picasso

Jesteś tu zbyt szybko ponownie. Te dwa tematy łączę razem. Skrót uruchomieniowy infekcji czymś już został skasowany, na dysku są za to inne pliki infekcji. Poza tym, jest tu adware v9. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Władek\wgsdgsdgdsgsd.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny. 2. Przez Panel sterowania odinstaluj adware vShare.tv plugin 1.3. Tak, to ta wtyczka video. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Konto nieadministracyjne, czyli może być problem z wykonaniem określonych operacji. Nie zadaję do usuwania np. martwego sterownika Symantec, bo to nie przejdzie na koncie bez uprawnień. A niektóre wpisy w stanie "not found" to nie jest rzeczywiste "not found", tylko konto ma limitowaną widoczność. 1. Wejdź w Tryb awaryjny. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Swistak\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\1072d!.pad :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Blokada powinna zniknąć. 2. Z powrotem przejdź w Tryb normalny. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Logi są zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika: Computer Name: ADMIN | User Name: Administrator | Logged in as Administrator. Konto to nie było nawet czynne przed akcją (widać świeży zrzut katalogu na dysk). Konta mają inne foldery i rejestry. Jeśli infekcja działa po stronie konkretnego konta, nie jest widziana z poziomu innego. I tak tu jest. Startuj do Trybu awaryjnego, loguj się na właściwe konto, zrób nowe logi z OTL i podmień załączniki w pierwszym poście. Stosowałeś też ComboFix i na ten temat: KLIK.

Jeśli masz na myśli, by przywrócić poprzednie kopie usunięte przez wyłączenie funkcji, to proces wyłączenia jest nieodwracalny. Funkcję można conajwyżej włączyć ponownie, ale poprzednie kopie to przeszłość. .

Przejdź w Tryb awaryjny (logując się na właściwe konto użytkownika na którym ujawniła się infekcja). W Trybie awaryjnym infekcja System Progressive Protection jest nieczynna i będzie możliwe zrobienie raportów.

Log potwierdza zamianę. Przez SHIFT+DEL skasuj folder FRST z dysku z Windows. Wygląda na to, że skończyliśmy. Udało mi się wyrobić, bo już z walizką prawie jestem w drzwiach. Temat rozwiązany, zamykam. Wesołych Świąt! .

Co do problemu zasadniczego z "zamulaniem": 1. Ogranicz liczbę programów zabezpieczających. Pozbądź się Spybot - Search & Destroy 2, program mało użyteczny, oraz IObit Malware Fighter. Kolejny podejrzany na widoku to AVG. W Dzienniku zdarzeń zresztą błędy komponentów AVG: Error - 2012-12-20 05:11:01 | Computer Name = Wiktor-TOSH | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: Avgldx64 Error - 2012-12-20 10:14:00 | Computer Name = Wiktor-TOSH | Source = Service Control Manager | ID = 7024 Description = Usługa AVGIDSAgent zakończyła działanie; wystąpił specyficzny dla niej błąd %%-536753637. Error - 2012-12-20 10:14:03 | Computer Name = Wiktor-TOSH | Source = Service Control Manager | ID = 7024 Description = Usługa AVG WatchDog zakończyła działanie; wystąpił specyficzny dla niej błąd %%-536805315. Error - 2012-12-20 10:14:19 | Computer Name = Wiktor-TOSH | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: Avgldx64 2. Była tu infekcja tego rodzaju: KLIK. Jest bowiem w starcie ten wpis Java (ale nie widzę na dysku nigdzie dopasowanego pliku *.jar): O4 - HKU\S-1-5-21-246005965-2297949450-4126875699-1001..\Run: [Oracle Java] C:\Windows\SysWow64\javaw.exe (Sun Microsystems, Inc.) Uruchom Autoruns i w karcie Logon skasuj wpis Oracle Java. Przy okazji od razu możesz wyłączyć zbędne wpisy Toshiba. Poboczne rzeczy. W ramach kosmetyki po adware i poprawek po ewidentnie używanym tu AdwCleaner wykonaj działania ze spoilera. Na temat ComboFix: KLIK. Uruchomienie całkowicie bezcelowe. Widzę, że szalałeś, mnóstwo razy: Czas ukończenia: 2012-12-19 20:37:59ComboFix-quarantined-files.txt 2012-12-19 19:37 ComboFix2.txt 2012-12-19 19:24 ComboFix3.txt 2012-11-28 23:23 ComboFix4.txt 2012-04-13 18:03 ComboFix5.txt 2012-12-19 19:26 I teraz go odinstaluj w prawidłowy sposób. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\Wiktor\Desktop\ComboFix.exe /uninstall .

