picasso

Konkrety: jakie? Przeklej z dziennika antywirusa co to było. Póki co, to ja tu nie widzę oznak infekcji, jest mały kluczyk po adware oraz niepełnie usunięty Avast = w tle uruchamia się sterownik SandBoxa: DRV:64bit: - [2012-10-30 23:51:55 | 000,984,144 | ---- | M] (AVAST Software) [File_System | System | Running] -- C:\Windows\SysNative\drivers\aswSnx.sys -- (aswSnx) 1. Przejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{681C309C-A2FD-4AE1-BB0A-7ABE5276C791}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{681C309C-A2FD-4AE1-BB0A-7ABE5276C791}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{681C309C-A2FD-4AE1-BB0A-7ABE5276C791}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{681C309C-A2FD-4AE1-BB0A-7ABE5276C791}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Skan z SystemLook usuwam, źle zakładasz, tu jest inny wariant infekcji (infekujący sterowniki systemowe) a nie infekcja w services.exe. Log z GMER zrobiony w złych warunkach i zaciemniony, nie zdjąłeś emulacji napędów wirtualnych (deinstalacja programów + deinstalacja sterownika SPTD): KLIK. DRV - [2009-09-04 12:45:21 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Źródło nabycia infekcji: pakiet Mega Codec Pack. 1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie. Zresetuj system. Na dysku C powstanie log. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wpisz komendę i ENTER: netsh winsock reset Zresetuj system w celu ukończenia naprawy Winsock. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\%APPDATA% C:\Program Files\uik.dat C:\Program Files\is.dat C:\Program Files\Mega Codec Pack C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Users\Bartek\AppData\Roaming\Babylon C:\Users\Bartek\AppData\Roaming\Cuasl C:\Users\Bartek\AppData\Roaming\f-secure C:\Users\Bartek\AppData\Roaming\Pufov C:\Users\Bartek\AppData\Roaming\Woqyro C:\Users\Bartek\AppData\Roaming\qcopjv.dat C:\Users\Bartek\AppData\Roaming\mozilla\firefox\profiles\7ox6xkcj.default-1358319985319\searchplugins\askcom.xml C:\Program Files\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKLM\..\SearchScopes\{8FAFD341-BF81-4751-8DCD-DDDEFAAF90E1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=65fa9c30-d58e-11e0-9834-00037a9aa4ce&q={searchTerms}" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=3012_1&babsrc=SP_ss&mntrId=c419f73200000000000000037a9aa4ce" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{2A5129DF-BFF1-495E-A3A0-0C8C01F85FB0}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=F1CB2B0B-25B2-4799-A8BE-BD912184B909&apn_sauid=6C1787CB-F4D2-4FCF-AA77-5EC2184D5A21" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=taQl6YFQdbYmB8_0XCUEWfMKow0?q={searchTerms}" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{8EEAC88A-079B-4b2c-80C1-7836F79EB40A}: "URL" = "http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{8FAFD341-BF81-4751-8DCD-DDDEFAAF90E1}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=65fa9c30-d58e-11e0-9834-00037a9aa4ce&q={searchTerms}" IE - HKU\S-1-5-21-1641646516-3341148631-4000507619-1000\..\SearchScopes\{BEE4B572-A7A4-48D7-8360-3F02AECBB795}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\fbphotozoom@installdaddy.com: C:\Program Files\fbphotozoom\fbphotozoom13.xpi [2012-03-07 09:55:42 | 000,102,233 | ---- | M] () O4 - HKLM..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found O4 - HKU\.DEFAULT..\RunOnce: [AutoLaunch] C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found O4 - HKU\S-1-5-18..\RunOnce: [AutoLaunch] C:\Program Files\Lavasoft\Ad-Aware\AutoLaunch.exe monthly File not found O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - "http://rover.ebay.com/rover/1/4908-44618-9400-3/4" File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - "http://www.amazon.co.uk/exec/obidos/redirect-home?tag=Toshibaukbholink-21&site=home" File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\fkpqu.sys -- (wdhtgoo) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [File_System | On_Demand | Stopped] -- -- (StarOpen) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | System | Running] -- C:\Users\Bartek\AppData\Local\Temp\SAS_SelfExtract\SASKUTIL.SYS -- (SASKUTIL) DRV - File not found [Kernel | System | Running] -- C:\Users\Bartek\AppData\Local\Temp\SAS_SelfExtract\SASDIFSV.SYS -- (SASDIFSV) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odinstaluj adware: - Przez Panel sterowania vShare.tv plugin 1.3. Tak, to ta wtyczka video (i śmieci w systemie). - W Google Chrome w Rozszerzeniach odmontuj FB Photo Zoom + vshare plugin. - Po deinstalacjach uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + GMER (po usunięciu emulatorów). Dołącz logi utworzone przez TDSSKiller i AdwCleaner. .

