picasso

Singapjap, proszę umieszczaj tematy we właściwych działach. Tematy stricte o Windows i jego usterkach w Windows, ale tematy o infekcji w Dziale pomocy doraźnej, a programy non-Windows idą do Software. W logach oznak infekcji brak. Ale z moich poprzednich instrukcji (KLIK) nie wykonałeś prawidłowo rekonstrukcji pliku HOSTS w punkcie 4. Nadal w logu stoi: Hosts file not found A Dziennik zdarzeń w kółko męczy błąd: [ System Events ]Error - 2012-12-16 16:11:50 | Computer Name = AUTO | Source = Microsoft-Windows-DNS-Client | ID = 1012 Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. Przypominam: musisz widzieć rozszerzenia (odznaczona opcja "Ukrywaj rozszerzenia znanych typów"), a plik nie może mieć nazwy hosts.txt tylko hosts bez żadnego rozszerzenia. Nic nie można na ten temat powiedzieć, bo nawet nie wiadomo co to był za plik. Natomiast: plik *.part to jest tymczasowe rozszerzenie pliku ściąganego przez Firefox, gdy nie jest pobrany w całości. Plik nie został ściągnięty do końca, nie został uruchomiony, więc nie sądzę by tu się coś wydarzyło. Na pewno to było "nieprawidłowe"? .

Temat przenoszę do działu Windows 7. Brak oznak czynnej infekcji, jest tylko jeden zaplątany plik po "policji", ale to nie ma związku z zasadniczym problemem. 1. Wyczyść system z adware i odpadków. Instrukcje w spoilerze. 2. Wyłącz zbędne wpisy ze startu. Uruchom Autoruns i w karcie Logon odznacz: O4:64bit: - HKLM..\Run: [Windows Mobile Device Center] C:\Windows\WindowsMobile\wmdc.exe (Microsoft Corporation)O4 - HKLM..\Run: [APSDaemon] C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.) O4 - HKLM..\Run: [LogMeIn Hamachi Ui] D:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe (LogMeIn Inc.) O4 - HKCU..\Run: [ALLUpdate] d:\Program Files (x86)\ALLPlayer\ALLUpdate.exe () O4 - HKCU..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd) O4 - HKCU..\Run: [Facebook Update] C:\Users\Bartek\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.) O4 - HKCU..\Run: [iPLA!] C:\Program Files (x86)\ipla\ipla.exe (Redefine Sp z o.o.) O4 - HKCU..\Run: [NokiaSuite.exe] C:\Program Files (x86)\Nokia\Nokia Suite\NokiaSuite.exe (Nokia) O4 - Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk = C:\Users\Bartek\AppData\Local\Facebook\Messenger\2.1.4651.0\FacebookMessenger.exe (Facebook) W karcie Services odznacz: SRV:64bit: - [2009-07-14 02:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)SRV - [2012-06-11 15:22:16 | 000,240,208 | ---- | M] (Microsoft Corporation.) [On_Demand | Running] -- C:\Program Files (x86)\Microsoft\BingBar\7.1.391.0\SeaPort.exe -- (BBUpdate) SRV - [2012-06-11 15:22:16 | 000,193,616 | ---- | M] (Microsoft Corporation.) [Auto | Stopped] -- C:\Program Files (x86)\Microsoft\BingBar\7.1.391.0\BBSvc.exe -- (BBSvc)7) SRV - [2012-03-01 01:02:00 | 002,348,352 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService) SRV - [2012-02-29 12:26:46 | 000,382,272 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service) 3. Problem spowolnienia może tworzyć ESET Smart Security = nie za nowy, a i scrackowany. 4. W Dzienniku zdarzeń są następujące błędy: Error - 2012-12-14 12:56:41 | Computer Name = Bartek-7 | Source = volsnap | ID = 393252Description = Wykonywanie kopii w tle woluminu C: zostało przerwane, ponieważ nie można powiększyć magazynu kopii w tle z powodu limitu wprowadzonego przez użytkownika. Brak miejsca na kopie cieniowe Przywracania systemu. Bo też i tu ogólnie mało wolnego miejsca na dysku: Drive C: | 48,83 Gb Total Space | 6,02 Gb Free Space | 12,33% Space Free | Partition Type: NTFS Mało wolnego (o nieznanej kondycji fragmentacyjnej) też może być przyczyną spowolnienia. Error - 2012-12-16 06:21:10 | Computer Name = Bartek-7 | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6Description = Niektóre funkcje zarządzania energią procesora w czasie wydajności zostały wyłączone z powodu znanego problemu z oprogramowaniem układowym. Skontaktuj się z producentem komputera w celu uzyskania aktualizacji oprogramowania układowego. Nasuwa się sprawdzenie czy są dostępne aktualizacje BIOS i sterowników. .

