się uporałem. Po usunięciu wirusa przy każdym włączeniu systemu wyskakuje mi okno z komunikatem błędu - Print screen w załączeniu.

Błąd stąd, że infekcja nie została wyczyszczona. Został wpis w starcie. Log z OTL tego nie pokazuje, ale w OTL nie można wierzyć święcie, bo były już tu przypadki niemożności pobrania tych danych z folderu Startup. Podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej:

:dir
C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Klik w Look. Przedstaw raport wynikowy.

Używałem nieszczęsnego deamon tools'a i dawniej alcohol'a, ale usunąłem go przed utworzeniem logów zgodnie z instrukcją w FAQ'u.

Na pewno Alcohol był usuwany? Wg raportu OTL wytworzyłeś pewną sprzeczność, tzn. usługi Alcohola uruchomione (program nie wygląda na odinstalowany), ale sterownik SPTD emulacji wyszczerbiony:

SRV - [2012-01-05 17:42:34 | 000,075,624 | ---- | M] (Alcohol Soft Development Team) [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\AxAutoMntSrv.exe -- (AxAutoMntSrv)

SRV - [2009-12-23 23:34:20 | 000,370,688 | ---- | M] (StarWind Software) [Auto | Running] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
 

DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\Drivers\sptd.sys -- (sptd)

Taki stan powoduje niemożność deinstalacji Alcohola jako programu. Sterownik SPTD musi być obecny podczas deinstalacji Alcohola, w przeciwnym wypadku pojawi się błąd o "naruszonej integralności programu". Dopiero po deinstalacji Alcohola należy usunąć sterownik SPTD.

Od paru tygodni Windows zaczął strasznie powolnie chodzić, długo się stawia, a na dodatek często "przywiesza".

(...)

Poza tym przeglądarki zaczęły dziwnie działać - wszystko ładuje się bardzo powoli (poza facebookiem), niektóre filmy na youtube się nie ładują, często gubi sieć. Wszystkie objawy występują na różnych przeglądarkach i na różnych sieciach.

Te objawy nie powinny być powiązane z tym co mówię powyżej, gdyż wskazywane rzeczy są zbyt drobne i nie ten poziom ingerencji. Pod tym kątem uwagę przede wszystkim zwraca avast! Endpoint Protection Suite (nienajnowsza wersja zresztą). Proponuję przetestować stan systemu po deinstalacji Avast, a deinstalacja po to, gdyż to jedyny test gwarantujący kompletne odładowanie czynności antywirusa. Nie da się Avast po prostu "wyłączyć" w rozumieniu które jest potrzebne (sterowniki muszą być wyłączone).

.

Ogólnie nie widać czynnej infekcji, drobne adware / szczątki. Jednakże hmmm, są tu odnotowane podejrzane sterowniki:

---- Kernel code sections - GMER 2.1 ----
 

? System32\drivers\kujpptsc.sys System nie moze odnalezc okreslonej sciezki. !

+

DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ardotpor.sys -- (ardotpor)

Ten pierwszy jest w stylu Sality.... Był robiony tylko skan MBAM. Czy skanowałeś system antywirusem?

1. Odinstaluj adware TopArcadeHits. Następnie wyczyść Firefox via menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ardotpor.sys -- (ardotpor)
IE - HKLM\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{76762742-86C8-4F88-A289-479A3DAA1551}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=kw&q={searchTerms}&locale=en_UK&apn_ptnrs=U3&apn_dtid=YYYYYYYYGB&apn_uid=1C8FC0CB-AAB0-4BB8-B1B6-F455B0E9D445&apn_sauid=8176839C-133C-4E27-80A8-0C967BFA496D
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{B41A82ED-32D2-463B-B04D-77EA8B40CACD}: "URL" = http://search.zonealarm.com/search?src=sp&tbid=base2013&Lan=en&q={searchTerms}&gu=4225913295d1463bb9bc4f2adb018bc8&tu=11JL0008W2B000s&sku=&tstsId=&ver=&&r=735
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{BD5FA78D-C0FC-4357-8526-21320BFB9563}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
IE - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\SearchScopes\{F5E17536-54D1-4971-84F9-E9EB9F3EC785}: "URL" = http://www.bing.com/search?FORM=WLETDF&PC=WLEM&q={searchTerms}&src=IE-SearchBox
O2 - BHO: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found.
O3 - HKU\S-1-5-21-1754919338-3431098271-3922595632-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoViewContextMenu = 0
[2013-06-20 20:41:36 | 000,000,308 | ---- | M] () -- C:\Windows\tasks\TopArcadeHits.job
[2013-06-12 21:30:11 | 000,000,000 | ---D | C] -- C:\Program Files\FK_Monitor
[2013-06-12 21:29:37 | 000,000,000 | ---D | C] -- C:\Users\PARKER DRIVE 100\AppData\Roaming\CheckPoint
[2013-06-12 21:26:37 | 000,000,000 | ---D | C] -- C:\ProgramData\CheckPoint
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Zrób nowe logi: OTL z opcji Skanuj (bez Extras) + GMER.