Pokaż mi obrazek z widoku płyty. Pokaż mi też zdjęcie co wpisujesz w linii komend.

Skoro uruchamiałeś AdwCleaner, proszę dołącz log który utworzył podczas usuwania. I to nie wszystko co robiłeś, uruchamiałeś też Junkware Removal Tool, jego log też do wglądu. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [CheckRun22find_uninstaller] C:\Documents and Settings\gs\Dane aplikacji\CheckRun22find.exe () :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, a pliku Extras po raz drugi nie dawaj. I podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej: :regfind 22find Klik w Look. .

Zaraz: INSTALKA? Co to jest ta "INSTALKA"? Czy chodzi o to: X:\INSTALKA\OTL.exe? Jeśli tak jest, to całkowicie zmienia komendę, OTL.exe nie leży w głównym widoku bezpośrednio, tylko w podfolderze. Przypomnij sobie co sprawdzałeś w rejestrze = wartość Shell. Tu siedzi inny wariant niż opisany w tej przemowie, u Ciebie wartość Shell jest równa explorer.exe a nie losowa nazwa.exe. .

Belfegor Słusznie przewidujesz. A skoro usuwasz pliki komendą :OTL, to po co powtarzasz w :Files. PreliminaryMonty16k Usługa WMI nie została naprawiona i w systemie z pewnością sypie błędami (np. usługa Centrum zabezpieczeń się nie uruchamia). Belfegor "zapomniał" o takim "szczególe" jak to skąd pobiera OTL dane o ścieżce w usługach = jest to podklucz uługi, czyli Parameters, a w nim wartość ServiceDll. Nie należało tu importować głównego widoku klucza Winmgmt, bo to w ogóle nie jest uszkodzone, tylko podklucz Parameters. Jak widać w temacie: ten podklucz ani nie był importowany (w pliku REG brak takiej definicji), ani nie został sprawdzony (w SystemLook brak rekursywnego przełącznika /s), choć sprawdzanie w SystemLook to było z biegu zbędne: A mówi o tym post numer 5 prezentujący po imporcie rejestru uszkodzoną usługę: ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\Owner\5607707.dll -- (winmgmt) Import zasadniczy to: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 .

Czy OTL.exe leży w głównym widoku płyty czy w podfolderze? Czy sprawdziłeś wszystkie litery po kolei?