Temat przenoszę do działu Windows 7. To nie infekcja. W systemie jest tylko drobne adware, ale to nie ma żadnego związku z problemem. Doczyść te drobne śmieci. Instrukcje w spoilerze. Dodatkowy komentarz: jest tu zainstalowany nieco sfatygowany BitDefender Total Security 2010, a Windows 7 w ogóle nieaktualizowany. Widzę tu szkody, dwie usługi WMP + Windows Defender są oznaczone jako wybrakowane: ========== Services (SafeList) ========== SRV - File not found [Auto | Stopped] -- %PROGRAMFILES%\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc) SRV - File not found [On_Demand | Stopped] -- %ProgramFiles%\Windows Defender\mpsvc.dll -- (WinDefend) Zanim to ruszę chcę się upewnić czy to nie są jakieś pozory "braku pliku". Na zrzucie ekranu, który podałeś, jest odniesienie do J:\Program Files\Windows Photo Viewer. Otóż widzę tu jakąś niezdrową rozbieżność katalogów Program Files. Wg raportu system działa na C, ale ustawione J:\Program Files: %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = J:\Program Files Na dodatek w tle w procesach działają równolegle uruchomione komponenty mieszane z C:\Program Files i J:\Program Files: ========== Processes (SafeList) ========== PRC - [2012/12/10 14:53:30 | 000,969,104 | ---- | M] (BitTorrent, Inc.) -- J:\Program Files\uTorrent\uTorrent.exe PRC - [2012/12/04 23:27:38 | 010,742,272 | ---- | M] (Creative Team S.A.) -- C:\Program Files\WapSter\WapSter AQQ\AQQ.exe PRC - [2012/08/31 15:02:03 | 002,754,984 | ---- | M] (TeamViewer GmbH) -- C:\Program Files\TeamViewer\Version7\TeamViewer_Service.exe PRC - [2012/08/30 16:57:35 | 001,820,520 | ---- | M] (NVIDIA Corporation) -- J:\Program Files\NVIDIA Corporation\Display\nvtray.exe PRC - [2012/08/30 16:57:34 | 000,864,104 | ---- | M] (NVIDIA Corporation) -- J:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe PRC - [2012/08/30 09:40:00 | 000,382,312 | ---- | M] (NVIDIA Corporation) -- J:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe PRC - [2012/04/17 16:19:32 | 002,614,080 | ---- | M] (DT Soft Ltd) -- C:\Program Files\DAEMON Tools Lite\DTShellHlp.exe PRC - [2011/09/15 06:06:38 | 000,169,624 | ---- | M] (Adobe Systems Incorporated) -- J:\Program Files\Adobe\Elements 10 Organizer\PhotoshopElementsFileAgent.exe PRC - [2011/06/17 01:00:28 | 000,315,256 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\AAM Updates Notifier.exe PRC - [2009/08/11 23:08:32 | 001,576,976 | ---- | M] (BitDefender S.R.L.) -- J:\Program Files\BitDefender\BitDefender 2010\vsserv.exe PRC - [2009/08/11 21:50:40 | 001,074,384 | ---- | M] (BitDefender S.R.L.) -- J:\Program Files\BitDefender\BitDefender 2010\seccenter.exe PRC - [2009/08/11 03:15:18 | 001,095,680 | ---- | M] (BitDefender S.R.L.) -- J:\Program Files\BitDefender\BitDefender 2010\bdagent.exe PRC - [2009/08/07 19:54:44 | 000,330,200 | ---- | M] (BitDefender S.R.L.) -- C:\Program Files\Common Files\BitDefender\BitDefender Update Service\livesrv.exe PRC - [2007/12/26 22:17:18 | 000,053,760 | ---- | M] () -- C:\Program Files\EDIMAX\Common\RalinkRegistryWriter.exe To mi sugeruje, że była tu podejmowana próba sztucznego przekierowania katalogu Program Files na dysk J, a Twoje problemy to kwestia nieprawidłowej migracji katalogu. Opisz mi co w ogóle robiłeś w tej kwestii i kiedy. .

