picasso

Temat przenoszę do działu diagnostyki infekcji, bo wszystko jasne. Infekcja rootkitem Rloader, o czym opowiada GMER: ---- Kernel code sections - GMER 2.1 ---- .text atapi.sys F74C5852 1 Byte [CC] {INT 3 } ---- Trace I/O - GMER 2.1 ---- Trace ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x89b2d7e1] ---- Threads - GMER 2.1 ---- Thread System [4:152] 89ABC39F Thread System [4:164] 899040F4 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Virus.Win32.Rloader.a, przypuszczalnie modyfikacja pliku systemowego acpi.sys. Akcja Cure i reset systemu. Na dysku C powstanie log z wynikami usuwania. 2. Zrób nowy log z GMER oraz dołącz log utworzony przez TDSSKiller. Uszkodzony plik, pobieraj ponownie. To już czysta formalność, gdyż przyczyna zachowań przeglądarek znana = rootkit. .

Pliki infekcji (podróbki "Skype") nadal na dysku. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\Magdalena\AppData\Roaming\skype.ini C:\Users\Magdalena\AppData\Roaming\skype.dat C:\found.000 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 2. Do oceny wystarczy tylko log z usuwania OTL, nowy skan OTL zbędny. Log będzie krótki = wklej wprost w poście. .

Przecież gdybym widziała jakieś "pozostałości", to byś od razu miał to powiedziane. I odbył się też skan MBAM, który nic nie wykazał. Na zakończenie wykonaj aktualizacje: KLIK. Konkretnie u Ciebie chodzi o te wersje zainstalowanych programów: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) "Adobe Flash Player ActiveX 64" = Adobe Flash Player 10 ActiveX 64-bit "Office14.PROPLUS" = Microsoft Office Professional Plus 2010 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8 "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl) "Mozilla Thunderbird 17.0.4 (x86 pl)" = Mozilla Thunderbird 17.0.4 (x86 pl) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation) Czyli: Odinstaluj starsze wersje Adobe, wszystkie Java (to m.in. jej luki są przyczyną infekcji) i Silverlight, a jeśli potrzebne zainstaluj najnowsze wersje. Zaktualizuj też produkty Mozilla, Skype i Office 2010 (instalacja SP1). Dodatkowa uwaga poboczna: Gadu-Gadu 10. Program stary i czas z niego zrezygnować. Albo obejrzyj najnowsze GG11 (jest lepsze), albo alternatywne programy (WTW, Kadu, Miranda NG, AQQ): KLIK. .

To zdaje się być prawdopodobne jako przyczyna, skoro problem występuje tylko przy zasobniejszych tematach, a inne urządzenie zachowuje się poprawnie. Tu niestety nic nie zaradzę. Temat więc zamykam. Zgodnie z wcześniejszą wypowiedzią w razie potrzeby go otworzę na żądanie. .

To problem strumieni ADS doklejonych do pobranego z internetu pliku (KLIK). "Klikam odblokuj" = gdzie? Czy mówisz o opcji na komunikacie czy prawokliku na plik > Właściwości pliku > Odblokuj ? Czy masz zainstalowany jakiś dodatkowy skaner Microsoftu (Windows Defender / Microsofty Security Essentials)? .

vs. W Twoim raporcie OTL Extras i tak widać stare .NET Framework: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2 "{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2 Proponuję przeładować to wg kroków: - Wejdź do Dodaj/Usuń programy i sprawdź czy te pozycje są widzialne. Jeśli tak, odinstaluj. Jeśli nie, od razu przejdź do: - Usuń wszystkie wersje za pomocą .NET Framework Cleanup Tool. - Zainstaluj pakiet .NET Framework 3.5 SP1 (klik w Instrukcje instalacji > Pełny pakiet). Log nic ciekawego nie opowiada, to jest log para OTL i te dane w większości były już podane (raport OTL + odczyt z AVZ), to nie jest log przedstawiający usuwanie infekcji, a oznak infekcji w nim zresztą brak. I grubaśny odczyt pliku HOSTS w tym raporcie już nieaktualny po przeprowadzonym tu resecie pliku HOSTS. .