.

W końcu udało mi się przywrócić kopię sprzed kilku miesięcy.

+

Chciałbym prosić o sprawdzenie załączonych logów pod kątem potencjalnych infekcji, które mogły przyczynić się do powyższych problemów.

Tego się już nie dowiemy, bo przedstawiony jest tu stan systemu zawarty w kopii sprzed kilku miesięcy. Nie ma danych z momentu, gdy wystąpiły pierwsze problemy. Aktualne logi: ja tu nie widzę żadnych oznak infekcji, tylko drobne rzeczy z zakresu adware (ale to nie może mieć takiego wpływu). Natomiast:

1. Problem z Dziennikiem zdarzeń:

========== Last 20 Event Log Errors ==========

[ Application Events ]

OTL encountered an error while reading this event log. It may be corrupt.

Sprawdź czy Dziennik działa:

- Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Czy przystawka się otwiera, czy można w niej po rozwinięciu "Dzienniki systemu Windows" odczytać wszystkie gałęzie, a jeśli tak to czy stoją tam daty bieżące?

- Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator. Jaki stan (Uruchomiono?) i Typ uruchomienia (Automatycznie?) ma usługa Dziennik zdarzeń systemu Windows?

2. Nie do końca usunięty Avast. Ostał się sterownik filtrujący klawiaturę oraz rozszerznia w Google Chrome:

DRV:64bit: - [2012-08-21 11:13:11 | 000,019,600 | ---- | M] (AVAST Software) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\aswKbd.sys -- (aswKbd)
 

CHR - Extension: avast! WebRep = C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1456_0\

CHR - Extension: avast! WebRep = C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\8.0.1483_0\

- Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i wejdź do klucza klasy klawiatur:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}

Dwuklik w wartość UpperFilters i wytnij frazę aswKbd, ale nie ruszaj systemowego kbdclass.

- Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wklep komendy:

sc stop aswKbd

sc delete aswKbd

del /q C:\WINDOWS\System32\drivers\aswKbd.sys

- Otwórz Google Chrome i w Rozszerzeniach odmontuj avast! WebRep.

Jednak tym razem nie mogłem włączyć ani na nowo zarejestrować avasta. Po odinstalowaniu i przy ponownej instalacji pojawił się komunikat z informacją , że próba ściągnięcia programu nie powiodła się. Zainstalowałem antywirusa AVG. Po przeskanowaniu AVG wskazał FreeStudioManager.exe jako zainfekowany ale już na virustotal AVG nie wskazał tego pliku jako infekcji.

Gdzie to się pokazało?

Po skanie i włąyłem antywirusa jednak pojawia się błąd z tożsamością: składnik identity protection zapewnia aktywną ochronę przed kradzieżą tożsamości. Składnik nie jest aktywny

Spróbuj przeinstalować AVG.

P.S. zeskanowałem system programem spybot search & destroy. Znalazł jakies szkodniki, które usunąłem. W załączeniu raport.

Spybot - Search & Destroy kwalifikuje się do deinstalacji. To przestarzały słaby skaner, na dodatek 32-bitowy. A to co znalazł nie ma zbyt dużej wagi, to drobne adware i nie jest przyczyną opisywanych problemów. Pod tym kątem przeprowadź działania:

1. Odinstaluj Ask Toolbar, McAfee Security Scan Plus oraz Spybota.

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

.

1. Zadane operacje wykonane pomyślnie. Tylko drobna korekta. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Dwa pliki Windows nie mają sygnatury:

[2013-06-13 01:13:49 | 000,717,824 | ---- | C] () -- C:\Windows\SysWow64\jscript.dll

[2013-06-13 01:13:48 | 000,816,640 | ---- | C] () -- C:\Windows\SysNative\jscript.dll

Uruchom komendę sfc /scannow, następnie komendę tworzenia raportu filtrowanego do znaczników [sR] i przedstaw log wynikowy: KLIK.

komputer jak tworzył tak dalej tworzy pliki autorun.inf ,które antywirus traktuje jak trojany a folderu śmieci nie mogę usunąć.

Jak mówiłam: oznak infekcji czynnej tu brak i moim zdaniem problem jest ograniczony tylko do tego określonego folderu oraz wariacji antywirusa. Ja nie wykluczam, że tu chodzi tylko o to, iż antywirus nie może pliku usunąć, plik wcale się nie tworzy na nowo. Skoro nie możesz usunąć folderu "śmieci", przeprowadź następujące działania:

1. Przejdź w Tryb awaryjny, by antywirus nie był aktywny i nie blokował operacji.

2. Uruchom GrantPerms x64 i w oknie wklej:

D:\SZKOŁA\szkoła\smieci

Klik w Unlock.

3. Spróbuj przez SHIFT+DEL skasować cały folder śmieci.

minęło 5 dni od czasu wrzucenia moich logów, pomimo ,że kolega picasso zaczął pomagać.