Nie został dostarczony obowiązkowy raport z GMER. W OTL brak oznak infekcji. Komentarze na temat raportów: 1. Używałeś ComboFix (nie został nawet prawidłowo odinstalowany) i na ten temat: KLIK. Na dodatek był to ComboFix pobrany z serwisu, który nie ma autoryzacji (C:\ComboFix_www.INSTALKI.pl_). Instalki nie mają pozwolenia na rehostowanie pliku, a konsekwencje umieszczania na własnym serwerze to m.in. kompletna niezdolność podążania za aktualizacjami. Już tu była masa przypadków, że użytkownicy uruchamiali starą wygasłą wersję, podczas gdy na serwerze domowym najnowsza w pełni sprawna. Pobieranie ComboFix z Instalek = nigdy. 2. Jest tu nieprawidłowo odinstalowany Symantec, skombinowany z Avastem i COMODO Internet Security. Rzeźnia! Z poziomu Dodaj/Usuń Programy odinstaluj pozycje LiveUpdate. Następnie wejdź w Tryb awaryjny Windows i zastosuj narzędzie Norton Removal Tool. 3. Dziwne rzeczy z Avast. Nie wygląda na prawidłowo zainstalowany / zaktualizowany. Otóż uruchamiają się dwa wystąpienia, stare + nowe: ========== Processes (SafeList) ========== PRC - [2012-07-03 18:21:30 | 004,273,976 | ---- | M] (AVAST Software) -- C:\Program Files\AVAST Software\Avast\AvastUI.exe PRC - [2009-11-25 00:51:35 | 000,138,680 | ---- | M] (ALWIL Software) -- C:\Program Files\Alwil Software\Avast4\ashServ.exe Z Poziomu Panelu sterowania odinstaluj Avast. Następnie w Trybie awaryjnym popraw narzędziem Avast Uninstall Utility. 4. Wyczyść też inne drobne rzeczy i adware. Instrukcje w spoilerze. 1. Od strony systemu: Jeśli czyszczenie Symantec i Avast nie odniesie skutku, do sprawdzenia potencjalny wpływ COMODO Internet Security. 2. Od strony sprzętu: Podaj konkrety na temat "wystarczająco dobrego komputera" (KLIK), bo na razie lanie wody jak się patrzy. .

"Kontrolne" - czyli żadnego konkretnego powodu? Jeśli chodzi o infekcje, w logach nic podejrzanego. Przenoszę do działu Windows XP. 1. Do usunięcia tylko drobne puste wpisy i szczątki Symantec. Wejdź w Tryb awaryjny, by resztówkowe sterowniki Symantec nie były aktywne podczas usuwania. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-1606980848-1770027372-1801674531-1002\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050" IE - HKU\S-1-5-21-1606980848-1770027372-1801674531-1002\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found O3 - HKLM\..\Toolbar: (no name) - {872b5b88-9db5-4310-bdd0-ac189557e5f5} - No CLSID value found. O3 - HKU\S-1-5-21-1606980848-1770027372-1801674531-1002\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Copy Handler] File not found O20 - Winlogon\Notify\SEP: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Program Files\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\SyDvCtrl32.sys -- (SyDvCtrl) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\1A3.tmp -- (MEMSWEEP2) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\smo\USTAWI~1\Temp\esihdrv.sys -- (esihdrv) DRV - [2012-01-31 18:19:53 | 000,092,080 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- D:\WINDOWS\system32\drivers\SysPlant.sys -- (SysPlant) DRV - [2011-05-26 09:25:16 | 000,118,960 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\teefer.sys -- (Teefer2) :Reg [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchURL] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchURL] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchURL] [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Search Bar"=- "Start Page"=- :Commands [emptytemp] Klik w Wykonaj skrypt. Po tym użyj Sprzątanie. 2. W Dzienniku zdarzeń sypie kolejnymi błędami powiązanymi z odpadkami Symantec: [ System Events ]Error - 2012-12-16 08:28:07 | Computer Name = BLACKV8 | Source = Service Control Manager | ID = 7023 Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie; wystąpił następujący błąd: %%126 Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = RemoteAccess | ID = 20070 Description = Aparat protokołu Point to Point Protocol nie może załadować modułu D:\Program Files\Symantec\Symantec Endpoint Protection\12.1.671.4971.105\Bin\SymRasMan.dll. Nie można odnaleźć określonego modułu. Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = RemoteAccess | ID = 20151 Description = Protokół sterowania EAP w module D:\WINDOWS\System32\rasppp.dll protokołu Point to Point Protocol zwrócił błąd podczas inicjowania. Nie można odnaleźć określonego modułu. Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = Rasman | ID = 20063 Description = Nie można uruchomić Menedżera połączeń usługi Dostęp zdalny, ponieważ nie można zainicjować protokołu Point to Point Protocol. Nie można odnaleźć określonego modułu. Error - 2012-12-16 08:41:12 | Computer Name = BLACKV8 | Source = Service Control Manager | ID = 7023 Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie; wystąpił następujący błąd: %%126 Error - 2012-12-16 08:45:13 | Computer Name = BLACKV8 | Source = Rasman | ID = 20035 Description = Nie można uruchomić Menedżera połączeń usługi Dostęp zdalny, ponieważ nie można utworzyć buforów. Uruchom ponownie komputer. Odmowa dostępu. Error - 2012-12-16 08:45:14 | Computer Name = BLACKV8 | Source = Service Control Manager | ID = 7023 Description = Usługa Menedżer połączeń usługi Dostęp zdalny zakończyła działanie; wystąpił następujący błąd: %%5 Podaj dodatkowy skan na klucze PPP. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan /s Klik w Look. 3. Wg raportu są tu zainstalowane wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22 "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 "Maxthon3" = Maxthon 3 "Opera 11.64.1403" = Opera 11.64 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll () Do deinstalacji stare Java i Adobe, zaktualizuj Operę, a Maxthon 3 to produkt historyczny. 4. Cacheman + RAMKontroler: za dużo, a poza tym najlepiej zostawić pamięć Windows w świętym spokoju. Takie sztuczne zwalnianie / oczyszczanie może mieć skutki odwrotne od zamierzonych. .