Temat ponownie relokuję, tym razem do działu Sieci. Przedstaw dane wymagane zasadami: KLIK. .

Jeżeli ten system został wgrany przez serwis, a Ty nie mataczyłeś z aktywacją i nie używałeś samodzielnie tego cracka, bezczelność nastąpiła w serwisie i zainstalowany został scrackowany system (a więc nielegalny). Pytaniem jest co się działo w serwisie, co zostało powiedziane na temat reinstalacji systemu operacyjnego, a także czy Ty w ogóle miałeś kiedykolwiek legalną kopię instalacyjną Windows. .

Ad "proponował" = jestem płci przeciwnej. Nie odpowiedziałeś mi na pytanie co już próbowałeś, bym się nie powtarzała. Dorzuć raporty OTL, z których m.in. dowiem się o jakim systemie mowa, bo nie podałeś czy 32-bit czy 64-bit, co powstawało na świeżo etc. .

Poproszę o nowy raport OTL już po tych resetach (plik Extras po raz drugi zbędny), AdwCleaner z opcji Szukaj oraz GMER. .

Te dwa tematy łączę razem, gdyż "scala" je wątek Sality i nie doczyszczenia jego elementów. Czyszczenia się nie podejmuję, gdyż plany tu są tego typu: Uważam to za niegłupi pomysł, ale z innego powodu: był tu Sality, wyleczenie plików nie gwarantuje ich sprawności (mogą być jakieś uszkodzone). Był tu uruchamiany GMER. Skutkiem ubocznym może być degradacja szybkości transferu dysku z DMA do PIO. Pro forma instrukcje weryfikacji: KLIK (ustęp Optymalizacja wydajności HDD i CD/DVD-ROMów - Włączenie DMA). Istotnym odczytem jest "bieżący tryb transferu". No tak, ale tam jest wyraźnie napisane który log obowiązkowy, a jaki charakter ma reszta narzędzi. Poza tym, tam nigdy nie było HijackThis, więc nie wiem skąd Ci przyszedł do głowy. Na przyszłość: ilość logów ma korespondować do wytycznych działu (na chwilę obecną jest to para OTL + GMER), nie ma sensu dawać replikatów danych, to nie poszerza perspektywy. .

Mnie był potrzebny tylko brakujący plik Extras, usuwam nadwyżkowy główny skan OTL. Oznak infekcji brak, toteż temat przenoszę do działu Windows. Log Extras nie wskazuje, by AsusVibe był odinstalowany, jest jego wpis. 1. Zacznij od deinstalacji programów. Chodzi tu przede wszystkim o firmowe wtręty: AsusVibe2.0, ASUS WebStorage, Trend Micro Titanium. Dodatkowo usuń Akamai NetSession Interface Service, a jeśli nie korzystasz to i Windows Live Essentials (możliwe, że to też było zintegrowane na Asusie). 2. Następnie usunięcie wpisów szczątkowych i śmieci. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=opc&from=opc&uid=ST9250315AS_6VCLNJBN____6VCLNJBN&ts=1351928687 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94} IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=121845&tt=110413_www&babsrc=SP_ss&mntrId=A26ABCAEC5422FBA IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searcrms} IE - HKCU\..\SearchScopes\{AFD8275B-53D8-4B1A-BD9C-C911369EFFF0}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=DC19B8EE-57A7-4CE4-99A9-B3250FE12DB1&apn_sauid=BB1B4BF3-18C8-4F87-8ADA-9DD159CB572B IE - HKCU\..\SearchScopes\{DD82E7B2-34C6-4440-8155-904CF75CB662}: "URL" = http://search.softonic.com/INF00040/tb_v1?q={searchTerms}&SearchSource=4&cc=&r=807 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={0EC081FB-EC51-48D3-8B77-4F513A1ABC94} O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found O4 - HKCU..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Reg Error: Value error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\TuneUp Utilities 2013\TuneUpUtilitiesDriver32.sys -- (TuneUpUtilitiesDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) :Files C:\user.js C:\windows\System32\Extensions C:\windows\System32\searchplugins C:\ProgramData\Ask C:\ProgramData\Babylon C:\Program Files\Common Files\AVG Secure Search C:\Users\Dorota\AppData\Roaming\Babylon C:\Users\Dorota\AppData\Roaming\HCM Updater C:\Users\Dorota\AppData\Roaming\OpenCandy C:\Users\Dorota\AppData\Roaming\TuneUp Software C:\Program Files\TuneUp Utilities 2013 C:\ProgramData\TuneUp Software %localappdata%\Google\Chrome rd /s /q C:\CCE_Quarantine /C :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Default_Search_URL"=- "Default_Secondary_Page_URL"=- "Search Bar"=- "Secondary Start Pages"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google\Chrome] :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dodatkowo skan na parametry tej uszkodzonej usługi Windows: SRV - File not found [On_Demand | Stopped] -- -- (MSDTC) Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDTC /s :filefind msdtc.exe msdtcuiu.DLL Klik w Look. W Dzienniku zdarzeń są jeszcze takie błędy, ale to razie zostawiam: Error - 2013-05-16 04:42:56 | Computer Name = Dorota-Komputer | Source = Service Control Manager | ID = 7011 Description = Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi RasMan. Error - 2013-05-16 06:16:09 | Computer Name = Dorota-Komputer | Source = Service Control Manager | ID = 7001 Description = Usługa Dostawca grupy domowej zależy od usługi Publikacja zasobów odnajdowania funkcji, której nie można uruchomić z powodu następującego błędu: %%-2147024891 Error - 2013-05-16 06:16:09 | Computer Name = Dorota-Komputer | Source = Service Control Manager | ID = 7023 Description = Usługa Publikacja zasobów odnajdowania funkcji zakończyła działanie; wystąpił następujący błąd: %%-2147024891 .