Koleżanka picasso. I byłam nieobecna.

.

Temat przenoszę do działu Windows. Oznak czynnej infekcji brak. Są tylko drobnostki, tzn. mikro szczątki adware oraz ten pusty wpis:

O20 - HKU\S-1-5-21-2154583305-863273735-3011277561-1000 Winlogon: Shell - (expstart.exe) - File not found

Jednakże omijam jego usuwanie ze względu na to, że sytuacja w systemie może się raptownie zmienić:

Załadowały się potrzebne pliki i dostałem prompta o hasło. Wpisałem je raz - okazało się niepoprawne. Wpisałem drugi, znacznie wolnej i na pewno poprawnie - znowu alert o złym haśle, po tym nie zdążyłem wcisnąć enter - komputer się zresetował. Dalej uruchamiając go w normalnym trybie docierał do momentu standardowego wyświetlenia listy użytkowników i tu powtarzać zaczęła się w/w historia z trybu awaryjnego. Wtedy nie mogłem dostać się ani do normalnego, ani do awaryjnego. Zadziałał wybór "ostatnia znana konfiguracja", normalny tryb wszedł bez problemu, jednak próba uruchomienia w awaryjnym nie powodziła się nadal i dodatkowo sprawiała też niemożliwość uruchomienia w trybie normalnym aż do wyboru "ostatnia znana konfiguracja" (tym razem jednak w miejscu listy użytkowników listowany był "Inny użytkownik", bez awatara etc, oczywiście na liście brakowało mojego konta. Po tym oczywiście crash). Postanowiłem usunąć hasło z konta i spróbować tryb awaryjny - to sprawiło, że podczas uruchamiania awaryjnego istotnie nie wyświetlała się lista użytkowników, ale mimo wszystko dostałem alert o nieprawidłowym haśle (którego oczywiście nie miałem wtedy okazji wpisać) i dalej znowu "ostatnia znana konfiguracja" była jedyną opcją.

Te błędy o nieprawidłowym haśle i towarzyszące dziwności z kontami oraz Ostatnią poprawną konfiguracją sugerują uszkodzenie rejestru. Proponuję użyć Przywracanie systemu do daty sprzed wystąpienia problemów. To przywraca wsześniejszą postać plików rejestru (m.in. plik SAM z bazą kont i haseł).

W każdym razie próba wrzucenia wpisów z podanej paczki do rejestru kończy się niepowodzeniem ("(...) SafeBootWin7.reg: nie wszystkie dane zostały pomyślnie zapisane w rejestrze. Niektóre klucze są otwarte przez system lub inne procesy.").

Daruj sobie ten plik REG. On naprawia całkiem inną usterkę: całkowity brak Trybu awaryjnego, tzn. nie jest nawet możliwe dojście do ekranu logowania nie wspominając o możliwości wpisywania hasła, bo natychmiastowy BSOD/autoreset występuje. U Ciebie wszystko wskazuje na to, że klucz Trybu awaryjnego jest cały, bo przechodzi etap ładowania sterowników (z klucza SafeBoot to się dzieje) i masz błąd o danych w użyciu (sugerujący próbę nadpisu kluczy już obecnych, których uprawnienia wykluczają ponowny nadpis).

I stworzyłeś kuriozalny wpis w starcie, umieszczając plik REG:

O4 - Startup: C:\Users\v\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SafeBootWin7.reg ()

Usuń go.

.

Proszę o pomoc, Windows na którym jestem(siódemka 32bitowa) stoi już ponad rok, a problem jest od bardzo długiego czasu.

System kompletnie nieaktualizowany, brak SP1 i IE9/IE10:

Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

W pierwszej kolejności to Ty nadrób to wszystko i dopiero wtedy oceniaj stan systemu.

W raportach OTL brak oznak infekcji, są tylko mikro szczątki adware, ale to nie ma związku z problemami. Nie dołączyłeś jednak obowiązkowego raportu z GMER pod kątem infekcji ukrytych. Jeśli w tym raporcie nic nie będzie widać, temat zostanie przeniesiony do działu Windows. I doczyszczanie szczątków adware:

1. Otwórz Google Chrome i w Rozszerzeniach odinstaluj uTorrentControl_v2.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-2185039245-711480396-3550105576-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-2185039245-711480396-3550105576-1001\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found
O3 - HKU\S-1-5-21-2185039245-711480396-3550105576-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKU\S-1-5-21-2185039245-711480396-3550105576-1001..\Run: [AdobeBridge] File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
 
:Files
C:\Users\Zacny\AppData\Roaming\mozilla
C:\Users\Zacny\AppData\Roaming\OpenCandy
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Log Extras wygląda bardzo dziwnie.... Jakieś chińskie krzaki...

