picasso

Tym razem GMER już miał wszystko zaptaszkowane.

Ustały czynności Necurs, dlatego.

ESET wykrywa mi jeszcze trojany w system restore (rozumiem, że mam usunąć punkty przywracania systemu?) oraz w system startup (inne trojany).

Czyszczenie folderów Przywracania systemu na końcu, tu jeszcze odbywają się akcje. Natomiast nie jest dla mnie jasne o co chodzi z "w system startup" = przeklej te wyniki.

Sterownik Necurs pomyślnie wyłączony, teraz można go usunąć.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - [2013-01-24 20:34:05 | 000,059,776 | ---- | M] () [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\328283668ce358b1.sys -- (328283668ce358b1)
[2012-11-25 16:01:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\tmp
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

2. Przedstaw do oceny tylko log z usuwania, nowy skan OTL nie jest potrzebny.

.

Log z GMER był robiony w złych warunkach, nie usunąłeś emulatorów napędów wirtualnych i sterownika SPTD:

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ai3rl8a3)
DRV - [2010-09-18 23:39:05 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

1. Start > w polu szukania wpisz regedit > skasuj klucz:

HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

Zresetuj system w celu odładowania infekcji z pamięci.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=CZJCoxRUX3p0SNdWo6zCqLcW23U?q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKCU..\Run: [{A12402A6-0EBF-7D69-C40A-E8A2B3EC504C}] C:\Users\Okacz\AppData\Roaming\Xutu\umvyyl.exe (ScanSoft, Inc)
O4 - HKCU..\Run: [DATE73A.tmp.exe] C:\Users\Okacz\AppData\Local\Temp\DATE73A.tmp.exe (Indilinx)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
 
:Files
C:\Users\Okacz\AppData\Local\{0a014057-5cb7-611c-2b40-bcb26bb5d8ff}
C:\Users\Okacz\AppData\Local\Temp
C:\Users\Okacz\AppData\Roaming\Daav
C:\Users\Okacz\AppData\Roaming\OpenCandy
C:\Users\Okacz\AppData\Roaming\Xutu
C:\Users\Okacz\AppData\Local\promo.exe
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Odbuduj usunięte przez trojana usługi za pomocą ServicesRepair.

4. Napraw martwą ikonę Centrum zabezpieczxeń uszkodzoną przez trojana. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjects\{FD6905CE-952F-41F1-9A6F-135D9C6622CC}]
"AutoStart"=""

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

5. Przez Panel sterowania odinstaluj Pandora Service (adware od KMPlayer) + Uniblue DriverScanner (wątpliwy skaner).

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Uruchom SystemLook i do okna wklej:

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s

Klik w Look.

.

Link poprawiony (tak, kopiowałam z PDF). Temat zamykam.

Jak mówiłam:

Jeśli nadal będzie problem, załóż temat w dziale Sieci stosując się do zasad tego działu: KLIK. Umieść tam link do tutejszego tematu, by było wiadome co jest w raportach OTL i że infekcja wyleczona.

Tu temat na poziomie infekcji i adware rozwiązany. Zamykam.


.

Podaj skan dodatkowy. Uruchom SystemLook i w oknie wklej:

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts /s

Klik w Look.

.

a tak z innej beczki, gdzie znajdę dobry aktywator windows 7?

Na forum są zabronione dywagacje na ten temat. To piractwo.

.

Czy Ty skryptu nie użyłeś aby dwa razy? Wszystkie odczyty "not found". Skrypt jest jednorazowy. Pomijając to, zadania wyglądają na ukończone i finalizacja. Powtórz te kroki:

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

.

Pchelka12

1. Do deinstalacji jest więcej pozycji niż podane wyżej, jeszcze: Complitly, Delta Chrome Toolbar, IB Updater Service, Update Manager for SweetPacks 1.1.

2. Przed użyciem AdwCleaner w naturalny sposób wyczyść przeglądarki (to co robi AdwCleaner NIE jest normalne tylko na chama):

- Google Chrome: wejdź do Rozszerzeń i odinstaluj wszystko co się powtarza z w/w listy.

- Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox..

3. Dopiero teraz AdwCleaner.

4. Prócz nowego skanu OTL, dodaj log który utworzy AdwCleaner oraz skan dodatkowy (Certified Toolbar tworzy więcej ingerencji niż widać w OTL i niż może to wyczyścić AdwCleaner).

- Uruchom SystemLook i do okna wklej:

:regfind
certified
protected search
 
:filefind
*certified*
protectedsearch*
protected search*

Klik w Look.

- Dodaj też log z Autoruns (format zapisu: TXT), gdyż Protected Search może tworzyć zadanie w harmonogranie (OTL nie skanuje nowej struktury Harmonogramu systemów Vista i w górę).

Temat przenoszę. Czyszczenie z adware w dziale do tego stosownym. Jeśli głównym problemem jest zaśmiecenie, raport do moderatora o przeniesienie. Nie róbmy z działu Windows działu innego rodzaju. Jeśli tu czyszczę adware, jest to proces podrzędny, zwykle chowany w spoilerze.

.

Brak oznak infekcji, a "unknown MBR code" w GMER o niczym nie świadczy (komputer OEM Lenovo = niestandardowe definicje MBR).

1. Kosmetyczna uwaga, w Autoruns w karcie Logon usuń wpuste wpisy:

O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files (x86)\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O4 - HKU\S-1-5-21-965633565-1557341468-2629926687-1000..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-965633565-1557341468-2629926687-1000..\Run: [ChomikBox] C:\Program Files (x86)\ChomikBox\ChomikBox.exe File not found

2. W GMER jest taki odczyt z plikiem Windows Search:

---- User code sections - GMER 2.1 ----
 
?       C:\Windows\system32\mssprxy.dll [760] entry point in ".rdata" section

Na wszelki wypadek sprawdź poprawność plików za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

mam kilka stron w necie... chrome blokuje mi je a ffox nie... u na 2 kompie u mnie w domu tez blokuje ale juz u znajomego w innym miescie wszystko smiga dlobrze.

Temat przenoszę do działu Sieci, dostosuj się do zasad działu: KLIK. I proponuję od razu sprawdzić czy to nie jest sprawka PC Tools Firewall Plus 7.0 (edycja zresztą jakaś nieświeża z początku 2011, a firewall nie jest już rozwijany). Ale mówisz, że chodzi o dwa kompy = czy na drugim też ta zapora siedzi?

.

Koncepcja infekcji upada. Brak jakichkolwiek jej oznak.

1. Są tylko minimalne ślady adware, ale to nie ma nic wspólnego z opisywanymi objawami. Skoryguj te drobnostki (instrukcje w spoilerze].

:Files
C:\Windows\SysWow64\searchplugins
C:\Windows\SysWow64\Extensions
C:\Users\Gaming Station\AppData\Roaming\Babylon
C:\ProgramData\Babylon
C:\ProgramData\Tarma Installer
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
 
:Commands
[emptytemp]

========== Chrome  ==========
 
CHR - homepage: "http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=54ff9c94000000000000485b39a409d2"
CHR - homepage: "http://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=54ff9c94000000000000485b39a409d2"

3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

f:\download\Compfix19836412451gggh.exe /uninstall

Po tym w OTL uruchom Sprzątanie.

4. W ComboFix był odczyt (notabene: to nie jest dowodem infekcji, ComboFix to nie jest skaner precyzyjny i uszkodzenie pliku lub jego modyfikacje z innych przyczyn to też "zainfekowana kopia"):

-- Poprzednie uruchomienie --
.
Zainfekowana kopia c:\windows\System32\reg.exe została znaleziona. Problem naprawiono 
Plik odzyskano z - c:\windows\winsxs\amd64_microsoft-windows-r..-commandline-editor_31bf3856ad364e35_6.1.7600.16385_none_8d8925a444607f8c\reg.exe 

Sprawdź poprawność plików systemowych za pomocą komendy sfc /scannow. Jeśli komenda zwróci komunikat o "naruszeniu integralności", za pomocą kolejnej przefiltruj wyniki do znaczników [sR] i przedstaw log wynikowy. Instrukcje: KLIK.