To wygląda na fałszywy alarm na komponentach odtwarzacza MP3: KLIK / KLIK. MBAM wykrywa legalizatory z oczywistych względów. Nie rozwijam wątku. Natomiast pozostałe wyniki kierujące na katalog Thinstall z Blaze Video Magic 2.0 to fałszywy alarm. Był tu uruchamiany Blaze w wersji rzekomo portable, robionej metodą wirtualizacji Thinstall. Ten katalog wścieka MBAM, zresztą inne antywirusy też. Mimo że to nie jest groźne, w ramach porządków dysku skasuj przez SHIFT+DEL cały folder: C:\Documents and Settings\as\Dane aplikacji\Thinstall Sprawa wygląda na ukończoną. Tak więc czy problemy nadal występują? .

W związku z tym nie podejmuję już działań i nie inwestuję więcej czasu w ten system, ale skany dokończ, żebyś przypadkiem nie przekopiował plików Brontok na inny dysk. To system 32-bit, czyli obowiązkowy log to także GMER. A w OTL widać to samo, czyli robaka Brontok. 1. Wejdź w Tryb awaryjny Windows. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Tok-Cirrhatus] File not found O4 - HKCU..\Run: [Tok-Cirrhatus-2157] C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\br5337on.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\KesenjanganSosial.exe") - C:\WINDOWS\KesenjanganSosial.exe () IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt&from=vlt&uid=WDC_WD400ZB-00JYA0_WD-WCAMH1071087&ts=1353693007" :Files C:\Documents and Settings\Hubert\Menu Start\Programy\Autostart\Empty.pif C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\Hubert\Ustawienia lokalne\Dane aplikacji\*Bron* C:\WINDOWS\System32\cmd-brontok.exe C:\Program Files\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zresetuj plik HOSTS do postaci domyślnej: KB972034. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + zaległy GMER. .

Na zakończenie: 1. Odbyły się tu kolejne zmiany konfiguracyjne, toteż ponownie wyczyść foldery Przywracania systemu: KLIK. 2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane: Internet Explorer (Version = 7.0.5730.13) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 Czyli: odinstaluj wszystkie podane wystąpienia Adobe + Java i zastąp najnowszymi wersjami, zaktualizuj systemowy Internet Explorer (nawet jeśli go nie używasz). Uwaga dodatkowa: jest tu zainstalowany potwór Gadu-Gadu 10. Program zabójczy dla zasobów, a na dodatek wersja wycofana (wyłączono też serwisy integrowane w tym koszmarze). Polecam alternatywne programy do obsługi sieci Gadu: WTW, Kadu, AQQ, Miranda. Opisy: KLIK. 3. Ostatni sprawdzany log nie wykazywał obecności żadnego programu zabezpieczającego. Nadrób. Tylko w pierwszej kolejności zrób coś z miejscem na dysku, poprzedni log wykazał bardzo mało wolnego na C: Drive C: | 29,29 Gb Total Space | 1,47 Gb Free Space | 5,01% Space Free | Partition Type: NTFS .