"Brak internetu" = Opis zbyt ogólny, to nic nie mówi. I zgłaszasz to jako główny problem, a nie mówisz nic o infekcji fałszywym antywirusem "System Care Antivirus" która się uruchamia. Poza tym, w systemie są i szczątki innych infekcji z nośników USB oraz adware. Jeśli rzecz o braku sieci, to jako pierwszy podejrzany nasuwają się szczątkowe sterowniki ESET:

DRV - [2009-04-09 16:21:12 | 000,094,360 | ---- | M] (ESET) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir)

DRV - [2009-04-09 16:18:02 | 000,107,256 | ---- | M] (ESET) [Kernel | System | Stopped] -- D:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv)

DRV - [2009-04-09 16:10:30 | 000,113,960 | ---- | M] (ESET) [File_System | Auto | Stopped] -- D:\WINDOWS\system32\drivers\eamon.sys -- (eamon

Adresując wszystko co powyżej, punkty 1+2 wykonywane w Trybie awaryjnym, w puncie 3 przechodzisz w Tryb normalny:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-329068152-1614895754-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&affID=119585&babsrc=SP_ss&mntrId=0486001C26C75B03
IE - HKU\S-1-5-21-329068152-1614895754-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: D:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
O3 - HKU\S-1-5-21-329068152-1614895754-725345543-1003\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O4 - HKU\S-1-5-21-329068152-1614895754-725345543-1003..\Run: [dso32] D:\DOCUME~1\Marzena\USTAWI~1\Temp\dsoqq.exe File not found
O4 - HKU\S-1-5-21-329068152-1614895754-725345543-1003..\Run: [Pokki] "%USERPROFILE%\Local Settings\Application Data\Pokki\Engine\pokki.exe" File not found
O4 - HKU\S-1-5-21-329068152-1614895754-725345543-1003..\RunOnce: [048D6875529423690000048D63EF2AA5] D:\Documents and Settings\All Users\Dane aplikacji\048D6875529423690000048D63EF2AA5\048D6875529423690000048D63EF2AA5.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\Drivers\psdvdisk.sys -- (psdvdisk)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\Drivers\psdfilter.sys -- (psdfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Documents and Settings\Marzena\NTIDrvr.sys -- (NTIDrvr)
DRV - File not found [File_System | Auto | Stopped] -- D:\WINDOWS\system32\eLock2FSCTLDriver.sys -- (eLock2FSCTLDriver)
DRV - File not found [File_System | Auto | Stopped] -- D:\WINDOWS\system32\eLock2BurnerLockDriver.sys -- (eLock2BurnerLockDriver)
 
:Files
autorun.inf /alldrives
D:\WINDOWS\tasks\At1.job
D:\WINDOWS\tasks\EPUpdater.job
D:\Documents and Settings\All Users\Dane aplikacji\048D6875529423690000048D63EF2AA5
D:\Documents and Settings\Marzena\Menu Start\Programy\System Care Antivirus
D:\Documents and Settings\All Users\Dane aplikacji\AVG10
D:\Documents and Settings\All Users\Dane aplikacji\Babylon
D:\Documents and Settings\All Users\Dane aplikacji\Common Files
D:\Documents and Settings\All Users\Dane aplikacji\ESET
D:\Documents and Settings\All Users\Dane aplikacji\MFAData
D:\Documents and Settings\All Users\Dane aplikacji\TEMP
D:\Documents and Settings\All Users\Dane aplikacji\tmp
D:\Documents and Settings\Gość\Dane aplikacji\facemoods.com
D:\Documents and Settings\Marzena\Dane aplikacji\AVG10
D:\Documents and Settings\Marzena\Dane aplikacji\BabSolution
D:\Documents and Settings\Marzena\Dane aplikacji\Babylon
D:\Documents and Settings\Marzena\Dane aplikacji\facemoods.com
D:\Documents and Settings\Marzena\Dane aplikacji\OpenCandy
D:\Documents and Settings\Marzena\Dane aplikacji\PriceGong
D:\Program Files\mozilla firefox\searchplugins\babylon.xml
netsh firewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu D:\_OTL powstanie log z wynikami usuwania.

2. Usuń odpadki ESET za pomocą ESET Uninstaller .

3. Odinstaluj adware w poprawny sposób:

- Przez Dodaj/Usuń programy: DealPly, Delta Toolbar.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowe logi: OTL z opcji Skanuj (włącznie z nowym Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1 oraz ten utworzony przez AdwCleaner.

.

Dawno temu już ten problem miałem i jakoś się z nim uporałem, pamiętam tyle że używałem ComboFixa.

Nie jest wykluczone, że wtedy infekcja nie została dobrze wyczyszczona. ComboFix usuwa tylko startową część Brontok. Jeśli nie robiłeś wtedy pełnego skanu antywirusowego, to mogły na dysku pozostać pliki Brontok, które teraz omyłkowo uruchomiono i nastąpiła reinfekcja.

Czy jest to możliwe, że mój smartfon też jest zarażony ? Dzisiaj zaczął mi szwankować fb app na nim.

Nie wiem.