Windows x86 nie dałby rady, skoro nie podołała płyta z WinRE. To ta sama metoda dostępowa, bazująca na właściwościach Windows. Dlatego zostało dobrane Ubuntu. Na szybko rejestr, bo nie rozumiem na co patrzę i jestem w szoku. Stan obecny = wiele uprzednio przeprowadzonych działań zostało odkręconych! Plik SYSTEM: Mój plik BAT z posta #6, a w rejestrze widać dwie usługi COMODO (ale wyłączone). Z tym, że Ty mówisz teraz i to akurat wyjaśnia dlaczego komenda SC nie dała rady (odpadkowe klucze nie traktowane już jako usługa): Zadane przeze mnie operacje w poście #42 kontra Twój post numer #43: + post #47 opisujący akcję usuwania HOSTS Anti-Pups Wg aktualnego rejestru: wyłączone uprzednio usługi są na Automatycznym, usuwany komendą sc delete szczątek Paragon (UimBus) jest w formie sterownika, a usługa HOSTS Anti-PUPs na miejscu. Mój post #48 + Twoja odp w #50: Usługa na miejscu. Mój post #48 oraz Twoje posty #50 + #56 + #58 realizujące zadanie: Usuwałaś klucze ręcznie. W rejestrze klucz VritualRoot i klucze LEGACY na miejscu... Mój post numer #49 i komentarze o ustawieniach tweakerów + Twoja odp w #50: W rejestrze zmiany cofnięte: DisablePagingExecutive znów na 1. Plik SOFTWARE: Zmiany nie wyglądają na odkręcone, na szybko sprawdziłam rejestracje MSI i te tak skrupulatnie wycięte od COMODO + Acronis nie istnieją. Został owszem kluczyk po Acronisie w głównym widoku, ale to szczegół (nie zauważyłam, że podklucz blokuje usuwanie = uprawnienia). Nasuwają mi się tylko trzy możliwe wyjaśnienia: - Odbyło się recovery rejestru części SYSTEM i rejestr został cofnięty do starszej postaci. Czyli przypuszczalna sekwencja: zwiecha > uszkodzenie rejestru > przy starcie Windows uruchomił się transparentny odzysk poprzedniej wersji rejestru i prawdopodobnie była to kopia z C:\Windows\system32\config\RegBack (to inny RegBack niż program którym się posługujesz, systemowy). Skoro uszkodziły się Dzienniki, to możliwy i rejestr - Uruchomiła się Ostatnia poprawna konfiguracja i zrzuciła poprzedni widok CurrentControlSet. Ale o tym nie mówiłaś, poza tym to nie wyjaśnia skąd klucz VritualRoot od COMODO w widoku głównym gałęzi SYSTEM. - Jest jakiś program, który ma zapamiętane wpisy do rejestru i je przywraca. To najmniej prawdopodobne wg mnie. Ujmę to w ten sposób: niewyjaśnione uszkodzenia plików Windows (jako ostatnie padły Dzienniki i to mocno = tylko spod Ubuntu dało radę) i Nexus (to już drugi raz gdy gubi dane w sposób tajemniczy), niewyjaśnione cofnięcie rejestru = daruj sobie robienie powtórnie tych samych akcji (z jednym wyjątkiem: wyłącz ponownie obciążające pamięć ustawienia = DisablePagingExecutive), zrób prędko kopię zapasową najważniejszych rzeczy (lub cały dysk z poziomu Windows x86), bo tu już chyba nic nie można gwarantować, i załatw z Wiesławem konkretnie sprzęt, dysk proszę też przetestujcie. Ja tu wkroczę "pozamiatać" ponownie to samo dopiero, gdy będę mieć pewność, że praca nie pójdzie na marne. EDIT: Nic nie rozumiem, ale log z OTL w ogóle nie zgadza się z rejestrem. Wg raportu brak określonych usług, które w rejestrze widzę, oraz te usługi mają stan Disabled (Wyłączone): SRV - [2012-12-02 10:55:30 | 000,224,096 | ---- | M] () [Disabled | Stopped] -- C:\Program Files (x86)\T-Mobile\InternetManager_H\UpdateDog\ouc.exe -- (Internet Manager. RunOuc) SRV - [2012-10-11 17:15:30 | 000,918,680 | ---- | M] (VMware, Inc.) [Disabled | Stopped] -- C:\Program Files (x86)\Common Files\VMware\USB\vmware-usbarbitrator64.exe -- (VMUSBArbService) SRV - [2012-10-02 23:21:00 | 001,258,856 | ---- | M] (NVIDIA Corporation) [Disabled | Stopped] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService) Jednakże w rejestrze zrobionym przecież w tym samym czasie, w kluczu ControlSet001 (wg klucza Select to konfig Current) + ControlSet002 (Ostatnia poprawna) te usługi mają wartość Start na 2 (Auto) a nie 4 (Wyłączone)... Nie ma innych nieuszkodzonych kluczy ControlSet00X, jest tylko uszkodzony ControlSet005, to kopia Failed i ją omawiałam już dawno temu... Wierzę w rejestr a nie OTL. I tu jedyne wyjaśnienie jakie mogę znaleźć to czas zrzucania danych, czyli: log OTL robiony jako pierwszy > pomiędzy coś wydarzyło się i nastąpiła zmiana danych > zrzucony rejestr. .