Warto dodać, że pojawił się BSOD informujący o krytycznej zmianie w systemie lub ingerencji w pliki.

Diagnostyka BSOD, punkt 5: KLIK.

Avast działa.

Skoro Avast działa, to co z pierwszego posta jest nadal aktualne?

.

Nie była to celowa instalacja tylko przypadkowa (wczoraj), ale odinstalowałem to od razu po zainstalowaniu. Teraz nie widzę nigdzie na dysku deinstalatora.

Skoro log z OTL jest już po tej próbie, to doczyść:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-3516774838-738087347-2439648856-1000..\Run: [ChicaPasswordManager] "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned File not found
O2:64bit: - BHO: (Java™ Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found
 
:Files
C:\Users\abuser\Documents\Chica Passwords
C:\Program Files (x86)\ChicaLogic

Klik w Wykonaj skrypt.

2. Do oceny przedstaw tylko log z wynikami przetwarzania skryptu, nowy skan OTL nie jest potrzebny. Log krótki, więc wklej wprost w poście.

30 min temu włączyłem komputer i pojawił się znowu problem z internetem. wifi połączony jest z routerem lecz na przemian mam internet i go nie mam, pokazuje mi się "brak dostępu do internetu".

Tu niestety problemem może być avast! Pro Antivirus. Mocna ingerencja w te sfery. Sprawdź jak się zachowuje sieć po całkowitej deinstalacji (tylko to gwarantuje zniesienie wszystkich aktywności). Jeśli nadal będzie problem, załóż temat w dziale Sieci stosując się do zasad tego działu: KLIK. Umieść tam link do tutejszego tematu, by było wiadome co jest w raportach OTL i że infekcja wyleczona.

.

Po stronie systemu:

Nie widzę oznak czynnej infekcji. Doczyść sobie tylko szczątki infekcji Weelsof (fałszywy plik lsass.exe + dsgsdgdsgdsgw.pad), adware i wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Piotrek\AppData\Roaming\Babylon
C:\Users\Piotrek\AppData\Local\setup.exe
C:\Users\Piotrek\AppData\Local\promo.exe
 
:OTL
IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=119998&babsrc=SP_ss&mntrId=b4fcf6d60000000000000019d1901c7c"
IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000\..\SearchScopes\{60B8D6F4-CD6D-4559-B38D-166F2EE59930}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=CE42E28B-BDA9-4B83-B806-54DDF6DEE867&apn_sauid=D144DF67-1B81-42BE-B5F3-663B2EAB768A"
IE - HKU\S-1-5-21-1931743945-3691308913-3571775229-1001\..\SearchScopes\{60B8D6F4-CD6D-4559-B38D-166F2EE59930}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=CE42E28B-BDA9-4B83-B806-54DDF6DEE867&apn_sauid=D144DF67-1B81-42BE-B5F3-663B2EAB768A"
O4 - HKU\S-1-5-21-1931743945-3691308913-3571775229-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-1931743945-3691308913-3571775229-1001..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe" File not found
 
:Reg
[HKEY_USERS\S-1-5-21-1931743945-3691308913-3571775229-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie zastosuj Sprzątanie.

Strony:

Te dwa projekty znajdują się na 2 różnych hostingach, łączy je tylko mój komputer.

(...)

Do przesyłania plików na host’a wyżywałem TOTAL COMMANDERA: połączeniem zwykłym ftp ! Przyznaję sięteż bez bicia że miałem zapamiętane hasła w programie. Aktualnie zmieniłem program na WinSCP.

Trudno tu wykonać "inżynierię wsteczną" źródła infekcji, mało danych. Tu masz ogólny dokument PDF opisujący metodologię infekcji iframe: KLIK. Zwróć też uwagę na końcowy fragment:

"Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC!

Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol.

Source: KLIK."

+

Cytat z linka:

"As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world."

Problemem może być więc sieć, w której działa Twój komputer, a nie Twój komputer per se. Ale to spekulacje.

.

Nie dodałeś obowiązkowych raportów z OTL.

Logi z OTL źle zrobione, ustawione opcje Wszystko, a ma być Użyj filtrowania. Konfiguracja: KLIK. Raporty od nowa zrób.

Jest to system 64 bitowy jak można zauważyć w logach, dlatego loga z GMER'a nie załączam.

A tu niespodzianka, GMER jest już natywnie kompatybilny z x64: KLIK.

Zakładam temat ponieważ zauważyłem że od czasu do czasu na moim komputerze pojawiają się BSOD'y.

Punkt 5 w ogłoszeniu: KLIK.

Teraz muszę to wszystko uprzątnąć, wydaje mi się że wirusy też pościągał bo ratowałem się LiveCD od Kaspersky i Kilka Wirusów wykrył właśnie w tych plikach. Pliki zostały natychmiastowo usunięte

Ale jakie to były wirusy (nazwy zagrożeń i konkretne ścieżki dostępu)?

.

W kwestii czyszczenia po adware drobne korekty i końcówka:

1. Korekta domyślnych wyszukiwarek IE (AdwCleaner je zeruje). Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

3. Wyczyść foldery Przywracania systemu: KLIK.

Niestety nadal nie da się normalnie pracować, sprawdzę, czy nie jest to przyczyna sprzętowa (skan dysku MHDD).

Tak jak mówi Belfegor, nasuwa się McAfee.

W międzyczasie pojawił się taki komunikat

"System Windows nie może połączyć z usługą Usługa powiadomienia o zdarzeniach systemowych. Uniemożliwia to logowanie się do systemu zwykłym użytkownikom." = czy ten komunikat powtarza się stale przy starcie? Jeśli tak:

- to ten McAfee też tu może być przyczyną

- wypróbuj też reset Winsock: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep netsh winsock reset > zresetuj system.

.

W raportach brak oznak infekcji. Temat przenoszę do działu Sieci. Zasady tego działu: KLIK.

.

Jaki jest powód zakładania tematu w dziale infekcji? Przenoszę do działu Windows 7. Mamy tu ten sam system co w temacie: KLIK. System nadal nie zaktualizowany do końca, brak SP1:

Home Basic Edition  (Version = 6.1.7600) - Type = NTWorkstation

Co do BSOD, widzę ślady instalacji sterowników nVidia. Coś jeszcze było robione?

Pliki pomagające opisać problem:
  C:\Windows\Minidump\022313-18704-01.dmp

Diagnostyka BSOD, do wdrożenia punkt 5 z instrukcji (debug plików DMP): KLIK.

.

Nadal widzę w starcie Chica Password Manager. Czy to celowa instalacja (wg raportu to jedna ze świeżych instalacji w tym samym czasie co Yontoo)? Czy jest gdzieś deinstalor tej aplikacji?

W tytule jest "Wirus Javy" = w czym (dokładna ścieżka dostępu), co to pokazało.

Poza tym, posługujesz się archaicznym OTL 3.2.17.3, pozbawionym wielu nowych skanów i poprawek. Pobierz najnowszą wersję, skonfiguruj wg wytycznych i podaj nowe raporty: KLIK.

.

Siedzi tu rootkit Necurs, którego jedna z ról to blokada oprogramowania zabezpieczającego.

1. Uruchom ESET Necurs Remover. Zresetuj system.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
SRV - [2013-01-24 20:33:09 | 000,057,344 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\Kozakiewicz\Ustawienia lokalne\temp\DAT1318.tmp.exe -- (jmsmxofeftaqfvj)
SRV - [2013-01-24 20:33:01 | 000,061,440 | ---- | M] () [Auto | Running] -- C:\WINDOWS\Installer\{A9A1DCF2-B263-0A66-5B7C-844D3B4A108B}\syshost.exe -- (syshost32)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tifm21.sys -- (tifm21)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\KOZAKI~1\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\t -- (aksusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\akshhl.sys -- (akshhl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\akshasp.sys -- (akshasp)
O3 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O4 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006..\Run: [AML] C:\Documents and Settings\All Users\Dane aplikacji\c0a378\AMc0a_2121.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3859823971-3261552694-948437020-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab" (Reg Error: Key error.)
 