Kolejne pliki wykazują ten sam typ uszkodzeń: C:\Windows\SysWOW64\inetcpl.cpl[2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346 C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl [2012-12-13 18:32] - [2012-11-14 02:58] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346 C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl [2012-12-13 18:32] - [2012-11-14 02:33] - 1427968 ____A () 57711120600EE484CE7B1AFEC6E15346 C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl [2012-12-13 18:32] - [2012-11-14 04:59] - 1494528 ____A () 2CE9B5379279DB37CEE6C216735F39AD C:\Windows\SysWOW64\jsproxy.dll [2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69 C:\Windows\System32\jsproxy.dll [2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158 C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll [2012-12-13 18:32] - [2012-11-14 02:51] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69 C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll [2012-12-13 18:32] - [2012-11-14 02:31] - 0065024 ____A () B1B53B2DDCA5481A9D0F8DD7FCECDF69 C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll [2012-12-13 18:32] - [2012-11-14 06:59] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158 C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll [2012-12-13 18:32] - [2012-11-14 04:57] - 0085504 ____A () DAD99C6E12B4EAF34E55DF991CE5F158 C:\Windows\SysWOW64\url.dll [2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll [2012-12-13 18:32] - [2012-11-14 02:32] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll [2012-12-13 18:32] - [2012-11-14 02:55] - 0231936 ____A () 1752C7911C8D04385737B333B6372EBE C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll [2012-12-13 18:32] - [2012-11-14 04:59] - 0237056 ____A () 625E3E643559D386D809FC1F29B94496 Runda poprawkowa: 1. Kolejna paczka: KLIK. Jak poprzednio D:\Pliki. 2. Skrypt do FRST uruchomiony w ten sam sposób: CMD: copy /y C:\Pliki\x64\20565\inetcpl.cpl C:\Windows\winsxs\amd64_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_043a42953db6c80c\inetcpl.cpl CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\System32\jsproxy.dll CMD: copy /y C:\Pliki\x64\16457\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\jsproxy.dll CMD: copy /y C:\Pliki\x64\20565\jsproxy.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\jsproxy.dll CMD: copy /y C:\Pliki\x64\20565\url.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_652b6dcb49a89825\url.dll CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\SysWOW64\inetcpl.cpl CMD: copy /y C:\Pliki\x86\16457\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.16457_none_a79edac66c31cdc9\inetcpl.cpl CMD: copy /y C:\Pliki\x86\20565\inetcpl.cpl C:\Windows\winsxs\x86_microsoft-windows-i..nternetcontrolpanel_31bf3856ad364e35_9.4.8112.20565_none_a81ba711855956d6\inetcpl.cpl CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\SysWOW64\jsproxy.dll CMD: copy /y C:\Pliki\x86\16457\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\jsproxy.dll CMD: copy /y C:\Pliki\x86\20565\jsproxy.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\jsproxy.dll CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\SysWOW64\url.dll CMD: copy /y C:\Pliki\x86\16457\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.16457_none_089005fc78239de2\url.dll CMD: copy /y C:\Pliki\x86\20565\url.dll C:\Windows\winsxs\x86_microsoft-windows-ie-winsockautodialstub_31bf3856ad364e35_9.4.8112.20565_none_090cd247914b26ef\url.dll Jeśli zadania się wykonają, myślę że to koniec zmagań i temat rozwiązany. W dalszej kolejności zrób zapasowy punkt Przywracania systemu, a następnie zapuść wyszukiwanie + instalację aktualizacji. Poprzednio mieszał użytkownik doprowadzając do uszkodzenia plików na dysku: .