Zadania pomyślnie wykonane, zostały poprawki: 1. Korekta wyszukiwarek Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{BDC11E10-C5CD-4DAE-B822-0F3EACD53ECE}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{BDC11E10-C5CD-4DAE-B822-0F3EACD53ECE}" [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. W Google Chrome jest ustawiona wyszukiwarka adware oraz resztka wtyczki vShare: ========== Chrome ========== CHR - plugin: vShare.tv plug-in (Enabled) = C:\Users\Wiktor\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll Wejdź do ustawień i w zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy. Natomiast wycięcie wtyczki vShare z konfiguracji wymaga już bezpośredniej edycji kodu pliku Preferences. Wykonam to za Ciebie. Skopiuj na Pulpit ten plik: C:\Users\Wiktor\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj link. Plik zedytuję i odeślę z powrotem. Potem poproszę o nowy log z OTL potwierdzający zmiany. .

Na zakończenie: 1. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu są tu obecnie wersje: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217002FF}" = Java™ 7 Update 2 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll () Czyli: odinstaluj wyliczone tu pozycje Adobe + Java i zastąp najnowszymi, zaktualizuj Skype, wykonaj pełną aktualizację Windows 7 (SP1 + IE9 + reszta łatek z Windows Update). 2. Prewencyjnie zmień hasła logowania w serwisach. .

Wszystko zrobione jak należy. Tak jak mówisz, czas "szlifu": 1. Jeden folder ZeroAccess niechcący opuściłam. Poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\3117\AppData\Local\{b01d1397-390b-3b2c-6d55-436b4e31c741} :OTL O4 - HKLM..\Run: [EEventManager] C:\Program Files\EPSON\Creativity Suite\Event Manager\EEventManager.exe File not found :Commands [emptytemp] Klik w Wykonaj skrypt. 2. W Google Chrome nadal strona startowa adware SweetIM: ========== Chrome ========== CHR - homepage: "http://home.sweetim.com/?barid={E7E6C895-7FBC-11E1-AE6D-001999953817}" CHR - homepage: "http://home.sweetim.com/?barid={E7E6C895-7FBC-11E1-AE6D-001999953817}" Zadałam sprawdzian w opcjach. Widząc teraz powyższe wnioskuję, że nie widzisz tego na liście stron startowych. Usuń to na poziomie pliku Preferences. Zamknij Google Chrome (nie może być w procesach). Otwórz w Notatniku plik: C:\Users\3117\AppData\Local\Google\Chrome\User Data\Default\Preferences Wyszukaj dwa wystąpienia frazy homepage i zastąp adresy. 3. W OTL uruchom Sprzątanie, a resztę używanych to już ręcznie dokasuj. 4. Wyczyść foldery Przywracania systemu: KLIK. W związku z tym oglądam już nieaktualne dane w logu OTL, bo nie ma w nim śladów Secuni i wiodać starsze wersje programów. Chodzi mi o to, że opis infekcji należy znać, jak działa ten trojan i co robi w systemie. Moje posty to jest wtórna sprawa. .

Tak, tym razem gnida została wyeliminowana. Przejdź do czynności zamykających: 1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniżej wyliczone foldery. C:\JRT C:\Windows\ERUNT 2. W Dzienniku zdarzeń przewija się błąd WMI numer 10. Naprawa: KB2545227. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Odinstaluj stary Adobe Reader i nienajnowsze Java oraz zaktualizuj Firefox. Obecnie masz zainstalowane: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Najnowsze wersje podane w przyklejonym: KLIK. .

Poprawki wdrożone. Możemy przejść do finalizacji tematu: 1. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę: "C:\Documents and settings\Ania\Pulpit\instalki\ComboFix.exe" /uninstall 2. Następnie wyczyść pozostałe: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 3. Zaleciłam już usuwanie starych Java. Masz jeszcze zainstalowany stary Adobe Reader X (10.1.4), Adobe Shockwave Player (nie mylić z Adobe Flash Player), Silverlight. Odinstaluj to wszystko. O ile będzie potrzebne, zainstaluj najnowsze wersje, linki w przyklejonym temacie: KLIK. .

