picasso

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Documents and Settings\User\Dane aplikacji\skype.dat
C:\Documents and Settings\User\Dane aplikacji\system.dat
C:\FOUND.*
 
:OTL
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\ShellBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1326574676-682003330-1004\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found.
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (GAGPDrv)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwmodem.sys -- (btwmodem)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwhid.sys -- (btwhid)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. System zostanie odblokowany.

2. Bonjour Apple nie został prawidłowo odinstalowany, jest uszkodzony Winsock:

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll File not found

Stosowny artykuł: KLIK. Z artykułu wykonaj reset części NameSpace przez import stosownego pliku REG. Zatwierdź reset komputera.

3. W systemie działa szczątkowy sterownik Paragon:

DRV - [2009-08-04 18:56:26 | 000,040,560 | ---- | M] (Paragon Software Group) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\hotcore3.sys -- (hotcore3)

Nie wolno go usunąć "z ręki", bo system nie zbootuje. Sterownik filtruje dysk twardy i należy w pierwszej kolejności zdjąć ów filtr. Przejdź w Tryb awaryjny Windows. Start > Uruchom > regedit i wejdź do klucza:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318}

W kluczu dwuklik na wartość UpperFilters i usuń wpis hotcore3, ale pod żadnym pozorem nie usuwaj wpisu systemowego PartMgr.

4. Przejdź w Tryb normalny Windows. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i do okna wklej:

:regfind

hotcore3

Klik w Look.

.

Ta "błahostka" jest nie do rozwiązania na poziomie opcji. Jedyny sposób to wpuszczenie w system obcego modułu RemoveFocusRectangle.dll: KLIK. Przy czym: to biblioteka 32-bit, czyli w zasadzie tylko pod taki system, jej rejestrowanie w systemie 64-bit nawet widocznych skutków nie będzie mieć (biblioteka umieszczana w SysWOW64 a nie system32 oraz efekty ujawnione tylko w 32-bitowym eksplorerze, który nie jest domyślnie ładowany).

Moim zdaniem nie warte to tego.

.

diox

Wprowadzasz go w błąd. Mylisz statyczny odczyt odpadkowego klucza SPTD w rejestrze (pokazany w GMER, bo brak do niego uprawnień) z hookami na urządzeniach tworzonymi przerz czynny sterownik SPTD (tu nie ma nic takiego). GMER widzi to, sterownik wyłączony:

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)

WodzuGrzmiacaD

Problem nieinfekcyjny i przenoszę temat do innego działu.

1. W pierwszej kolejności to się całkowicie pozbądź ESET, bo on może być winny większości problemów, w tym z samym sobą. Na początek odinstaluj naturalną drogą przez Panel sterowania. Po deinstalacji zastosuj firmowy usuwacz ESET Uninstaller (musi być użyty z poziomu Trybu awaryjnego Windows). Podaj dokładnie czy występują problemy z punktów 1 i 4.

2. Druga sprawa to kontrolki ActiveX Internet Explorer świadczące, że są zainstalowane dwie wersje, tzn. podstawowa Windows Update + rozszerzona Microsoft Update:

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} "http://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1361560943703" (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} "http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1361562242343" (MUWebControl Class)

Microsoft Update może spowolnić system. Przeprowadź działania z tego tematu: KLIK.

PS. Drobne adware Ci się wkradło, doczyść:

- Internet Explorer: wejdź do Opcji internetowych i zmień stronę startową, następnie w Dostawcach wyszukiwania usuń wyszukiwarkę Delta Search.

- Firefox: w menu wyszukiwarek przestaw domyślną na Google, po tym usuń z listy Delta Search.

- Uruchom AdwCleaner i zastosuj Usuń.

.

Ale to nie koniec problemu, bo usunęłam tylko 4, a powinnam 6.

Klucz : HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam nie ma u mnie podkluczy Bags oraz BagMRU

Nie wszystkie klucze mogą być. U mnie w ogóle nie ma klucza ShellNoRoam. U Ciebie jest, ale pusty. Zostaw go w spokoju, bo chodzi tylko i wyłącznie o usuwanie podkluczy Bags + BagMRU.