W raportach brak jakichkolwiek oznak infekcji. Jest tylko drobne nie powiązane w ogóle z problemem adware gry Toolbar. Odinstaluj. Następnie popraw narzędziem AdwCleaner (opcja Delete). Dla świętego spokoju jeszcze sprawdź co widzi Kaspersky TDSSKiller. Chodzi o wyniki inne niż "Unsigned" (brak podpisu cyfrowego). Jeśli on nic się nie dopatrzy, teorię infekcji można położyć pod tory. Nie możesz sobie też pozwolić, by zabezpieczenie generowało BSOD, bo takie zabezpieczenie o kant. Zabezpieczenie jest problematyczne = usuwa się je i szuka innej jego wersji lub zupełnie innego programu. Masz ewidentny błąd sterownika SandBox Avast: DRV:64bit: - [2012-10-30 23:51:55 | 000,984,144 | ---- | M] (AVAST Software) [File_System | System | Running] -- C:\Windows\SysNative\drivers\aswSnx.sys -- (aswSnx) Eliminacja błędu = eliminacja sterownika = eliminacja Avast. Nie dywaguj nad prostą rzeczą. To nie pierwszy przypadek z Avastem, że wersja sterownika może być problematyczna (KLIK / KLIK). Dodatkowo, w Dzienniku zdarzeń sypie także błędami modułu Avast WebRep: Error - 2012-12-20 12:18:19 | Computer Name = Admin-Komputer | Source = Application Error | ID = 1000Description = Nazwa aplikacji powodującej błąd: iexplore.exe, wersja: 9.0.8112.16457, sygnatura czasowa: 0x50a2f9e3 Nazwa modułu powodującego błąd: aswWebRepIE.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x50905939 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x6aa16bb8 Identyfikator procesu powodującego błąd: 0xa80 Godzina uruchomienia aplikacji powodującej błąd: 0x01cddecd959db37c Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Internet Explorer\iexplore.exe Ścieżka modułu powodującego błąd: aswWebRepIE.dll Identyfikator raportu: dd4925a3-4ac0-11e2-b4c6-50e54935ddba Czyli: w pierwszej kolejności deinstalacja Avast w normalny sposób, następnie w Trybie awaryjnym popraw narzędziem Avast Uninstall Utility podanym już wcześniej. .

Ale błąd wskazuje, że ten plik nie był obecny w system32... Czy na pewno pliki są skopiowane, a komendę rejestracji uruchamiasz już po skopiowaniu?