Nic się nie stało. Po prostu nic nie zostało wykonane, ze względu na zły format pliku. Usługi odbudowane. Możemy przejść dalej: 1. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, skasuj ręcznie komponenty BlitzBlank oraz folder Stare dane programu Firefox z Pulpitu. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Przeprowadź pełne skanowanie w Malwarebytes Anti-Malware (wybierz wersję darmową a nie próbną). Jeżeli coś zostanie wykryte, przedstaw raport. .

Jakby ktoś był zainteresowany to tu jeszcze podaję inny sposób, tworzenie płyty z katalogu ESD: How to create a bootable Windows 8 installation DVD using the ESD folder .

Jakieś zaćmienie mnie wzięło. Dałam format skanu OTL a nie SystemLook. Poprawka we wcześniejszym poście. PS. Jest deszyfrator do plików *.block. Próbuj: KLIK.

Proszę o pełny zestaw logów zgodnie z zasadami: KLIK. W systemie może być czynny obiekt infekcji, który roznosi to na dyski. OTL do tego niepotrzebny. To że ja używam tej komendy w skrypcie to tylko ułatwienie mojej pracy. Ta komenda to przecież zwyczajna komenda systemu do cmd. O tym pogadamy jak podasz dane o które proszę powyżej. .

Plik Extras również potwierdza, że tu był rootkit MBR, są w zaporze systemowej autoryzacje Zdalnego Pulpitu i Services: ========== Firewall Settings ========== [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services Tak więc teraz oczekuję na dane. Wiem, że deszyfracja potrwa, więc diagnostyka za kilka godzin dopiero. Gdy dysk zostanie odszyfrowany: 1. Startujesz z płyty OTLPE na ten system i wstawiasz plik userinit.exe do C:\WINDOWS\system32. Plik w wersji zgodnej z Twoim systemem XP SP3: KLIK. 2. Zrób nowe logi OTL (włącznie z Extras) i GMER. .

W Twoim raporcie OTL jest ten wpis: O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - File not found Brakuje pliku userinit.exe. Bez niego jest niemożliwe zalogowanie. Plik należy uzupełnić. Tylko problem w tym, że nie da się tu wykorzystać narzędzi bootujących do wstawienia pliku, bo dysk jest zaszyfrowany. Niestety musisz zdjąć szyfrowanie dysku Windows przez TrueCrypt Rescue, a dopiero po tym jest możliwy dostęp i naprawa. Konkrety: od czego? Nie widzę żadnego pliku... .

To niepełny log OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Oczekuję na resztę logów. Temat przenoszę do działu leczenia infekcji, bo: Wstępnie na szybko, jest tu definitywnie infekcja. Po pierwsze ten delikwent: O4 - HKU\S-1-5-21-1123561945-1580818891-1801674531-500..\Run: [svhost] C:\WINDOWS\system32\svhost.exe () To nie wszystko. Są tu również pośrednie znaki rootkita w MBR dysku. Bardzo charakterystyczne ślady widać w postaci tych dwóch sterowników: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec)DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) I tu będzie problem. Dysk jest szyfrowany TrueCryptem, a to oznacza, że MBR ma loader TruCrypt. Usuwanie infekcji z MBR będzie oznaczać nadpisanie MBR i konieczność reinstalacji loadera TrueCrypt z poziomu płyty Rescue. .

Podałam czego nie usuwać, czyli wszystko inne do usunięcia, w tym te klucze.

Skoro Tryb awaryjny wchodzi, to zrób raporty OTL + GMER.

Czy posiadasz płytę odzyskiwania TrueCrypt Rescue Disk, która umożliwi odszyfrowanie dysku? Z KLIK: Zdjęcie szyfrowania umożliwi diagnostykę Windows, nawet jeśli Windows nie startuje. Przy zaszyfrowanym dysku brak dostępu do danych. .

Spróbuj tego: 1. Wyszukaj na wszystkich kontach foldery: C:\Users\Konto 1\AppData\Local\Packages\WinStore_losowy ciąg C:\Users\Konto 2\AppData\Local\Packages\WinStore_losowy ciąg 2. W Uprawnieniach > Zaawansowane > Dodaj > Wybierz podmiot zabezpieczeń > wpisz grupę Użytkownicy > przyznaj im Pełną kontrolę. .

peter2012, raporty z OTL już są: https://www.fixitpc.pl/topic/14755-niedzialajace-gadzety-systemu-i-gadu-gadu-11/