Następna sprawa to odtworzenie 2 kluczy :

Pierwszą część zadania (usuwanie) robiłam wczoraj - dziś widzę, ze jeden z kluczy do odtworzenia tj: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU jest już na swoim miejscu (system go sam odtworzył ?). Czy mogę go w takiej postaci zostawić ?

Tworzenie ręczne kluczy nie było potrzebne. MS to zadaje, bo oni planują tworzenie w nich ręcznie wartości BagMRU Size (ustawianie limitu ilości zapamiętywanych folderów), a ja to właśnie zaleciłam ominąć, bo domyślnie system nie tworzy tego. System samodzielnie zrekonstruuje klucze Bagsów, jak tylko zaczną się zapisywać widoki folderów.

Jeśli akcję robiłam na standartowym koncie GraceII, ale regedit został uruchomiony z podniesionymi uprawnieniami (Zuza) - to w sumie jakiego konta dotyczyły poczynione zmiany ? Wg mnie - dotyczą one jednak konta GraceII. Czy tak ?

W tym przypadku akcja musi być na każdym koncie z osobna, zalogowane inne konta = załadowane inne rejestry. Klucz HKEY_CURRENT_USER na każdym koncie jest inny, bo to zamontowany plik rejestru C:\Users\Konto\NTUSER.DAT. Skoro akcja była na Grace II, to powtórz na Zuzie.

EDIT: I oczywiście na każdym koncie będzie nagrywany inny zestaw zapisanych widoków. Tak więc, byś się nie wprowadziła w błąd, po resecie folderów sprawdzaj czy widoki są utrzymywane na jednym i tym samym koncie. Na drugim będzie co innego.

Na marginesie : sąsiedni podklucz : MuiCache jest pełen wartości. Mam nadzieję, że tak ma właśnie być.

To inne cache. Podsyłam dodatkowy programik, jeśli chciałabyś w tym grzebać w wolnej chwili i korygować zapisy w tym cache: MUICacheView. Te akcje również mają inne skutki na każdym koncie z osobna.

.

- Zasady działu jakie raporty tu się dostarcza: KLIK. Dostarcz, bo na logu z ComboFix daleko nie zajedziesz (raport mocno filtrowany i specjalizowany pod konkretne zadanie).

- Na temat używania ComboFix: KLIK. Użycie bezsensowne, a pliki które usuwał to nie były infekcje, wywalił pliki Total Commander (pkunzip.pif + pkzip.pif), katalog .NET Framework (URTTemp) i nieistotne pliki LOG. Wszystko to fałszywe alarmy.

.

Log z OTL niekompletny, brak pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania").

Wyraźnie mówiłam na PW, by zrealizować zasady działu, czyli dodać obowiązkowe tu raporty (OTL + GMER): KLIK. Log z ComboFix doczepiany tylko dodatkowo, bo niestety już użyłeś narzędzie i musi być sprawdzone co robiło.

.

EDIT: Wracam do tematu. Stała się rzecz dla mnie mało zrozumiała. Poszukałem, poczytałem i za wszystko odpowiedzialna jest karta przywracania - m.in. za to, że mimo ustawienia w BIOS startu z płyty, karta i tak wymusza start z partycji C:\. Natomiast podczas startu wybrałem opcję przywracania z karty przywracania i komputer po 2 minutach uruchomił się normalnie. Na ten moment wygląda tak jakby działał normalnie, nie wiesza się, nie muli, włącza się i wyłącza normalnie.

 

Pytanie za 100 punktów - do którego momentu karta przywracania przywróciła system? Nie mam zielonego pojęcia, bo niby wszystko to co było to jest. Jednak dla mnie ta karta, to pic na wodę - czytałem instrukcję do niej gdzie pisze, że nie można zainstalować SP1, nie można zainstalować aktualizacji, kontrola konta jest wyłączona.

Nie wiem o jakiej Ty "karcie" mówisz, bo są tu dziwne treści. EDIT: W związku z następnym postem treść od czapy chowam do spoilera.