Laptop:

Log z OTL jest źle skonfigurowany, opcję "Rejestr" ustawiłeś na "Wszystko", a ma być "Użyj filtrowania". Tu widać tylko odpadki Brontok oraz adware. Doczyść:

1. Odinstaluj w poprawny sposób adware:

- Przez Panel sterowania: Ask Toolbar, Ask Toolbar Updater, FoxTab Music Converter, HyperCam Toolbar, pdfforge Toolbar v7.2, Winamp Toolbar.

- W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Kacper\AppData\Local\*Bron*
C:\Users\Kacper\AppData\Local\*.exe
C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
 
:OTL
IE - HKU\S-1-5-21-452875887-317145487-3222741655-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
IE - HKU\S-1-5-21-452875887-317145487-3222741655-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=4140352c-3410-4b00-8832-0c237edfd09d&apn_sauid=7B26199A-ED1E-4CBA-89E2-79D01C0D0A22
O4 - HKLM..\Run: [] File not found
O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1
O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\S-1-5-21-452875887-317145487-3222741655-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCMD = 0
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe -- (Autodesk Licensing Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

Stacjonarny:

Stosowałeś jakiś skrypt OTL = co to było? Tu Brontok jest czynny, adware też obecne. Wykonaj następujące działania:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL


O3 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O3 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [bron-Spizaetus] C:\Windows\ShellNew\sempalong.exe ()

O4 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000..\Run: [Tok-Cirrhatus] C:\Users\Kacper\AppData\Local\smss.exe ()

O4 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1002..\Run: [Tok-Cirrhatus] C:\Users\Kacper\AppData\Local\smss.exe ()

O4 - Startup: C:\Users\Kacper\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()

O7 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1

O7 - HKU\S-1-5-21-2124338799-1569672397-2887996982-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1

O20 - HKLM Winlogon: Shell - ("C:\Windows\eksplorasi.exe") - C:\Windows\eksplorasi.exe ()
 

:Files

C:\Users\Kacper\AppData\Local\*Bron*

C:\Users\Kacper\AppData\Local\*.exe

C:\Users\Kacper\AppData\Roaming\OpenCandy

netsh advfirewall reset /C
 

:Commands

[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KB972034.

3. Przez Panel sterowania odinstaluj adware Protected Search 1.1 oraz McAfee Security Scan Plus (sponsor paczek Adobe).

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"=-

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="about:blank"
 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\Main]

"Default_Search_URL"=-

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="about:blank"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]

"Default_Page_URL"="http://go.microsoft.com/fwlink/?LinkId=69157"

"Search Bar"=-

"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"

"Start Default_Page_URL"=-

"Start Page"="http://go.microsoft.com/fwlink/?LinkId=69157"
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\Search]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\Search]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI]
 

[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl]
 

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1000\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_USERS\S-1-5-21-2124338799-1569672397-2887996982-1002\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]

@="Bing"

"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

"DisplayName"="@ieframe.dll,-12512"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + FRST (ale podaj mi tylko plik Addition.txt). Dołącz log z usuwania OTL z punktu 1 oraz log utworzony przez AdwCleaner.

.

Log z OTL jest niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
rd /s /q G:\$RECYCLE.BIN /C
rd /s /q G:\RECYCLER /C
del /q "G:\System Volume Information.lnk" /C
attrib -s -h G:\czcionki /C
attrib -s -h G:\filmy /C
attrib -s -h G:\Gry /C
attrib -s -h G:\muzyka /C
attrib -s -h "G:\Muzyka (na zawody)" /C
attrib -s -h G:\Output /C
attrib -s -h G:\programy /C
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\n3s0fcbf.default\searchplugins\babylon.xml
C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\n3s0fcbf.default\searchplugins\delta.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

2. Zrób nowy log USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 1. Nowy główny skan OTL nie jest potrzebny, ale dodaj zaległy plik Extras.

.

Hidrag to infekcja atakująca wszystkie pliki EXE. Pliki są zainfekowane i uszkodzone. Reinstalacja danej aplikacji to nie jest rozwiązanie. Wirus jest aktywny i konsekwentnie zaraża na nowo EXE. Z tym, że:

- Masz 64-bitowy Windows, a to oznacza, że szkody są mniejsze, gdyż zarażane są tylko 32-bitowe pliki.

- Nie widzę tu nic w starcie od tego wirusa. Są śmieci adware (ogramna ilość), ale to osobna sprawa i nie warto się tym zajmować teraz, gdy EXE są niszczone.

Na początek spróbuj tych kroków:

1. Uruchom usuwacz AVG: rmhidrag.exe. Narzędzie zastosuj do skutku.

2. Przeinstaluj wszystkie aplikacje, które uprzednio nie chciały się uruchomić, z nowo pobranych instalatorów (a nie tych już obecnych na dysku).

3. Zrób nowe raporty OTl z opcji Skanuj.

.