Wszystko wykonane. Jeszcze drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. - Jeśli była to próba w Trybie awaryjnym, to normalne. Usługa Instalator Windows nie działa w Trybie awaryjnym. - Jeśli była to próba w Trybie normalnym, a po usunięciu COMODO nagle się "naprawiło", blokował ten mechanizm COMODO. To było do przewidzenia, wiedziałam że będzie wymagane więcej niż zadane. Z braku możliwości podałam jedyne narzędzie specjalizowane w usuwaniu COMODO, ale ono jest stare (nie adresuje najnowszych wersji CIS) i nie dedykuje pewnych rzeczy, m.in. nie ściąga filtra z kart sieciowych, o którym rozprawiasz. Dla porównania ten temat i dwa posty (instrukcja ręcznego usuwania versus możliwości deinstallera): KLIK / KLIK. I tu właśnie miałam zadać dodatkowe czyszczenie COMODO. Niemniej filtr sieciowy samodzielnie wypiąłeś, w raporcie OTL nie widzę żadnych składników COMODO (z wyjątkiem tego jednego wpisu guard32.dll już adresowanego w skrypcie OTL) oraz są znaki stosowania tego narzędzia Microsoftu (obecny na dysku katalog C:\MATS): KLIK. Czy Ty w tym narzędziu wskazywałeś do usuwania właśnie rejestrację MSI od COMODO? Wbrew temu co Ci się wydaje Avast nadal jest problemem i aż dziw, że gadżety nie mają dysfunkcji. Log z SystemLook wskazuje, że nie został wypięty z tych partii silnika skryptowego: [HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32] @="C:\Program Files\Alwil Software\Avast5\AhAScr.dll" "ThreadingModel"="Both" "Default Engine"="C:\Windows\system32\vbscript.dll" [HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32] @="C:\Program Files\Alwil Software\Avast5\AhAScr.dll" "ThreadingModel"="Both" "Default Engine"="C:\Windows\system32\vbscript.dll" Wykonaj operację rozpisaną w tym poście: KLIK. Po akcji podaj skan SystemLook limitowany do: :reg HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32 .