Jedna uwaga: jest tu zainstalowany program rodzicielski Opiekun, który m.in. ingeruje w łańcuch sieciowy Winsock (filtrowanie komunikacji). To może być problem przykładowo przy aktualizacji z Windows Update (problemy już na etapie pobierania).

Oto nowe logi:

W logach nic ciekawego. Są tylko drobne szczątki, ale to tak mikre, że nie ma żadnego znaczenia dla rozwiązania głównych problemów i usuwanie jest jedynie "kosmetyką widoku". Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-237548459-4144426783-4178481243-500\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={3E1EED8C-1DF2-4C65-B039-D87D10EF9E93}&mid=c6fc3ec1351d47d0859ed1530b178c8c-9b397cef63be8df86ae16951eb750ea71dc7ac37&lang=pl&ds=xn011&pr=sa&d=2012-09-20 11:36:59&v=14.2.0.1&pid=avg&sg=&sap=dsp&q={searchTerms}"
O3 - HKU\S-1-5-21-237548459-4144426783-4178481243-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-237548459-4144426783-4178481243-500\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Po tym Sprzątanie. I tyle.

Gmer po uruchomieniu wyświetlił 1 info, że system był modyfikowany dlatego wykonam za chwilę skan raz jeszcze, może tym razem wyniki nie będą sfałszowane. Oto nowe logi:

To raczej żaden rootkit. Na forum były tematy, a tu przykład: KLIK, detekcji przez GMER takich obiektów na zupełnie nieaktualizowanych Vista, a objawy ustąpiły po instalacji wszystkich Service Packów. U Ciebie ten sam stan fatalnej "aktualizacji":

Windows Vista Business Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6000.16546)

Owszem, Przywracanie systemu zdegradowało status SP, było wcześniej:

Windows Vista Business Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation
Internet Explorer (Version = 7.0.6001.18000)[

... co i tak było za mało (dla Vista najwyższy SP2 + kupa łat po).

.

wywaliłem AVG i zaktualizowałem Windows Defendera, komp też odpala się wyraźnie szybciej.

Wbudowany w system Windows Defender (czyli nowa wersja MSSE integrowana w Windows 8) powinien był się wyłączyć przy obecności doinstalowanego antywirusa zewnętrznego. Niemniej, jeśli po deinstalacji AVG system szybciej chodzi, to OK.

Jednak pojawił się inny problem - nie mogę włączyć zapory systemu Windows. W załączniku screen błędu.

Widziałam to już w logu z Farbar Service Scanner, ale założyłam, że to wynik celowych działań... Usługa jest wyłączona:

Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.
Checking LEGACY_mpsdrv: ATTENTION!=====> Unable to open LEGACY_mpsdrv\0000 registry key. The key does not exist.
 
MpsSvc Service is not running. Checking service configuration:
The start type of MpsSvc service is set to Disabled. The default start type is Auto.
The ImagePath of MpsSvc service is OK.
The ServiceDll of MpsSvc service is OK.

W services.msc dwuklik w usługę Zapora systemu Windows i Typ uruchomienia ustaw na Automatyczny. Zresetuj system.

.

1. Z poziomu dowolnego sprawnego konta zapisz w Notatniku plik skryptu o treści:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Files
C:\Users\lukasz\AppData\Roaming\skype.dat
C:\Users\lukasz\AppData\Roaming\skype.ini
 
:Commands
[emptytemp]

2. Przejdź w Tryb awaryjny z Wierszem polecenia na zainfekowane konto. Wklep komendę notepad i w Notatniku otwórz plik skryptu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej treść z Notatnika, klik w Wykonaj skrypt.

3. Przejdź w Tryb normalny, gdyż system zostanie odblokowany. Odinstaluj wątpliwy skaner SpyHunter.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Wszystko pomyślnie wykonane, skrypt przetworzony + urządzenie doprowadzone do formy. Kroki końcowe:

1. Skasuj przez SHIFT+DEL jeszcze z urządzenia odpadek po starszej infekcji G:\KREVETKO + folder Kosza G:\RECYCLER.

2. Porządki po narzędziach: odinstaluj USBFix, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Zaktualizuj Adobe Reader + sprawdź wersję wtyczki Adobe Flash: KLIK. Wg raportu masz obecnie zainstalowane:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)

.