Po stronie systemu nie widać infekcji, która blokuje dane na dyskach, za to jest porządny śmietnik adware. Zajmę się tym wszystkim, ale w pierwszej kolejności:

Dane prawdopodobnie nie zostały usunięte, co wydaje się potwierdzać załączony Prt Sc.

Wg obrazka jest tu infekcja, która robi następującą manipulację na dysku: tworzy folder "bez nazwy" i do niego przesuwa wszystkie prawidłowe dane z USB, następnie folder ten ukrywa przez atrybuty HS ("ukryty systemowy") i robi widoczny skrót o nazwie urządzenia, który podpuszcza użytkownika, by go uruchomić (a to uruchamia infekcję). Nie widzisz tego folderu "bez nazwy", gdyż nie masz skonfigurowanych wszystkich opcji widoku w Windows. W eksploratorze Windows > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukryj chronione pliki systemu operacyjnego, a się przekonasz o czym mowa.

To co należy zrobić to: skasować skrót + odkryć folder "bez nazwy" (zdjęcie atrybutów HS) + z niego przesunąć wszystkie dane poziom wyżej. Na początek poproszę o log z USBFix z opcji Listing.

.

Temat przenoszę do działu Software. To nie wygląda w ogóle na problem infekcji. To co wykrył MBAM to szczątki kiedyś obecnej (ponad pół roku temu), ale źle doczyszczonej infekcji UKASH. I tylko kosmetyczna poprawka na inne mini odpadki (bez związku z głównym problemem). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-2027006403-1560903587-1949679409-1000\..\SearchScopes\{72478251-56FB-4B4E-AEDB-30B4140FC205}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=989A3260-67CD-4A84-B0E5-8B520236B586&apn_sauid=8D5F421D-3A13-46A3-8DF2-582392424132
O4 - HKU\S-1-5-21-2027006403-1560903587-1949679409-1000..\Run: [] File not found
[2013-06-22 18:34:02 | 000,006,546 | ---- | M] () -- C:\Users\Damian\AppData\Roaming\mozilla\firefox\profiles\m7xgo9fv.default\searchplugins\BrowserDefender.xml
[2013-06-12 12:14:43 | 000,000,000 | ---D | C] -- C:\ProgramData\StarApp
[2013-06-26 17:30:14 | 000,000,098 | ---- | M] () -- C:\Windows\DeleteOnReboot.bat
[2013-06-20 15:16:50 | 000,001,089 | ---- | M] () -- C:\Users\Damian\Desktop\Continue Vid-Saver Installation.lnk
[2013-02-05 20:03:09 | 000,000,000 | ---D | M] -- C:\Users\Damian\AppData\Roaming\0I1G1B2Z1T1I1J1LtF1E1I
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Następnie w OTL uruchom Sprzątanie.

problem jest z odinstalowaniem hamachi - przy próbie instalacji, wyskakuje komunikat, że stara wersja jest zainstalowana i najpierw trzeba ją odinstalować (w panelu sterowania nie ma żadnego wpisu odnośnie hamachi).

Wg raportu OTL w kluczu Uninstall nie ma Hamachi. Jako możliwość zostają więc dane, których OTL nie sprawdza, czyli klucze Instalatora Windows. Na początek użyj to narzędzie: KLIK. Wybierz tryb nieautomatyczny i sprawdź czy jest pokazywane Hamachi na liście.

Dodatkowo bardzo dziwnie działa połączenie ethernet - jest bardzo wolne.

Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń, w sekcji Karty sieciowe sprawdź czy nie ma jakiś komponentów mostkowych Hamachi.

.

Temat przenoszę do działu Windows. Używałeś jakiś skrypt do OTL = co to było? Log z OTL niepełny brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Log z GMER zrobiony w nieprawidłowych warunkach (przy czynnym sterowniku SPTD emulacji napędów wirtualnych) Ale zostaw to już, gdyż:

 

1. nie mogę włączyć usług: Dostawca grupy domowej, Zapora systemu Windows, - Komunikat: System nie może uruchomić usługi [...] na komputerze Komputer lokalny. Błąd 1068: Uruchomienie usługi zależności lub grupy nie powiodło się.

2. nie mogę włączyć usługi: Klient DHCP - Komunikat: System nie może uruchomić usługi [...] na komputerze Komputer lokalny. Błąd 5: Odmowa dostępu.

Jeżeli uruchomię Diagnostykę sieci systemu Windows pojawia się komunikat: Usługa Zasady diagnostyki nie jest uruchomiona. Jeżeli tę usługę chcę włączyć w services.msc to mam komunikat: System nie może uruchomić usługi [...] na komputerze Komputer lokalny. Błąd 5: Odmowa dostępu.

Niestety ale to sugeruje zresetowane wszystkie uprawnienia w gałęzi SYSTEM i wymienione usługi to ledwie minimalna widoczna dla Ciebie część afunkcyjna. Przykład: KLIK. Ten typ usterki jest okropnie rozległy i ręczna naprawa wymaga strasznie dużo czasu i zaparcia, by stworzyć plik resetujący przywracający oryginalne uprawnienia. Od razu pytanie:

Czy posiadasz punkt Przywracania systemu do czasu sprzed wystąpienia prolemu? Jeśli tak, od razu użyj Przywracanie. To najszybsza droga by to załatwić.