:Files
C:\WINDOWS\System32\drivers\qstr.sys
C:\WINDOWS\Installer\{A9A1DCF2-B263-0A66-5B7C-844D3B4A108B}
C:\Documents and Settings\All Users\Dane aplikacji\c0a378
c:\Documents and Settings\Kozakiewicz\Ustawienia lokalne\temp
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Odinstaluj stare Ad-Aware.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz log z GMER, ale po usunięciu DAEMON Tools i okropnie archaicznych jego sterowników:

DRV - [2003-12-27 20:42:12 | 000,137,216 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d344bus.sys -- (d344bus)
DRV - [2003-12-27 02:38:10 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d344prt.sys -- (d344prt)

Dołącz log z usuwania OTL powstały w punkcie 2.

.

Zasady działu diagnostyki infekcji: KLIK. Obowiązkowe logi GMER + OTL.

.

Na temat używania ComboFix: KLIK. Log z GMER zrobiony w złych warunkach, nie zdjąłeś emulatora SPTD (KLIK).

DRV - [2010-05-27 17:55:32 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

"aplikacja lub biblioteka DLL c:\program files\commonFiles\commonfiles\AVG secure search\siteSafetyInstaller\14.1.7\siteSafety.dll nie jets poprawnym obrazem systemu nt . vprot.exe- zly obraz

Uszkodzony plik paska AVG.

Do deinstalacji jest więcej. I należy to zrobić przed użyciem AdwCleaner, który nie prowadzi normalnego procesu deinstalacji, po tym mogą zostać martwe wpisy nie do odinstalowania / usunięcia.

1. Przez Dodaj/Usuń programy odinstaluj: Ask Toolbar, Auslogics Toolbar Updater, AVG Security Toolbar, MediaBar, Claro Chrome Toolbar, Claro LTD toolbar, Internet Explorer Toolbar 4.6 by SweetPacks, MaintenanceService-Funmoods, MediaBar, Softonic-Polska Toolbar, SweetIM for Messenger 3.7, Update Manager for SweetPacks 1.0.

2. Google Chrome: W Rozszerzeniach odinstaluj Auslogics Toolbar, Babylon Translator, Claro Toolbar, Funmoods, IBA Opt-out, Settings Protector, SweetIM for Facebook.

3. Firefox: wyczyść przez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie narusza zakładek i haseł.

4. Dopiero teraz AdwCleaner i Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. Dodatkowo, w ComboFix jest plik systemu oznaczony jako niespełniający warunków domyślnych:

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2009-10-06 . C8BDAD4065118558B3DC360FC96D81DB . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

Uruchom SystemLook i w oknie wklej:

:filefind
sfcfiles.dll

Klik w Look.

.

Hmmm, uprawnienia tak jak u mnie. Podaj mi jeszcze jak lista uprawnień jest widzialna z poziomu konta SYSTEM (a nie administratora, z którego pobrano dane).

Uprzednio zrobiony plik LISTA.BAT umieść wprost na C:\. Uruchom linię komend na uprawnieniu konta SYSTEM. Tzn. w Process Hacker (wersja x64) menu Hacker > Run As > w polu Program wskaż C:\Windows\system32\cmd.exe, w polu User Name NT AUTHORITY\SYSTEM. Zastartuje linia komend, w której polecenie C:\LISTA.BAT i ENTER. Podaj wynikowy C:\log.txt.

.

To odinstaluj + po deinstalacji upewnij się, że zniknęły z dysku te foldery:

C:\Users\User\AppData\Roaming\0M1P1Q1L1TtG0C1C1T2W1I1P1C

C:\Program Files (x86)\Media Crawler

.

Masz taką pozycję na liście zainstalowanych programów, co to za aplikacja?

========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3759259033-2518468386-1498446779-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Media Crawler Packages" = Media Crawler Packages

.