Na szybko: 1. Usuwanie plików z poziomu płyty startowej Windows 7 nieudane, wszystkie próby to "Odmowa dostępu". Skoro nie daje temu rady nawet WinRE (a powinno), zbootuj płytę Ubuntu (w poprzednim temacie ją używałaś) i z jej poziomu ręcznie usuń wszystkie pliki z katalogu C:\Windows\System32\winevt\Logs. Po tym ponownie weryfikujesz skuteczność działania: 2. ?! W raporcie OTL wyszczerbiona usługa COMODO Usługa była usuwana w BAT (post #6): SRV:64bit: - File not found [Disabled | Unknown] -- C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe -- (cmdAgent) W cmd uruchomionym jako Administrator wklep: sc delete cmdAgent Po tym zrób mi nową kopię rejestru RegBack i dostarcz. Będę sprawdzać od początku wszystkie wykonane akcje. To dostarcz mi szybko. .

Wymagane drobne poprawki: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs] "Tabs"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{27C9F93A-128F-7786-0FD7-6EC1AC1FD719}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{5A2008FE-167F-EAB4-505F-29733C158DCD}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_CURRENT_USER\Software\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL C:\Users\hardisc.pl\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack C:\Program Files (x86)\Mega Codec Pack C:\Program Files (x86)\Uninstall Fun Web Products.dll C:\Program Files (x86)\mozilla firefox :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 3. Pakiet Mega Codec Pack brutalnie likwidowany, mogą pozostać w sytemie wadliwe rejestracje kodeków. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes. 4. Porządki po używanych: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 5. Wyczyść foldery Przywracania systemu: KLIK. .

Dopisuję wątek z PW, co mówiłam: "Zauważam, że tak jakby coraz więcej uszkodzonych plików.... W SFC jakieś niewyjaśnione naruszone pliki, następnie IE nie startuje (to może świadczyć o uszkodzonych plikach IE = SFC może tego nie wykryć), na końcu wyłupało jeszcze pliki Dziennika zdarzeń. To może być wina RAM, ale podejrzany jest też dysk. Może zróbcie z Wiesławem diagnostykę dysku twardego... O ile to nie było prowadzone już zakulisowo.". I to jak widzę już w dziale Hardware jest. Zrobisz to z poziomu płyty startowej Windows 7 za pomocą FRST. 1. Przygotuj w Notatniku plik fixlist.txt o zawartości: CMD: del /q C:\Windows\System32\winevt\Logs\*.evtx Plik ulokuj obok narzędzia FRST. 2. Boot z płyty Windows 7 > Napraw komputer > Wiersz polecenia > uruchom FRST i klik w Fix. 3. Restart do Windows. Może być notowane duże spowolnienie systemu. 4. Potwierdź wykonanie zadania wklejając do posta zawartość pliku fixlog.txt. Podaj też: - Status usługi Dziennik zdarzeń w services.msc, tzn. czy jest "Uruchomiono". - Sprawdź czy możesz otworzyć eventvwr.msc. - Sprawdź czy w katalogu C:\Windows\System32\winevt\Logs zostały odbudowane przez system pliki EVTX. I jeszcze pytanie z PW, czy utracone dziś przez awarię ustawienia Nexus udało się odzyskać tą metodą: PS. Teraz dopiero widzę, że log OTL dostarczony w poście #73 jest źle skonfigurowany. Ja prosiłam w poście #46 o konfig innego typu niż standardowy: .

Niestety tu jest wszystko prawidłowo. Podsumujmy: - Nie działa bootowanie z CD, pendrive w Trybie awaryjnym nie jest rozpoznany. - Startuje tylko Tryb awaryjny z Wierszem polecenia i tylko konto Administrator wchodzi. Infekcja zdaje się działać na koncie Kacper, ale są oznaki globalnego efektu, bo Tryb awaryjny graficzny nie ładuje się nawet na Administratorze. - W Trybie awaryjnym z Wierszem polecenia jakakolwiek akcja prowadząca do otwierania okien graficznych z eksplorowaniem na dysku powoduje restart. Działają za to regedit i taskmgr. - W procesach Trybu awaryjnego nie widać nic podejrzanego. - Wg rejestru nie jest to modyfikacja w globalnym kluczu Winlogon (Shell / Userinit) czy Run ani modyfikacja usługi WMI. Wnioski: nie mogę dalej zgadywać, muszę mieć raporty z OTL. Nagraj z poziomu sprawnego kompa zwykłą płytę tylko z OTL (a nie bootowalną jak poprzednio). F8 > Tryb awaryjny z Wierszem polecenia > w linii komend uruchom OTL z tej płyty wklepując X:\OTL.exe i ENTER (gdzie X: = litera CD-ROM, musisz ją wytypować prawidłowo). Niestety to będą dane tylko z konta Administrator, ale może coś będzie się dało wywnioskować pośrednio czy zrobić dostosowane skany w ścieżce konta Kacper. PS. Apropos: Odrezerwowałam miejsce redukując wielkość dwóch ogromnych zdjęć z BIOS (ponad 1MB na łeb). .