Uszkodzone są komponenty Internet Explorer w wersjach 9.4.8112.16457 + 9.4.8112.20565 i to wszystkie wystąpienia, dlatego SFC pada (nie ma plików w repozytorium do zamiany): [codeplain]C:\Windows\System32\iertutil.dll [2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3 C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll [2012-12-13 18:32] - [2012-11-14 06:55] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3 C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll [2012-12-13 18:32] - [2012-11-14 04:54] - 2144768 ____A () 2D2544D611F95DD207D4A448E0DFDDE3 C:\Windows\SysWOW64\iertutil.dll [2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll [2012-12-13 18:32] - [2012-11-14 02:46] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll [2012-12-13 18:32] - [2012-11-14 02:27] - 1793024 ____A () F07A4C41F67A9B3C1A974589E4E399AF C:\Windows\System32\urlmon.dll [2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll [2012-12-13 18:32] - [2012-11-14 07:04] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll [2012-12-13 18:32] - [2012-11-14 05:01] - 1346048 ____A () 49FB6E73B5885B75F931B36E80A62FCA C:\Windows\SysWOW64\urlmon.dll [2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823 C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll [2012-12-13 18:32] - [2012-11-14 02:57] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823 C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll [2012-12-13 18:32] - [2012-11-14 02:34] - 1103872 ____A () 917F61FBA469FE1A503AC3F1855DF823 C:\Windows\System32\wininet.dll [2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944 C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll [2012-12-13 18:32] - [2012-11-14 07:04] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944 C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll [2012-12-13 18:32] - [2012-11-14 05:01] - 1392128 ____A () 7F32BD14780EDE8C2AD683C9D0B1D944 C:\Windows\SysWOW64\wininet.dll [2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61 C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll [2012-12-13 18:32] - [2012-11-14 02:57] - 1129472 ____A () CF298A81001AF1FEAF36AD9E8E9BAB61 C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll [2012-12-13 18:32] - [2012-11-14 02:33] - 1129472 ____A () BAF0E76D30D3A0E7BE5508D36F95A89E[/codeplain] Dla porównania układ z mojego systemu x64 i ten będę wzorować: 1. Przesyłam paczkę plików: KLIK. Jest ona rozparcelowana wedle bitów i wersji komponentów. Nie zmieniaj tego układu, bo to do skryptu idzie. Folder z tej paczki z poziomu WinRE wstaw wprost na dysk z Windows, czyli D:\. Ma być dostępna spod WinRE ścieżka D:\Pliki z układem jaki tam zaplanowałam. 2. Skrypt zamieniający pliki. Skrypt ma ścieżki C, bo FRST przemontowuje litery. Do Notatnika wklej: CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\System32\iertutil.dll CMD: copy /y C:\Pliki\x64\16457\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_bc277a935f3adecb\iertutil.dll CMD: copy /y C:\Pliki\x64\20565\iertutil.dll C:\Windows\winsxs\amd64_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_bca446de786267d8\iertutil.dll CMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\System32\urlmon.dll CMD: copy /y C:\Pliki\x64\16457\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_2966e815a98099db\urlmon.dll CMD: copy /y C:\Pliki\x64\20565\urlmon.dll C:\Windows\winsxs\amd64_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_29e3b460c2a822e8\urlmon.dll CMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\System32\wininet.dll CMD: copy /y C:\Pliki\x64\16457\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_766cc3b77489c06e\wininet.dll CMD: copy /y C:\Pliki\x64\20565\wininet.dll C:\Windows\winsxs\amd64_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_76e990028db1497b\wininet.dll CMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\SysWOW64\iertutil.dll CMD: copy /y C:\Pliki\x86\16457\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.16457_none_6008df0fa6dd6d95\iertutil.dll CMD: copy /y C:\Pliki\x86\20565\iertutil.dll C:\Windows\winsxs\x86_microsoft-windows-ie-runtimeutilities_31bf3856ad364e35_9.4.8112.20565_none_6085ab5ac004f6a2\iertutil.dll CMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\SysWOW64\urlmon.dll CMD: copy /y C:\Pliki\x86\16457\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.16457_none_cd484c91f12328a5\urlmon.dll CMD: copy /y C:\Pliki\x86\20565\urlmon.dll C:\Windows\winsxs\x86_microsoft-windows-i..ersandsecurityzones_31bf3856ad364e35_9.4.8112.20565_none_cdc518dd0a4ab1b2\urlmon.dll CMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\SysWOW64\wininet.dll CMD: copy /y C:\Pliki\x86\16457\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.16457_none_1a4e2833bc2c4f38\wininet.dll CMD: copy /y C:\Pliki\x86\20565\wininet.dll C:\Windows\winsxs\x86_microsoft-windows-i..tocolimplementation_31bf3856ad364e35_9.4.8112.20565_none_1acaf47ed553d845\wininet.dll Plik zapisz pod nazwą fixlist.txt. Umieść obok narzędzia FRST. 3. Uruchom FRST i w narzędziu wybierz opcję Fix. Zostanie przetworzony skrypt i powstanie log fixlog.txt. Zaprezentuj go. Jeśli wszystko się wykona w skrypcie, start systemu powinien zostać odblokowany. 4. Pozostaje sprawa innych uszkodzonych plików, spoza KnownDLLs, bo wg głównego loga FRST jeszcze te pliki zostały zmodyfikowane: [codeplain]2012-12-13 18:32 - 2012-11-14 06:59 - 00085504 ____A C:\Windows\System32\jsproxy.dll 2012-12-13 18:32 - 2012-11-14 02:58 - 01427968 ____A C:\Windows\SysWOW64\inetcpl.cpl 2012-12-13 18:32 - 2012-11-14 02:55 - 00231936 ____A C:\Windows\SysWOW64\url.dll 2012-12-13 18:32 - 2012-11-14 02:51 - 00065024 ____A C:\Windows\SysWOW64\jsproxy.dll[/codeplain] Dodaj szukanie na warunek: jsproxy.dll;inetcpl.cpl;url.dll .