Skopiuj na Pulpit folder C:\Windows\Minidump (o ile nie jest pusty), zapakuj do ZIP, shostuj gdzieś i podaj tu link.

Cytuję z innego tematu:

Te foldery są szczątkami po procesach aktualizacji systemu. Przed instalacją aktualizacja jest ekstraktowana na dysk z największą ilością wolnego do losowych folderów tego rodzaju. Po instalacji łat te foldery są bezużyteczne i można je usunąć. Nie uda się to jednak "z ręki", gdyż foldery mają tak ustawione uprawnienia, że Administratorzy nie mają dostępu. Przed usunięciem należy przejąć foldery na Własność + ustawić Pełną kontrolę wg wytycznych z: KLIK ("Brak praw do pliku lub folderu (XP)").

.

Ode mnie: brak oznak czynnej infekcji (kiedyś był u Ciebie "policyjny" trojan i jego resztkę w trakcie skanu OTL coś usuwało, może Avast), jest tylko adware (instrukcje czyszczenia w spoilerze). Temat przerzucam do działu Hardware, być może koniec końców będzie jednak w Windows.

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817"
IE - HKU\S-1-5-21-1920418690-2510015609-1560051905-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111304&babsrc=SP_ss&mntrId=ceb6f6ff000000000000940c6de2b4f4"
IE - HKU\S-1-5-21-1920418690-2510015609-1560051905-1000\..\SearchScopes\{2ACD7ABB-FAE1-4dab-A363-9A4F5D4328FB}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=SPLBR2&pc=SPLH"
IE - HKU\S-1-5-21-1920418690-2510015609-1560051905-1000\..\SearchScopes\{F8B1AABF-0CF5-4a50-9C26-648EA2CB622A}: "URL" = "http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo"
IE - HKU\S-1-5-21-1920418690-2510015609-1560051905-1000\..\URLSearchHook: {32b29df0-2237-4370-9a29-37cebb730e9b} - No CLSID value found
O2 - BHO: (no name) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No CLSID value found.
O9:64bit: - Extra Button: Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files (x86)\Fiddler2\Fiddler.exe" File not found
O9:64bit: - Extra 'Tools' menuitem : Fiddler2 - {CF819DA3-9882-4944-ADF5-6EF17ECF3C6E} - "C:\Program Files (x86)\Fiddler2\Fiddler.exe" File not found
O16:64bit: - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {444785F1-DE89-4295-863A-D46C3A781394} "http://webplayer.unity3d.com/download_webplayer-2.x/UnityWebPlayer.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_35-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} Reg Error: Value error. (Java Plug-in 1.6.0_17)
[2010-12-13 13:36:54 | 000,002,035 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2012-12-27 23:26:25 | 000,000,000 | ---- | C] () -- C:\ProgramData\jeia6zq.dat
[2011-11-10 18:24:42 | 000,460,624 | ---- | C] () -- C:\Users\vobis\AppData\Local\promo.exe
[2012-02-01 09:51:57 | 000,000,000 | ---D | M] -- C:\Users\Mateusz\AppData\Roaming\Babylon
[2012-05-20 10:26:34 | 000,000,000 | ---D | M] -- C:\Users\Mateusz\AppData\Roaming\bup
[2013-02-07 13:06:34 | 000,000,000 | ---D | M] -- C:\Users\Mateusz\AppData\Roaming\DealPly
[2012-08-27 13:10:34 | 000,000,000 | ---D | M] -- C:\Users\vobis\AppData\Roaming\skyz
[2012-04-12 15:47:30 | 000,000,000 | ---D | M] -- C:\Users\vobis\AppData\Roaming\Temp
[2012-01-29 15:52:26 | 000,000,000 | ---D | M] -- C:\Users\vobis\AppData\Roaming\yess
[2012-05-19 20:50:14 | 000,000,000 | ---D | M] -- C:\Users\vobis\AppData\Roaming\yup
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
 
:Commands
[emptytemp]

Windows Registry Editor Version 5.00

 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Secondary_Page_URL"=-
"Secondary Start Pages"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Secondary_Page_URL"=-
"Secondary Start Pages"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Mam od jakiegoś czasu problem z klatkowaniem komputera. Dokładniej, w czasie grania w niektóre gry, które wcześniej nie klatkowały posiadam takie jakby 2 "fazy". Gra działa płynnie bardzo różnie, czasem minutę, czasem 10 minut, po czym następuję klatkowanie, które trwa jakieś 15-20 sekund.

I upewnij się, że problemu nie tworzy software, czyli mocno złożone programy zabezpieczające: Avast + COMODO Internet Security. A Spybot - Search & Destroy wyrzuć, słaby program i zbędny przy obecności nowoczesnego antywirusa.

.

Infekcja Qooqlle wchodzi m.in. z przez paczki kodeków dostępne ze żródeł typu torrent. Przechodząc do usuwania infekcji:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-4250830218-2494013599-3829929632-1000..\Run: [jushed] C:\ProgramData\jushed.exe (                                                                               )
O4 - HKU\S-1-5-21-4250830218-2494013599-3829929632-1001..\Run: [ROC_JAN2013_TB] "C:\Program Files (x86)\AVG Secure Search\ROC_JAN2013_TB.exe"  /PROMPT /CMPID=JAN2013_TB File not found
[2012-11-25 16:34:48 | 000,004,768 | ---- | C] () -- C:\ProgramData\operaprefs.ini
[2012-11-25 16:34:48 | 000,000,002 | ---- | C] () -- C:\ProgramData\timerxfile
[2012-11-25 16:34:48 | 000,000,001 | ---- | C] () -- C:\ProgramData\varsavefile
[2012-11-25 16:34:48 | 000,000,001 | ---- | C] () -- C:\ProgramData\datesavefile
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Dziękuje za pochwały i kwiatek, kawę i ciastko biorę "na papierze".

Tak, to wszystko. Temat rozwiązany, zamykam.

.

Brak oznak infekcji. Temat przenoszę do działu Sieci, dostarcz raporty wymagane tym działem: KLIK.

Porządkowo przeprowadziłem jeszcze pełne skanowanie Malwarebytes - usunięte zostało 5 plików, głównie stare crack'i, załączam dodatkowo log przed kwarantanną.

Wśród tych wyników Rootkit.Dropper to fałszywy alarm. To komponent Office 2003 "portable", wytworzonego techniką wirtualizacyjną Thinstall. To wścieka antywirusy. Być może wynik Malware.Packer.Gen to również fałszywy alarm. Ogólnie: żadna z detekcji nie ma związku ze sprawą.

I drobna uwaga, usuń śmieci adware oraz mini szczątki po skanerach Ad-aware / ESET. Instrukcje w spoilerze.

:OTL
DRV:64bit: - [2013-02-28 11:24:54 | 000,014,456 | ---- | M] (GFI Software) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\gfibto.sys -- (gfibto)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
[2013-02-28 11:33:08 | 000,000,000 | ---D | C] -- C:\ProgramData\blekko toolbars
[2013-02-28 11:32:53 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\adawaretb
[2013-02-28 11:32:52 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Toolbar Cleaner
[2013-02-28 11:22:25 | 000,000,000 | ---D | C] -- C:\Users\Maciek\AppData\Roaming\LavasoftStatistics
 
:Commands
[emptytemp]

.

Przerwij działanie. Zdeaktywuj rezydent MBAM oraz Symantec. Powtórz skrypt.

Do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj a nie post pod postem. Posty sklejam.

mam problem odnośnie częstych blue screenów komputera, nie wiem jak temu zaradzić.

Punkt 5 w ogłoszeniu, czyli podanie kodu błędu oraz debugowanie plików zrzutów pamięci DMP: KLIK.

PS. Z logów OTL nic nie wynika, poza podejrzeniem, że system jest nielegalny (błędy aktywacji w Dzienniku zdarzeń + w pliku HOSTS matactwa).

Dodatkowo właśnie wyskoczyły mi dwa pliki desktop.ini

 

Pierwszy raz się z takim czymś spotykam nie wiem co to może być.

Były tam od zawsze na Pulpicie, a w innych miejscach systemu o wiele więcej takich plików. Pliki pełnią szczególną rolę: polonizują nazwę (dlatego widzisz "Pulpit" zamiast "Desktop") oraz nakładają specjalną ikonkę folderu. Po ich usunięciu utracisz te funkcje, oczywiście żadnego usuwania tu nie może być, bo pliki prawidłowe. A widzisz je dopiero teraz, bo skan OTL przestawia widzialność plików. Plików ukrytych w systemie również o wiele więcej niż to co widziałeś dotychczas. Cytuję:

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

.

Nie przerywaj działania, chyba że naprawdę OTL się poważnie zawiesił. Ile trwa ten stan? Jeśli kilka minut = czekaj. Jeśli "godziny" = przerwij.

Akcja przeprowadzona pomyślnie. Możemy przejść do finalizacji tematu:

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę usuń ręcznie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Drobne aktualizacje, odinstaluj starsze Java 6 i Adobe Reader X (najnowszy to Adobe Reader XI) oraz zaktualizuj OpenOffice.org (najnowszy to 3.4.1):

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3

Uwaga spoza: masz zainstalowane Gadu-Gadu 10. Program jest: stary, nieużytkowy (więcej reklam niż funkcji + duża konsumpcja zasobów systemowych), skreślony przez firmę (wyłączone serwisy integrowane w GG10). Albo obejrzyj najnowsze GG11 (jest nieco lepiej), albo przerzuć się na alternatywny program: WTW, Kadu, Miranda NG, AQQ. Wszystkie opisy tu: KLIK.

.

Nie notuję tu żadnych oznak infekcji. Co robiłeś w TDSSKiller, tzn. czy coś usuwałeś? I do usunięcia będą foldery po używanych narzędziach:

C:\Users\Wojtek\Doctor Web

C:\TDSSKiller_Quarantine

dzis zobaczyłem w kasperkim 2013 ze był atak sieciowy i pare tojanow internet chodził mi dosłownie w bajtach google 10min zeby sie wczytało

Ale jakie "trojany"? Przeklej z dziennika Kasperskiego te rekordy.

.

Infekcja pomyślnie usunięta. Usługa Centrum jest wyłączona, ale w aktualnej sytuacji powinno być możliwe jej włączenie. Do wykonania następujące czynności:

1. Na Pulpicie klawisz z flagą Windows + R i w polu Uruchom wklep services.msc. Na liście usług dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Na koniec drobne aktualizacje, czyli usuń stare wersje Adobe i Java zastępując najnowszymi oraz zaktualizuj pakiet Office 2010 (instalacja SP1): KLIK. Wg raportu obecnie w systemie są wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217011FF}" = Java 7 Update 11
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.5) MUI
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 11.5.502.146 (wtyczka dla Opera)
"Office14.OMUI.pl-pl" = Microsoft Office Language Pack 2010 - Polish/Polski
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010

.

A no widzisz Czyli korygujesz do postaci NT AUTHORITY\SYSTEM

EDIT:

Ale Comodo nawet z za grobu szczerzy kły : HKEY_LOCAL_MACHINE\SYSTEM\VritualRoot oparł się także Process Hackerowi

Konto SYSTEM nie ma uprawnień. W regedit uruchomionym jako SYSTEM prawoklik na ten klucz i w Uprawnienich:

- Właściciela ustaw na SYSTEM + zaznacz zastępowanie Właściciela na obiekty podrzędne

- Dodaj konto SYSTEM na listę i przypisz Pełną kontrolę + zaznacz zastępowanie uprawnień obiektów podrzędnych

.

Link symboliczny ZeroAccess pomyślnie zdjęty. Teraz w bezpieczny sposób można już usunąć folder.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Windows\$NtUninstallKB60528$

Klik w Wykonaj skrypt.

2. Do oceny wystarczy tylko log z wynikami przetwarzania skryptu. Nowy skan OTL nie jest potrzebny.

.