Log z wynikami usuwania OTL jest automatycznie zapisywany w katalogu C:\_OTL. Ale już go sobie podarujmy, w nowym skanie OTL widać pożądane zmiany. Zadania wykonane pomyślnie. Przejdź do wykończeń: 1. Małe poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Mówiłeś: Nadal widzę niepożądany stan aktualizacji systemu: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Dodatkowo te wszystkie aplikacje do wymiany najnowszymi wersjami: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{1701765B-6D93-43C6-A835-DD423517581F}" = OpenOffice.org 3.2 "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 20 "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox/Opera) "Foxit Reader" = Foxit Reader .

Zadania pomyślnie wykonane. Przejdź do wykończeń: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj wyliczone poniżej programy: KLIK. To m.in. luki Adobe czy Java są przyczyną tej infekcji. Wg raportu są zainstalowane następujące wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416039FF}" = Java™ 6 Update 39 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216014F0}" = Java™ 6 Update 14 "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 26 "{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17 "{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Polish "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Microsoft SQL Server 10" = Microsoft SQL Server 2008 R2 "Mozilla Firefox 20.0.1 (x86 pl)" = Mozilla Firefox 20.0.1 (x86 pl) Czyli: odinstaluj punktowane tu wersje Adobe i wszystkie Java, zainstaluj najnowsze (o ile w ogóle potrzebne), zaktualizuj Firefox oraz Microsoft SQL Server 2008 R2 (KB2527041). Dodatkowa uwaga: masz Gadu-Gadu 10. Jest to program już stary i nieużytkowy (wyłączone zintegrowane serwisy, nadmiar reklam, dręczenie zasobów systemowych). Zainteresuj się albo najnowszą wersją GG11 (jest lepsza niż GG10) lub alternatywnymi programami (WTW, Kadu, Miranda NG, AQQ): KLIK. Czytaj to dosłownie. W Twoim Dzienniku zdarzeń jest nagrany taki oto błąd i dostosuj się do tego komunikatu: Error - 2013-05-16 09:18:53 | Computer Name = Merix-Komputer | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie OS. Nie podałeś konkretów co dokładnie Avast widział (ścieżka dostępu). Skoro to się działo tylko przy resecie Firefox, być może to jakiś błędny odczyt. Dla świętego spokoju możesz podać jeszcze log z GMER. Ta konkretna infekcja została usunięta. Całkiem inną kwestią jest zabezpieczenie przed jej ponownym nabyciem. Podstawy są już realizowane powyżej (aktualizacje). Antywirus jest niewystarczający. Jako jego uzupełnienie polecam wirtualną piaskownicę nawigacyjną SandBoxie. .

A co z błędami forum z poziomu smartfona? PS. I wielkie dzięki za dotację.

Raportu z usuwania OTL nie mogłeś załączyć, gdyż ma rozszerzenie *.LOG. Załączniki akceptują tylko *.TXT. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Albo skrypt był uruchamiany "na raty", albo infekcję usunąłeś czymś przed jego uruchomieniem, gdyż akurat obiektów infekcji nie widział i nie skasował ("not found"). Ogólnie wszystko wykonane i idziemy dalej: 1. Drobna poprawka na domyślne wyszukiwarki IE nadpisane AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Zostały wyłączone usługi Centrum zabezpieczeń + Windows Defender. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender pomijam, gdyż powinien się pojawić program antywirusowy, który przejmie jego rolę. 3. Plik HOSTS nie ma zawartości idealnie zgodnej z Windows 7. Zresetuj plik narzędziem Fix-it: KB972034. 4. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 5. Wyczyść foldery Przywracania systemu: KLIK. 6. Posiadasz już zainstalowany Malwarebytes Anti-malware. Upewnij się, że ma zaktualizowane definicje. Zrób pełny skan. Jeśli coś zostanie wykryte, przedstaw raport. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Files C:\Users\andzia\AppData\Roaming\skype.dat C:\Users\andzia\AppData\Roaming\skype.ini :OTL IE - HKU\S-1-5-21-271047177-1569713541-4154143796-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=8bfb16cf-d9b2-11e1-82d1-88ae1dd89aca&q={searchTerms} IE - HKU\S-1-5-21-271047177-1569713541-4154143796-1000\..\SearchScopes\{383548F7-9E42-407D-BE76-1FC8D57DA7F9}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}: C:\Program Files\RelevantKnowledge\firefox [2013-04-23 08:16:48 | 000,000,000 | ---D | M] O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [bEWINTERNET-PLSessionManager] "C:\Program Files\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RtsUStor.sys -- (RSUSBSTOR) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, gdyż system zostanie odblokowany. W katalogu I:\_OTL powstanie log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater, LiveVDO plugin 1.3, McAfee Security Scan Plus, RelevantKnowledge. Od razu także mało przydatny dziś Spybot - Search & Destroy 2. 3. Wyczyść Firefox ze śmieci adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz utworzony przez AdwCleaner. .

Nieotwierające się dyski wynikają z obecności plików autorun.inf. Śmieci adware także są. Jedziemy: 1. Przez Dodaj/Usuń programy odinstaluj BrowserProtect, Delta toolbar, Delta Chrome Toolbar, MiPony 2.0.2, RegClean Pro. Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację Delta. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives C:\WINDOWS\System32\mlburmh.inf C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\Sandra\Dane aplikacji\BabSolution C:\Documents and Settings\Sandra\Dane aplikacji\Babylon C:\Documents and Settings\Sandra\Dane aplikacji\DSite C:\Documents and Settings\Rodzinne konto\Ustawienia lokalne\Dane aplikacji\tuto4pc_pl_1 C:\Program Files\5qUninstall Zwinky.dll C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Services supt4pc_pl_1 :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NWEReboot"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Usuń. AdwCleaner kiedyś był tu stosowany, ale na pewno nie najnowsza wersja, w przeciwnym wypadku w logu nie byłoby tego co obecnie widać. 4. Skoryguj plik HOSTS do postaci zgodnej z XP. Otwórz w Notatniku plik C:\WINDOWS\system32\drivers\etc\Hosts i wytnij tę drugą linię: ::1 localhost 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing. Dołącz log z usuwania OTL z punktu 2 oraz utworzony przez AdwCleaner. .

W CBS.LOG pojawił się taki odczyt "Changelist shadowed missing its manifest" przy komponentach IE + ERROR_SXS_TRANSACTION_CLOSURE_INCOMPLETE: To wygląda na coś grubszego. Potrzebuję więcej czasu na przemyślenie sprawy. Na wszelki wypadek sprawdź czy ponowne uruchomienie System Update Readiness Tool zwraca teraz inny odczyt (pokaż nadpisany po tym cheksur.log).

Tu mogły pomóc dwie rzeczy, czyli reset pliku HOSTS (gruby plik obciąża usługę Klient DNS) + usunięcie Microsoft Update (obciąża proces usług aktualizacyjnych). 1. Tak jak przypuszczałam: AVZ Antiviral Toolkit wykrywa czynności i komponenty COMODO. Obiekt cmdguard.sys to jest sterownik COMODO, cytuję z raportu OTL: ========== Driver Services (SafeList) ========== DRV - [2013-04-25 12:05:20 | 000,099,392 | ---- | M] (COMODO) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\inspect.sys -- (Inspect) DRV - [2013-04-15 19:38:59 | 000,032,816 | ---- | M] (COMODO) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cmdhlp.sys -- (cmdHlp) DRV - [2013-04-15 19:38:58 | 000,592,384 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmdGuard.sys -- (cmdGuard) DRV - [2013-04-15 19:38:58 | 000,018,528 | ---- | M] (COMODO) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\cmderd.sys -- (cmderd) Oprogramowanie zabezpieczające wykorzystuje techniki, które mogą być błędnie ocenione przez inne skanery jako "rootkit". Tu kolejny przykład z forum, z kolei skaner AVG w zetknięciu z innym sterownikiem COMODO: KLIK. To nie jest rootkit. 2. Plik msv1_0.dll jest plikiem systemowym. Nie wierzę, że to "keylogger", tym bardziej że w logu jest: C:\WINDOWS\system32\msv1_0.dll --> Suspicion for Keylogger or Trojan DLLC:\WINDOWS\system32\msv1_0.dll>>> Behaviour analysis Behaviour typical for keyloggers was not detected Owszem, należy zawsze przedstawić co i jak robiono. Niemniej pierwszy raport z OTL bardzo dużo mówi, było wiadome od razu, że conajmniej używałeś: Raporty z OTL zostały już tu ocenione, infekcji nie widać, śmieci były usuwane. Na tym etapie sprawa zamknięta. O owej wcześniejszej infekcji nic nie da się powiedzieć, bo brak danych z tego okresu. U mnie strona http://www.weeb.tv/ też się nie otwiera (blank), o ile oczywiście adres podany poprawnie. .

Ale zaraz Bonifacy. Nie rozumiem tej akcji, jeżeli to sytuacja przed importem pliku REG? To ma zasadność dopiero po imporcie pliku REG. Tu miałeś gotowe ustawienie Właściciela wymagane dla importu REG. Jeśli tego nie zmieniałeś wcześniej samodzielnie, to coś innego to zmodyfikowało, ale to nie zmienia faktu, że to był gotowiec i skrócenie instrukcji o jeden kroczek: wystarczyło tylko z tego skorzystać adresując kolejny krok w instrukcji. Teraz to się kręcimy w kółko, bo to co właśnie wycofałeś musisz odwrócić dokładnie do stanu z którego zaczynałeś ... Widzisz w tym sens? Z drugiej strony: coś mi się tu nie zgadza, mam przecież Twój rejestr. Dostarczona kopia pliku SOFTWARE pokazuje, że był tam TrustedInstaller.... Zadanie, które masz przeprowadzić: 1. Ustawiasz dostęp Administratorom, by był możliwy import pliku REG: - Wchodzisz we Właściciela i odwracasz to co teraz zrobiłeś, czyli podświetlasz Administratorów i zatwierdzasz. Administratorzy mają się wyświetlić jako bieżący właściciel. - Przechodzisz na główny widok uproszczony uprawnień, na liście podświetlasz Administratorów i zaznaczasz box Pełnej kontroli. Jeśli tak już jest, nic nie rób więcej, nie próbuj postępować jak uprzednio z Właścicielem. 2. Importujesz FIX.REG. 3. Przywracasz oryginalne ustawienia systemu: - Na w/w widoku uprawnień podświetlasz Administratorów i odznaczasz box Pełnej kontroli, ma stać tylko Odczyt. - Wchodzisz we Właściciela i dopiero teraz jest sensowne przywrócenie oryginału, czyli to co przeprowadziłeś: klik w Inni użytkownicy i grupy, wklep NT Service\TrustedInstaller, podświetl konto TrustedInstaller na liście i zatwierdź.

Czy jest jakaś poprawa w pracy systemu? A w kwestii: Już sugerowałam, by odinstalować na próbę, by się przekonać jak to wygląda bez tych aplikacji. Tu temat kontynuuj, bo nie ma po co rozkładać na dwa, tym bardziej że już jest wymieszane: tu podane dane o systemie = raporty OTL, tu robione rzeczy kompletnie nie związane z cyrylicą, tu były sugestie tyczące systemu. Poza tym: o co chodzi, co to za "Wiele dziwnych rzeczy mi się z nim jeszcze dzieje" I ustalmy cóż Ty za "czerwone" widzisz, bo to mogą być jakieś fałszywe alarmy... Opcja Sprzątanie w OTL usuwa z dysku OTL i jego kwarantannę. .

Nie wiem czy rozumiem w którym punkcie zadania jesteś: to jest stan sprzed importu pliku REG (przygotowywanie gruntu) czy po imporcie (powrót do ustawień pierwotnych)? Ustawienie jako Właściciela TrustedInstaller: na podanym oknie klik w Inni użytkownicy i grupy, w oknie wklep nazwę konta NT Service\TrustedInstaller i OK, konto TrustedInstaller pojawi się na liście, podświetlasz je i zatwierdzasz.

"Próbowałem" kilku sposobów = jakich? Wstępnie aktualizacje kojarzą się z naruszeniem plików na dysku. Toteż wykonaj weryfikację ich poprawności za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj CBS.LOG do wystąpień znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK. .