Tak, to wszystko. Dziękuję za życzenia. I wzajemnie. Temat rozwiązany. Zamykam. .

Nad OTL jeszcze pomyślę, ale nie obiecuję żadnych rezultatów, a nie będzie mnie przez następne dwa tygodnie. Kurcze, jakoś tego nie doczytałam... Czyli zadania ze sprawdzaniem transferu dysku były już nieaktualne. Ale jak mówię: to prawie na 100% był wynik uruchamiania GMER i degradacja transferu dysku. Jest tu dużo przykładów na forum takiego efektu. Wesołych świąt! .

Czyli sterowniki. Opuść je, bo jak mówiłam aktualizacje sterowników raczej ze strony producenta sprzętu a nie od Microsoftu. Sterowniki się różnią, te od Microsoftu to wersje podstawowe okrojone. .

A jaki błąd był zwracany dla pozostałych?

Kemordw Zasady działu i wymogi: https://www.fixitpc.pl/topic/155-zakladanie-tematu-jakie-informacje-podawac/ https://www.fixitpc.pl/topic/6493-filmy-instruktazowe-obowiazkowe-logi-dzialu-hardware-inne/ Topik pokrewny: https://www.fixitpc.pl/topic/14956-sterownik-ekranu-amdkmdap-przestal-odpowiadac-ale-odzyskal-sprawnosc/ Wyciągnij wnioski, dostarcz dane. .

Zależy co jest w opcjonalnych. Np. jeśli sterowniki sprzętowe, to opuść, bo źródłem dla sterowników raczej strona producenta sprzętu niż Windows Update. Sterowniki MS są podstawowe.