.

Ukash

Posiadasz log OTL Extras, który precyzjnie mówi co jest w kluczu Uninstall:

Posiadasz też główny log OTL = nie ma w ...Policies\Explorer tego co wskazujesz do szukania oraz widać dokładnie jak wygląda FF.

Plati

Problem nieinfekcyjny. Przenoszę do działu Windows. Mam tylko pytanie: ikona Centrum Akcji ukryta celowo? I doczyść sobie drobne szczątki adware. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ae07101b-46d4-4a98-af68-0333ea26e113}"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar]
"{ae07101b-46d4-4a98-af68-0333ea26e113}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{FB8E02D9-8C61-406B-9C2D-529D1AF5F7E7}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{4EF29608-86C0-47FB-902E-90789285B7BB}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

Firefox przy tym kompletnie mi się zepsuł i tymczasowo używam Chrome. Gdy odinstaluję Firefoksa to zainstaluję go jeszcze raz i zaimportuję zaimportowane wcześniej ustawienia z Chrome.

Tego Firefoksa nie mogę usunąć ani systemowym deinstalatorem jak również Revo Uninstaller.

Wejście Firefox nie istnieje w kluczu Uninstall, w którym być powinno. Tam jest tylko widzialny podrzędny komponent Mozilla Maintenance Service + wtyczka Windows Media Player Firefox Plugin. Z tego wynika, że po prostu Firefox jest już teraz w szczątkach. To co zostało od Firefox:

Są tu dwa możliwe tory:

1. Zrobić instalację nakładkową Firefox na obecne elementy. Lub:

2. Ręcznie usunąć wszystko co w spoilerze.

Zacznij od punktu numer 1. Jeśli to nie przyniesie rezultatów, rozpiszę instrukcje ręczne.

.

System jest zainfekowany, uruchamia się w starcie trojan ccoqoazci.exe. Poproszę o dodatkowe raporty: GMER + USBFix z opcji Listing.

.

System jest zainfekowany (wpis ccyaoigz.com w starcie), dlatego na dyskach zewnętrznych powstają skróty. Podany log z USBFix mówi mniej, bo jest zrobiony z opcji Research a nie Listing. Na urządzeniach prócz skrótów powinien być ukryty folder "bez nazwy", w którym są dane właściwe.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-842925246-1614895754-839522115-1003..\Run: [ChomikBox] C:\Program Files\ChomikBox\ChomikBox.exe File not found
O4 - HKU\S-1-5-21-842925246-1614895754-839522115-1003..\Run: [RocketDock] "D:\RocketDock\RocketDock.exe" File not found
O4 - HKU\S-1-5-21-842925246-1614895754-839522115-1003..\Run: [Time Organizer] C:\Program Files\Time Organizer\Time Organizer.exe File not found
O4 - HKLM..\RunOnce: [] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 28466 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccyaoigz.com
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll File not found
O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\Kasia\Dane aplikacji\sbqh.exe) - File not found
 
:Files
attrib /d /s -s -h G:\* /C
attrib /d /s -s -h J:\* /C
G:\Removable Disk (4GB).lnk
J:\Removable Disk (8GB).lnk
G:\autorun.inf
J:\autorun.inf
@C:\WINDOWS:7E903AE72F973E53
C:\WINDOWS\tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job
C:\Program Files\Common Files\ApnToolbarInstaller.exe
C:\Program Files\Common Files\ApnStub.exe
C:\Documents and Settings\Kasia\Dane aplikacji\Mozilla
C:\Program Files\Mozilla Firefox
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

2. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing + zaległy GMER. Dołącz log z usuwania OTL z punktu 1.

.

Log z OTL jest niepotrzebnie duży, ustawiony licznik na 360 dni, a prosimy tu wyraźnie o 30 dni. System jest zainfekowany. Przeprowadź następujące działania:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [MSConfig] C:\Users\sylwia\djc.exe ()
[2013-06-20 11:06:32 | 000,261,120 | ---- | C] (Ilient Ltd.) -- C:\Users\sylwia\pgq.exe
[2013-05-23 23:06:05 | 000,244,224 | ---- | C] (Heads) -- C:\Users\sylwia\mdn.exe
[2013-05-15 19:53:59 | 000,240,128 | ---- | C] (Moxie) -- C:\Users\sylwia\lcm.exe
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania.

2. Przez Panel sterowania odinstaluj zbędniki AVG Security Toolbar, McAfee Security Scan Plus.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) na oczekiwanym ustawieniu 30 dni. Dołącz log z usuwania OTL z punktu 1.

.

Temat przenoszę do działu Windows. Oznak infekcji brak. Choć GMER nie sprawdzony:
 

Załączyłem logi z OTL, ponieważ mam 64-bitowy OS.

Przecież w przyklejonym jest napisane, że GMER został zaktualizowany i obsługuje już systemy 64-bit.
 

Od ostatniego czasu, zaczęła się zmieniać tapeta na czarną. Potem, gdy zmienię na inną jest OK, ale do następnego uruchomienia.

 
Sprawdź czy to samo zachodzi w stanie czystego rozruchu: KB929135.



.

Nocą dalej z tym walczyłem, więc chyba cały ten temat jest nieaktualny i nadaje się do kosza. Finalnie - Avast pousuwał infekcje, a ja ręcznie zmieniłem wpis w rejestrze konta które było zepsute (nie ten klucz który wszędzie jest opisywany)

 

HKEY_Users\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

 

"Shell" było explorer.exe "C:\Windows\nazwakonta\WinLogon" zmieniłem na samo explorer.exe

vs.

O20 - HKU\S-1-5-21-3923645508-3675989961-2249486224-1000 Winlogon: Shell - (explorer.exe) - C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)

O20 - HKU\S-1-5-21-3923645508-3675989961-2249486224-1000 Winlogon: Shell - ("C:\Users\śrubowy\winlogon.exe") -  File not found

Wpis Shell w HKCU (to link do HKU\SID konta) nie ma być edytowany lecz w całości usunięty. Domyślnie jest tylko Shell w HKLM. Poza tym, w systemie jest adware. Popraw klucz wg wskazówek i podaj nowe raporty z OTL.

.

Temat doprowadzam do oczekiwanej od początku formy, posty sklejam, nadwyżkę załączników usuwam.

W systemie, prócz śmieci adware, działa rootkit ZeroAccess. On jest odpowiedzialny za skasowanie usług systemowych oraz przerobienie Windows Defender na linki symboliczne. Prawdopodobnie jest tu wariant atakujący systemowy plik services.exe. Potrzebne są dodatkowe raporty:

1. Uruchom SystemLook x64 i do skanu wklej:

:filefind
services.exe

Klik w Look. Przedstaw wynikowy raport.

2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

.

Na temat używania ComboFix: KLIK. I jego log nie został dostarczony. Infekcja nie jest już aktywna, ale są nadal jej szczątki oraz śmieci adware. Przeprowadź następujące działania:

1. Odinstaluj adware:

- Przez Dodaj/Usuń programy odinstaluj IB Updater Service, Update Manager for SweetPacks 1.1.

- W Firefox menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
SRV - File not found [Auto | Stopped] -- C:\ComboFix\pev.3XE EXEC /i C:\ComboFix\REGT.3XE /S C:\ComboFix\CregB.dat -- (PEVSystemStart)
SRV - File not found [Disabled | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe -- (Browser Manager)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KW\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KW\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=110823&tt=3712_2&babsrc=SP_ss&mntrId=8453c2840000000000000022433241dd
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={sear
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2530240
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\{b64982b1-d112-42b5-b1e4-d3867c4533f8}: C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager\2.3.787.43\{16cdff19-861d-48e3-a751-d99a27784753}\FirefoxExtension
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\bh\BabylonToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.6.9.12\BabylonToolbarTlbr.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-89AF-189327213627} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
 
:Files
C:\Documents and Settings\KW\Dane aplikacji\skype.ini
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\Search the web.src
F:\autorun.0nf
netsh firewall reset /C
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
"BrowserMngr Start Page"=-
"Secondary Start Pages"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
"BrowserMngrDefaultScope"=-
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz zaległy ComboFix (C:\ComboFix.txt).

.

brak możliwości ściągnięcia plików w przeglądarce Chrome oraz IE (plik zaczyna się pobierać, ale przy końcu pokazuje się komunikat Niepowodzenie-Skanowanie antywirusowe nie powiodło się w Chrome, a IE Dany plik zawierał wirusa i został usunięty) natomiast w Operze jest to możliwe, aczkolwiek na otwieranych stronach często są nieaktywne przyciski, które powinny być aktywne i należy często stronę odświeżać)

+

Znalazłem rozwiązanie tego problemu tu na forum i zacząłem działać zgodnie z poradami picasso, jednak gdy doszedłem do 3 punktu zauważyłem (dopiero wtedy), ze jest to sposób dopasowany pod konkretny system, więc zacząłem wszystko do nowa zgodnie z regulaminem.

U Ciebie jest zupełnie inny wariant tej infekcji: wariant infekujący sterowniki systemowe (wg GMER rootkit zaatakował systemowy dfsc.sys) skombinowany z najnowszą odmianą tworzącą linki symboliczne w katalogu Windows Defender (dlatego nie da się pobrać plików w przeglądarkach, bo skaner jest uszkodzony).

Potrzebne mi dwa dodatkowe raporty przed zadaniem kompletnej instrukcji usuwania:

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

2. Log z Farbar Service Scanner.

.