Nie widać żadnych obcych procesów. Może tu siedzi wariant, który modyfikuje usługę Instrumentacji Windows. Uruchom w linii komend regedit i wejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters W środku jest wartość ServiceDll. Podaj do jakiego pliku ona kieruje. .

To nie koniec. Zaznaczyłam już, że w systemie śmietnik. Należy wyczyścić adware: 1. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, My Web Search (Smiley Central), SearchYa!. W Menu Start poszukaj deinstalatora Mega Codec Pack. 2. W Google Chrome w Rozszerzeniach odinstaluj Funmoods. 3. Firefox zaśmiecony, ale czyszczenie nieopłacalne, bo to archiczny dziurawy Firefox 3.0.19. Jeśli chcesz z niego zachować zakładki + hasła (i nic poza tym), skorzystaj z MozBackup. Następnie odinstaluj Firefox, a na pytanie o usuwanie danych użytkownika odpowiedz twierdząco. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj, przypominam: wszędzie opcja Użyj filtrowania. Raportu Extras ponownie nie dawaj. Dołącz log utworzony przez AdwCleaner. .

Usługa Centrum ma domyślnie Typ uruchomienia Automatycznie (opóźnione uruchomienie), a nie Automatyczny. Nie wypowiadasz się nic na temat skutków użycia ServicesRepair i brak też końcowego raportu Farbar Service Scanner. .

Dlaczego forma GMER w postaci obrazka a nie tekstowego raportu? I potrzebny tylko odczyt z karty Rootkit/Malware. Usuwam zbędny obrazek. W systemie działa adware. 1. Przez Panel sterowania odinstaluj Akamai NetSession Interface Service, BCool, Complitly, ContinueToSave 1.74, DealPly, McAfee Security Scan Plus, Softonic toolbar on IE and Chrome, Search Assistant SimpleSpeedy 1.74. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusza zakładek i haseł. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.22find.com/newtab?utm_source=b&utm_medium=mlv&from=mlv&uid=ST9500325AS_5VED9QB3XXXX5VED9QB3&ts=1361740472" IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.simplespeedy.info/?l=1&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={85713633-5DA6-11E1-A4B7-20CF305F1116}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=110004&babsrc=SP_ss&mntrId=086b462e000000000000485d603dd06d" IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.22find.com/web/?utm_source=b&utm_medium=mlv&from=mlv&uid=ST9500325AS_5VED9QB3XXXX5VED9QB3&ts=1361740497" IE - HKCU\..\SearchScopes\{A6258ED1-2644-4D22-B366-51BE1B550CD6}: "URL" = "http://search.softonic.com/MON00106/tb_v1?q={searchTerms}&SearchSource=4&cc=" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.simplespeedy.info/?l=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&barid={85713633-5DA6-11E1-A4B7-20CF305F1116}&q={searchTerms}&barid={85713633-5DA6-11E1-A4B7-20CF305F1116}" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKCU..\Run: [Video Performer63600.exe] C:\Users\Asus\AppData\Local\Temp\Video Performer63600.exe () O8:64bit: - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found O8 - Extra context menu item: Search the Web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found :Files C:\ProgramData\BetterSoft C:\ProgramData\RightClick C:\Users\Asus\AppData\Local\Temp C:\Users\Asus\AppData\Roaming\OpenCandy C:\Program Files (x86)\mozilla firefox\searchplugins\22find.xml C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Uruchom SystemLook x64 i w oknie do skanu wklej: :regfind 22find Klik w Look. .

Zaznacz "Pokaż procesy wszystkich użytkowników". Rozciągnij okno tak by było widać wszystkie pozycje, a nazwy procesów nieobcięte. Zrób zdjęcie z tego okna. .

1. Nadal sprawdzasz złe miejsce, nie patrz na podklucze. W widoku głównym klucza Winlogon, tam gdzie widziałeś AutoRestartShell, zjeżdżasz na dół okna, tam powinna być wartość Shell = czemu ona jest równa? Przy okazji, pod Shell jest wartość Userinit = tę też podaj czemu się równa. 2. Następnie, wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Pokaż co w nim jest. 3. Czy komenda taskmgr uruchamia menedżer zadań? Czyli z tego wynika, że otwieranie jakichkolwiek graficznych okien (z wyjątkiem regedit) powoduje restart... Wklep w linii komend diskpart a po tym list disk. Czy na liście widać pozycję pasującą rozmiarem do pendrive? .

Sprawdzasz złą wartość AutoRestartShell, a ja prosiłam o Shell. Czy da się zrobić montowanie tego pliku w innym miejscu, czyli zamiast klik w HKEY_USERS to w HKEY_LOCAL_MACHINE? Czy jest szansa podłączyć pod ten komputer jakiś pendrive i czy jest od rozpoznany w Trybie awaryjnym? Rozpoznanie urządzenia potwierdzisz wklepując komendę notepad i w Notatniku z menu Plik > Otwórz > z boku klik w Mój komputer > lista dysków się zgłosi. .

rakscha121, wg raportu usługa Zapory jest wyłączona, natomiast nie ma tu żadnych oznak naruszenia Cetrum zabezpieczeń. Tak więc, czy tu na pewno jest problem z obydwoma usługami? I co właściwie robiłaś w services.msc? Zastosuj ServicesRepair + restart komputera. Po restarcie zrób nowy log z Farbar Service Scanner (daj go już w nowym poście nie edytuj pierwszego) i wypowiedz się wyraźnie co widzisz i gdzie. ,

Nie widzę tu jasnego sformułania: czy da się wybrać Tryb awaryjny bez linii komend i wejść na Administratora? Spróbuj jeszcze wypróbować potencjalny obiekt infekcji wprost z rejestru: 1. W linii komend wpisz regedit i ENTER. Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Podaj jak wygląda wartość Shell. 2. Podświetl klucz HKEY_USERS. Z menu Plik > Załaduj gałąź rejestr > wskaż do montowania plik: C:\Documents and Settings\Kacper\NTUSER.DAT Na pytanie o nazwę wpisz NAPRAWA. W rejestrze pojawi się klucz pod taką nazwą. Wejdź do klucza: HKEY_USERS\NAPRAWA\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Czy jest tam wartość o nazwie Shell? .

rakscha121 Nadal nie ma raportu z Farbar Service Scanner. A skrypt kuriozalny i niepasujący w ogóle do systemu. To pewne, nawet bez logów sprzed usuwania oraz raportu z wynikami z przetwarzania skryptu. Skrypt przystosowany pod system 32-bit, a Ty masz 64-bitowy. OTL jest programem 32-bit, nie interpretuje ścieżki C:\Windows\system32, wg OTL na systemie 64-bit jest to alias C:\Windows\SysNative. Takie linie jak w skrypcie nie mogły istnieć w Twoim logu. Czyli: brany z cudzego tematu skrypt robiony pod zupełnie inny wygląd raportów... Takich rzeczy nie wolno robić, nie ma "uniwersalnych skryptów", owe skrypty są za każdym razem robione pod widok konkretnego systemu. .

Przeczytaj edycję powyżej. Komenda: dir /a:h I nie ma spacji między / oraz a:h. .

Pierwsza komenda wykonana poprawnie i przeszedłeś na ścieżkę konta. Drugi obrazek kompletnie nieczytelny, nic nie widzę, ale: komenda nie wygląda na poprawną. Tam nie ma spacji między sleszem i "a": dir /a I może komendę ogranicz tylko do pokazywania ukrytych: dir /a:h .

Nie wpisałeś poprawnie komendy. Po pierwsze: nie możesz wpisać samej ścieżki, musi być przejście przez cd, po drugie ścieżka ma spacje i musi być ujęta w cudzysłów. Podawałam wyraźnie jak ma wyglądać komenda: cd "C:\Documents and Settings\Kacper\Dane aplikacji" A dir to do niczego bez zmiany ścieżki. Aktualnie zdirowałeś katalog bieżący Administratora, w ogóle bez związku. Usuwam zbędny obrazek. .