W systemie jest infekcja System Progressive Protection. Poza tym, adware też strasznie zaśmieciło system. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://searchfunmoods.com/?f=1&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutDtD0EtDyDtB0ByCzz0A0B0D0FzyzytBtN0D0Tzu0CtAyEzztN1L2XzutBtFtBtFtCtFyEtDyB&cr=1618201955" IE:64bit: - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&ir=iron2&cd=2XzuyEtN2Y1L1QzutDtD0EtDyDtB0ByCzz0A0B0D0FzyzytBtN0D0Tzu0CtAyEzztN1L2XzutBtFtBtFtCtFyEtDyB&cr=1618201955" IE - HKLM\..\SearchScopes\{34A7A37F-1F1F-E278-B667-768B6E94ACD3}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKLM\..\SearchScopes\{F63C586C-20D0-4036-A027-A806707B3CC8}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=7f84d67d-2374-11e1-8ab4-faf99a404a8f&q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=64D4D34F-61C4-4282-8617-6FBA58E04954&apn_sauid=FCED4A36-8145-4F5B-9DEB-00D591AB32B5" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{34A7A37F-1F1F-E278-B667-768B6E94ACD3}: "URL" = "http://search.certified-toolbar.com?si=41460&bs=true&tid=2937&q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/cheatengine/{7E7D0F2C-F8EB-4388-90C1-E3185F2EE947}?q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{A245A75F-1FA0-4AAB-99EA-AC25908E1044}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100888&babsrc=SP_ss&mntrId=f6daf99200000000000000e052b68abd" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=7f84d67d-2374-11e1-8ab4-faf99a404a8f&q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000\..\SearchScopes\{F63C586C-20D0-4036-A027-A806707B3CC8}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112061&tt=2912_6&babsrc=SP_ss&mntrId=f6daf99200000000000000e052b68abd" IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\InprocServer32 File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ShopperReports@ShopperReports.com: C:\Program Files (x86)\ShopperReports3\bin\3.2.7.0\firefox\firefoxtoolbar\extensions [2011-09-30 17:52:22 | 000,000,000 | ---D | M] O2 - BHO: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll File not found O3 - HKLM\..\Toolbar: (uTorrentBar Toolbar) - {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - C:\Program Files (x86)\uTorrentBar\tbuTor.dll File not found O4 - HKU\S-1-5-21-1817071798-2848442691-1526699400-1000..\RunOnce: [F6E2F948F010F9920000F6E2026CFFA4] C:\ProgramData\F6E2F948F010F9920000F6E2026CFFA4\F6E2F948F010F9920000F6E2026CFFA4.exe () :Files C:\ProgramData\F6E2F948F010F9920000F6E2026CFFA4 C:\Users\Patryk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\Users\Patryk\Desktop\System Progressive Protection.lnk C:\Users\Patryk\AppData\Roaming\OpenCandy C:\Users\Patryk\AppData\Local\funmoods-speeddial_sf.crx C:\Users\Patryk\AppData\Local\funmoods.crx C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\Web Search.xml C:\end :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Default_Search_URL"=- "Search Bar"=- "Search Page"=- "Start Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Search_URL"=- "Search Bar"=- "Search Page"=- "Start Default_Page_URL"=- "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny, kolejne działania muszą już być z poziomu Trybu normalnego prowadzone. 2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon toolbar on IE, BabylonObjectInstaller, BrowserCompanion, CheatEngine DB Toolbar Toolbar, Conduit Engine, DAEMON Tools Toolbar, DealPly, DownTango, DownTango Launcher 2.1, Funmoods, Giant Savings, LiveVDO plugin 1.3, MobileScoop Toolbar, Protected Search 1.1, Przyspiesz Komputer, ShopperReports, vShare.tv plugin 1.3. 3. Google Chrome: wejdź do ustawień i w Rozszerzeniach odinstaluj Babylon Toolbar, Browser Companion Helper, DealPly, DownTango Launcher, Giant Savings, LiveVDO plugin, vshare plugin. 4. Firefox: wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Uruchom Junkware Removal Tool. Na Pulpicie powstanie log z usuwania. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi utworzone przez AdwCleaner i JRT. .

To posprawdzaj teraz ręcznie czy wszystkie pliki z D:\Pliki zostały skopiowane do D:\Windows\system32, a te brakujące ręcznie tam przenieś. Następnie: jeśli w grupie nieprzekopiowanych jest jakiś plik DLL, to po przekopiowaniu musisz ręcznie go zarejestrować komendą regsvr32 plik.dll. Szukałeś na nazwę pliku, ale bez rozszerzenia *.block? Ostatecznie możesz spróbować jeszcze programu do odzysku danych.

Filip7656 nie wiem w jaki sposób robiłeś szukanie w rejestrze, ale podejrzenie się sprawdziło: Właśnie trzeba. Miałeś przecież przenieść wszystko z J:\Program files do C:\Program files. Po zmianie głównej ścieżki Program files musisz dostosować wszystkie wystąpienia w rejestrze zamieniając na C... To dlatego mówiłam, że robota wydaje mi się "koszmarna". Takie przekierowanie ścieżek nie jest proste, w rozumieniu jednej edycji i już. Wszystko musisz dostosować... Jeszcze raz: czy przeniosłeś wszystko z J:\Program files do C:\Program files? Jeśli tak, to uruchom regedit i zacznij szukać ścieżkę J:\Program Files, a wszystkie znalezione wystąpienia edytuj zamieniając na C:\Program Files. .

Sprawdź czy plik netsh.exe się przekopiował do system32, a jeśli tak, to w linii komend wpisz przejście do katalogu cd D:\Windows\system32 i po tym komenda. Może trojan go usunął...

Dodatkowe narzędzie do zestawu: WinsockServicesView. Narzędzie adresuje wpisy Winsock NameSpace 32-bit i 64-bit. Umożliwia ich wyłączanie / włączanie ale nie usuwanie. Wsparcie dla Windows 8.

Spider, dla spokoju sumienia możesz to wypróbować, stosując kolejne programy do odzyskiwania danych. Ale szanse są bardzo marne, dysk był wielokrotnie nadpisywany.

Log z GMER zrobiony w zrobiony w złych warunkach, nie zdjąłeś emulatora napędów wirtualnych i sterownika SPTD (KLIK). Ale już to zostaw i rootkitów nie szukaj. Spróbuj: reset Windows Update w trybie agresywnym (KLIK) + instalacja łatki z dysku (KLIK). Nie tak miało to wyglądać. Takie narzędzie robią różne rzeczy w sterownikach i powinny być używane w Trybie awaryjnym. Z poziomu Trybu normalnego wcale nie wszystko musi się wykonać. Co do przeprowadzonych akcji, nie wypowiadasz się nic na temat skutków, czy są jakieś efekty pod kątem przyśpieszenia systemu. I poprawki: 1. Te sterowniki "not found" do usunięcia, a tylko je wyłączyłeś: DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ZTEusbvoice.sys -- (ZTEusbvoice)DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\mfpvbus.sys -- (WUSBVBus) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Program Files\WinFast\WFTVFM\WFIOCTL.SYS -- (WFIOCTL) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | Disabled | Stopped] -- C:\PROGRA~1\PRINTS~1\BIADMIN\PCANDIS5.SYS -- (PCANDIS5) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\massfilter.sys -- (massfilter) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\mfpcomp.sys -- (AliWGP) DRV - File not found [Kernel | Disabled | Stopped] -- System32\Drivers\mfpec.sys -- (ALIWEHCD) 2. Ominąłeś w Autoruns w karcie Logon wyłączenie tego: O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.) Dodatkowo, w karcie Services możesz wyłączyć to: SRV - [2012-09-24 23:12:59 | 000,161,768 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Program Files\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService) A w karcie Scheduled Tasks usunąć zadania RealPlayer. 3. Drobna poprawka na domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Klik w Wykonaj skrypt. .

O wersję systemu nie pytałam, bo ją już znam i to włącznie z poziomem Service Pack. Nnagłówek raportu OTL dostarcza te informacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18702) Ja tylko pytałam kiedy robiłeś logi, przed Przywracaniem systemu czy po. Skoro teraz wychodzi, że po, to wyjaśnia, że nie widać w starcie infekcji, bo Przywracanie systemu ją po prostu wyeliminowało stamtąd. I mogę przejść do czyszczenia systemu z odpadków: 1. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\MDK\Dane aplikacji\hellomoto C:\Documents and Settings\All Users\Dane aplikacji\529C53690000222C5EB2A6AE0CDF108C C:\Documents and Settings\MDK\Ustawienia lokalne\Dane aplikacji\promo.exe :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O2 - BHO: (YouTube To ALLPlayer) - {61DB16C5-B733-43F4-872E-B20DC9E72740} - C:\PROGRA~1\ALLPLA~1\YOUTUB~1.DLL File not found O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.) O20 - Winlogon\Notify\dimsntfy: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MDK\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .