picasso

Prawdopodobnie jeden z plików specyfikowanych w kluczu KnownDLLs nie ma postaci jakiej oczekuje Windows. Chodzić może o jeden z tych (i w podwójnych wystąpieniach 32-bit + 64-bit): Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\KnownDLLs] "clbcatq"="clbcatq.dll" "ole32"="ole32.dll" "advapi32"="advapi32.dll" "COMDLG32"="COMDLG32.dll" "gdi32"="gdi32.dll" "IERTUTIL"="IERTUTIL.dll" "IMAGEHLP"="IMAGEHLP.dll" "IMM32"="IMM32.dll" "kernel32"="kernel32.dll" "LPK"="LPK.dll" "MSCTF"="MSCTF.dll" "MSVCRT"="MSVCRT.dll" "NORMALIZ"="NORMALIZ.dll" "NSI"="NSI.dll" "OLEAUT32"="OLEAUT32.dll" "PSAPI"="PSAPI.DLL" "rpcrt4"="rpcrt4.dll" "sechost"="sechost.dll" "Setupapi"="Setupapi.dll" "SHELL32"="SHELL32.dll" "SHLWAPI"="SHLWAPI.dll" "URLMON"="URLMON.dll" "user32"="user32.dll" "USP10"="USP10.dll" "WININET"="WININET.dll" "WLDAP32"="WLDAP32.dll" "WS2_32"="WS2_32.dll" "DifxApi"="difxapi.dll" 1. Po pierwsze, komenda ta nie może mieć postaci "sfc /scannow", bo jest uruchamiana z poziomu środowiska zewnętrznego. W takim środowisku należy zastosować: sfc /scannow /offbootdir=X:\ /offwindir=Y:\windows X = partycja z plikami rozruchowymi, Y = partycja z Windows. Niekoniecznie X równa się Y, rozszczepienie zachodzi przy obecności partycji "Zastrzeżone przez system". Najszybciej sprawdzisz litery w Wierszu polecenia wpisując komendę notepad i z menu Plik > Otwórz > z boku klik w Komputer > lista dysków się zgłosi. 2. Po drugie, jeśli prawidłowo zastosowana komenda będzie nadal zwracać komunikat o "oczekującej naprawie", w Wierszu polecenia wklep: dism /Image:Y: /Cleanup-Image /RevertPendingActions Gdzie Y = to samo co wyżej. I ponów skan SFC. PS. I proszę nie hostuj plików na WRZUCAJ.org, to odliczanie mnie do szału doprowadza. Tekst na wklej.org, a obrazki np. na ImageShack. .

Otóż to. Moje uprawnienia są identyczne jak te z nowego konta u Ciebie, stare trzeba poprawić, a usterka idzie od górnego klucza Classes. Przeprowadź następujące działania: 1. Dla klucza Classes w karcie Uprawnienia zaznacz opcję "Zastąp wszystkie uprawnienia obiektów podrzędnych...". Następnie na liście podświetl po kolei konta SYSTEM + Administratorzy i dla każdego zaptaszkuj Pełną kontrolę oraz z menu "Zastosuj do" przestaw z "Tylko ten klucz" na "Ten klucz i podklucze". Przyciskiem Dodaj wprowadź na listę nazwę swojego konta i ustaw tak samo Pełną kontrolę + "Ten klucz i podklucze". Jako ostatnie dodaj na listę RESTRICTED, dla "Ten klucz i podklucze" mają zaznaczone być tylko opcje: Badanie wartości + Wyliczanie podkluczy + Powiadamianie + Kontrola odczytu. Zatwierdź wszystkie zmiany. 2. Sprawdź czy podrzędny klucz Local Settings odziedziczył ustawienia po kluczu Classes. Jeśli tak, dla klucza Classes + Local Settings w karcie Właściciel przestaw na SYSTEM. Konkretne konto a grupa Administratorzy to dwie różne rzeczy. .

Ale zaraz, ja Ci nie dawałam instrukcji usuwających jeszcze... I to nie koniec działań. Mnie tylko chodziło wstępnie o pobranie info co jeszcze jest w tym katalogu. W związku z tym, że zacząłeś grzebać ręcznie, proszę o nowy log OTL z opcji Skanuj.

Odblokowało się, bo Administratorzy otrzymali Pełną kontrolę. Niby moglibyśmy tu zakończyć, ale te uprawnienia nadal nie wyglądają tak jak u mnie (konto użytkownika jest nieobecne w zestawie). Klucz Local Settings ma teraz dziedziczenie z wyższego klucza Classes, więc może w Classes jest coś przestawione. Pokaż mi zrzuty ekranu z karty Uprawnienia tych kluczy: HKEY_CURRENT_USER\Software\Classes HKEY_CURRENT_USER\Software\Classes\Local Settings .

System x64 = GMER nie aplikuje się. W Roaming masz owszem kolekcję bardzo podejrzanych plików: [2012-12-14 16:15:46 | 002,723,473 | ---- | M] () -- C:\Users\Noa\AppData\Roaming\hdb.exe[2012-12-10 15:15:04 | 002,882,297 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrj.exe [2012-11-20 00:42:43 | 002,634,318 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrd.exe [2012-11-15 14:57:51 | 002,690,097 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrc.exe [2012-11-13 14:28:59 | 002,711,524 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rrb.exe [2012-11-04 23:30:35 | 002,664,284 | ---- | C] () -- C:\Users\Noa\AppData\Roaming\rra.exe I jako uruchamiacz nasuwa się ten "SysTweak", dziwna lokalizacja + podwójne uruchamianie, a proces ma datę jak pierwszy z w/w plików w Roaming: ========== Processes (SafeList) ========== PRC - [2012-11-04 22:09:48 | 002,526,720 | ---- | M] (Tweakerism) -- C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe O4 - HKU\S-1-5-21-4103396870-1171749554-2526458779-1001..\Run: [systweak] C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe (Tweakerism) O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe) - C:\Users\Noa\AppData\Roaming\Systweak\Tweaker.exe (Tweakerism) Podaj mi skan tego folderu SysTweak, co tam jeszcze jest. Uruchom SystemLook x64 i w oknie wklej: :dir C:\Users\Noa\AppData\Roaming\Systweak /s .

AniaR, proszę się nie dopisywać do cudzych tematów i to w nieodpowiednim dziale. Temat wydzielony i to do działu infekcji. Dostosuj się do zasad i dostarcz logi: KLIK.

Log z OTL jest niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Skanery to mało co usuwały, bo jest tu za dużo plików infekcji na dysku. SpyHunter to program wątpliwej reputacji, zapomnij o nim. A na Spybot - Search & Destroy 2 to nie można za bardzo liczyć, mało efektywny. Spybot jak rozumiem odinstalowany? Będę usuwać po nim szczątki. Przechodząc do usuwania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Amministratore\Menu Avvio\Programmi\Esecuzione automatica\runctf.lnk C:\Documents and Settings\All Users\Dati applicazioni\0tbpw.pad C:\Programmi\Enigma Software Group C:\Programmi\Spybot - Search & Destroy 2 C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy C:\Documents and Settings\Amministratore\Desktop\SpyHunter-Installer.exe C:\Documents and Settings\Amministratore\Desktop\SpeedyPC Pro Installer.exe C:\WINDOWS\tasks\Ad-Aware Antivirus Scheduled Scan.job C:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job C:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job C:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\FILECO~1\SYMANT~1\SymcData\idsdefs\20091105.001\symidsco.sys -- (SYMIDSCO) DRV - File not found [File_System | Boot | Stopped] -- system32\DRIVERS\Lbd.sys -- (Lbd) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\SBREdrv.sys -- (SBRE) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Programmi\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Odinstaluj wątpliwą aplikację SpeedyPC / DriverCure. 3. Wyczyść Firefox ze śmieci i starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Zrób nowy log OTL z opcji Skanuj. Przypominam o pliku Extras. .

Klucz Local Settings ma złe uprawnienia, tzn. ogołocony zestaw: bieżący użytkownik nie ma w ogóle dostępu + Administratorzy nie mają Pełnej kontroli. To wyjaśnia brak tworzenia m.in. podkluczy Bags w tym kluczu. Oto jak to powinno wyglądać, cytuję ze swojego rejestru (Aretuza = moje konto): current_user\Software\Classes\Local Settings Owner: NT AUTHORITY\SYSTEM DACL(not_protected): Aretuza-PC\Aretuza full allow pseudo_inherited+container_inherit+object_inherit NT AUTHORITY\SYSTEM full allow pseudo_inherited+container_inherit+object_inherit BUILTIN\Administrators full allow pseudo_inherited+container_inherit+object_inherit NT AUTHORITY\RESTRICTED read allow pseudo_inherited+container_inherit+object_inherit 1. Na początek odblokuj klucz do edycji z poziomu grupy Administratorzy. Z prawokliku na HKEY_CURRENT_USER\Software\Classes\Local Settings pobierz Uprawnienia. Wejdź do Zaawansowanych. W karcie Właściciel przestaw z SYSTEM na grupę Administratorzy. Wróć do karty Uprawnienia i zedytuj wpis Administratorzy przyznając im Pełną kontrolę. 2. Następnie załaduj replikę uprawnień z mojego systemu. Otwórz Notatnik i wklej w nim: "current_user\Software\Classes\Local Settings",4,"O:SY" Plik zapisz pod nazwą fix.txt i przekopiuj go wprost na C:\. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej tę komendę i ENTER: SetACL -on "HKCU\Software\Classes\Local Settings" -ot reg -actn restore -bckp C:\fix.txt 3. Zresetuj system i zrób też nowy plik BAT ciągnący listę uprawnień: SetACL -on "HKCU\Software\Classes\Local Settings" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >C:\log.txt Przedstaw wynikowy C:\log.txt. .

Nie wygląda na to, by to był pasujący deszyfrator. Zupełnie inny wariant w opisie i zaszyfrowane pliki z rozszerzeniem *.EnCiPhErEd.

Wg skanu SystemLook plik services.exe jest poprawny, a wg Farbar usługi nie są uszkodzone. Tak więc zostało tu przemilczane sporo, m.in. użycie ComboFix, którego ewidentne ślady są w systemie. Na ten temat: KLIK. ComboFix musiał leczyć plik i naprawiać usługi. Co zostało do zrobienia więc: usunięcie resztek plików infekcji + odtworzenie uszkodzonej ikony Centrum Akcji (trojan ZeroAccess klucz skasował) + drobna kosmetyka. Przeprowadź następujące działania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\Installer\{8beca11c-7353-d1b6-1416-62692e8a01a2} C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}] "AutoStart"="" :OTL IE - HKU\S-1-5-21-481205827-3571293035-3921890925-1000\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4" O2 - BHO: (IDM integration (IDMIEHlprObj Class)) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll File not found FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found FF - HKEY_CURRENT_USER\software\mozilla\SeaMonkey\Extensions\\mozilla_cc@internetdownloadmanager.com: C:\Users\Rataj\AppData\Roaming\IDM\idmmzcc5 DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Rataj\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunek: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s .

Czyli jest pewne, że problem jest w kluczach HKEY_CURRENT_USER. Jak podałam, oczekuję na skan uprawnień kluczy. .

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielone w osobny. Pod kątem infekcji wymagane dodatkowe skany: 1. Uruchom SystemLook i w oknie wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. .

Ten plik ma inne parametry niż mój z fabrycznego systemu wirtualnego. Proponuję więc wymianę obu wystąpień afd.sys moją kopią i zobaczymy co z tego wyniknie. Czyli przejdźmy już do działań z czyszczeniem systemu, bo jest tu co robić (czyszczenie skutków po ZeroAccess, usunięcie dodatkowej infekcji uruchamianej przez Harmonogram i innych śladów oraz szczątków adware z downloadera SendSpace). 1. Przez Panel sterowania odinstaluj adware OptimizerPro1. Od razu pozbądź się też archaizmu Skaner on-line mks_vir. 2. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB52829$ Klik w Unlock. 3. Przesyłam plik afd.sys: KLIK. Rozpakuj i połóż go wprost na C:\. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh firewall reset /C fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB52829$ /C C:\WINDOWS\system32\dllcache\afd.sys|C:\afd.sys /replace C:\WINDOWS\system32\drivers\afd.sys|C:\afd.sys /replace C:\WINDOWS\System32\nklrayfneublfktr.exe C:\WINDOWS\System32\B1E30D7651.dll C:\WINDOWS\tasks\Uccxmwceiy.job C:\WINDOWS\tasks\OptimizerPro1UpdaterTask{9B8C8C62-267A-4F5E-9D0C-3A1F24427B94}.job C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9 C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\Piotrek\Dane aplikacji\Ciba C:\Documents and Settings\Piotrek\Dane aplikacji\Uztyla C:\Documents and Settings\Piotrek\Dane aplikacji\SendSpace C:\Documents and Settings\Piotrek\Dane aplikacji\YourFileDownloader C:\Program Files\YourFileDownloader C:\Documents and Settings\Piotrek\Dane aplikacji\Mozilla\Firefox\Profiles\m3pxrfiq.default\searchplugins\dl.xml C:\scu.dat :OTL O4 - HKLM..\Run: [guisvc.exe] C:\Documents and Settings\All Users\Dane aplikacji\Common Files\Microsoft Shared\Web Components\login.lnk () O36 - AppCertDlls: dpnssmui - (C:\WINDOWS\system32\netdinst.dll) - File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odtworzenie usługi Centrum zabezpieczeń. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 5. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner + SystemLook na ten sam warunek co poprzednio. .

To jest cytat z Twojego raportu pokazujący, że masz zainstalowany sterownik Intel igdkmd64.sys. Jak podane w artykule Microsoftu, ten sterownik w określonych wersjach może uniemożliwić pokazanie aktualizacji SP1 na Windows Update. Wnioski: sprawdzić wersję + zaktualizować ewentualnie i to wszystkie sterowniki Intel. Tu już zaciemniona nieco sprawa, bo wymusiłeś instalację SP1 ręcznie. Logi z OTL są tu nieprzydatne w tym momencie. Zrób ten "eksperyment" (zdjęcie szyfrowania + deinstalacja TrueCrypt) i zobaczymy czy efekt z czarnym ekranem nadal występuje. Jeśli się okaże, że tak, zawsze przecież możesz powrócić do szyfratora. Czy to na pewno nadal się pokazuje / występuje po instalacji SP1? .

Ja jednak go nadal obstawiam, bo na chwilę obecną wg raportów jest to dobry kandydat, grzebie w rekodzie rozruchowym dysku (etap ładowania systemu pasuje więc do tego co opisujesz), a co było kiedyś u Ciebie to nie ma żadnego dowodu, że to było to samo (efekty wizualne z opisu mogą powstać z wielu czynników). Tak, w linku podanym przeze mnie nie ma rozwiązania. Ja Ci go podałam, by pokazać, że opisywane objawy z czarnym ekranem i koniecznością resetu ręcznego może generować obecność TrueCrypt. Microsoft o powodach braku detekcji SP1 na Windows Update: KB2498452. U Ciebie odpadają przyczyny 1 + 3, ale przyczyna numer 4 możliwa, masz ten sterownik Intela i jest on z roku 2010: DRV:64bit: - [2010-04-07 10:19:08 | 010,322,848 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) .

No tak, ale Ty miałeś mi przekleić z raportów skanerów 1:1 wyniki. Same nazwy zagrożeń i fragmenty nazw plików są mało użyteczne, muszą być podane pełne ścieżki dostępu w czym skanery znalazły rzeczy.

Wg Farbar Service Scanner jest jeszcze uszkodzona usługa Centrum zabezpieczeń. Natomiast pod kątem sieci nic nie wynika, ale: ... ja jednak poproszę o spis kopii pliku afd.sys jakie on ma sumy kontrolne, czy wersję prawidłową wstawiłeś. Bo jednak ten rozmiar duplikatu pliku utworzony przez Ochronę systemu nie zgadza się z moją wirtualną maszyną XP SP3: [2012-12-13 20:49:04 | 000,138,112 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\afd.sys Mój plik waży 138496 bajtów. Uruchom SystemLook i w oknie wklej: :filefind afd.sys Klik w Look. .

Nie wiem. Natomiast jest inny gatunek programów, który może zabezpieczyć, czyli środowiska typu piaskownice / wirtualne bariery. Przykłady: SandBoxie (płatny, ale po po 30 dniach dalej można korzystać, tylko przypominanie o zakupach się zaczyna), GeSWall Freeware (darmowy). Infekcja na przenośnych wątpliwa, w rozumieniu dodanych obiektów infekcji. Ale szyfrowanie plików mogło się tam wykonać, jeśli dyski były podpięte w momencie gdy infekcja jechała po danych i zawierały "odpowiedni" typ danych którymi infekcja się interesuje. .

"I wygląda dobrze" = mam rozumieć, że problemy ustały? Co do czyszczenia to wykonane, tylko poprawki zostały. W GMER widać to: ---- Disk sectors - GMER 1.0.15 ---- Disk \Device malicious Win32:MBRoot code @ sector 156296388 Disk \Device\Harddisk0\DR0 PE file @ sector 156296410 To prawdopodobnie już martwe ślady po kiedyś obecnym rootkicie MBR. Na wszelki wypadek sprawdź co widzi Kaspersky TDSSKiller. Jeśli nic, to przejdź do zakończeń tematu: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" Klik w Wykonaj skrypt. Tym razem bez restartu poleci. 2. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Usuń starsze Adobe Reader + Java i zastąp najnowszymi oraz zaktualizuj Operę: KLIK. Obecnie w systemie widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java™ 6 Update 37 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish "Opera 12.00.1467" = Opera 12.00 .

A rzeczywiście, Google Chrome nie ma wejścia na liście zainstalowanych. Na dysku za to masa wpisów. To należy wyrzucić te szczątki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla :Reg [-HKEY_CURRENT_USER\Software\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\Google] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{BF42FD7A-47C9-401D-A5FC-EAAEAED53CFB}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BF42FD7A-47C9-401D-A5FC-EAAEAED53CFB}] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- Klik w Wykonaj skrypt. 2. Zrób nowy (już ostatni) log OTL z opcji Skanuj (bez Extras). .

Może te klucze mają złe uprawnienia, dlatego kończą się na ścieżce gdzie podajesz. Podaj mi spis uprawnień kluczy. Pobierz SetACL. Plik SetACL.exe w wersji x64 przekopiuj do katalogu C:\Windows. Otwórz Notatnik i wklej w nim: SetACL -on "HKCU\Software\Classes\Local Settings" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "HKCU\Software\Microsoft\Windows\Shell" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt SetACL -on "HKCU\Software\Microsoft\Windows\ShellNoRoam" -ot reg -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako Administrator. Zaprezentuj wynikowy plik C:\log.txt. Te klucze z Wow6432Node sobie odpuść. One należą do exploratora 32-bit. Wyjaśniałam to tu: KLIK. .

W raportach nie ma oznak czynnej infekcji, ale są subtelne jej odpadki (folder Ajtu i wpis startowy nań kierujący oraz plik bg.jpg), należy też usunąć śmieci adware. Rozumiem, że nie masz zamiaru formatować, toteż przechodzimy do czyszczenia. 1. Uwaga na początek, Twój czas komputera jest błędy, cofnięcie o dwa lata do tyłu: OTL logfile created on: 2010-01-01 00:04:38 - Run 1. Dlatego log z OTL jest taki potężny i zawiera dużo bezwartościowych rekordów. Skoryguj czas komputera. 2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Softonic-Eng7 Toolbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\mrówka\Dane aplikacji\bg.jpg C:\Documents and Settings\mrówka\Dane aplikacji\Ajtu C:\Documents and Settings\mrówka\Dane aplikacji\PriceGong C:\Documents and Settings\mrówka\Ustawienia lokalne\Dane aplikacji\QuickStores C:\Documents and Settings\All Users\Pulpit\QuickStores.lnk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "{1284AB20-7431-AD40-5C6C-9D624CDDBE70}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :OTL O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MRWKA~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MRWKA~1\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO) DRV - File not found [Kernel | Auto | Stopped] -- -- (adfs) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Temat przenoszę do działu Windows. Oznak infekcji brak. Tylko drobne adware, ale to bez znaczenia dla sprawy. W spoilerze instrukcje. Nic konkretnego w raportach. Do sprawdzenia: 1. Zachowanie systemu w stadium czystego rozruchu: KB929135. 2. Zachowanie systemu po usunięciu Avast. .

Infekcja ZeroAccess nie jest usunięta w pełni, w OTL + GMER widać link symboliczny rootkita. Zanim do tego przejdę poproszę o raport pod kątem usług: Farbar Service Scanner. .

Zadanie wykonane i możemy przejdź do wykończeń: 1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio ComboFix był uruchamiany z folderu konta Administrator. Przenieś plik ComboFix.exe wprost na C. Start > Uruchom > wklej komendę: C:\ComboFix.exe /uninstall Gdy komenda ukończy działanie, w OTL zastosuj Sprzątanie. I przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt. 2. Aktualizacje: KLIK. A konkretnie tu widać wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22 "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{2C154A86-DEF7-4B9E-907A-D5DAC6AFF165}" = SmartSVN 6.5 "{32A3A4F4-B792-11D6-A78A-00B0D0160180}" = Java™ SE Development Kit 6 Update 18 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Aurora 8.0a2 (x86 pl)" = Aurora 8.0a2 (x86 pl) "FileZilla Client" = FileZilla Client 3.5.3 "Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) "Mozilla Thunderbird 11.0.1 (x86 pl)" = Mozilla Thunderbird 11.0.1 (x86 pl) "Opera 12.02.1578" = Opera 12.02 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-1343024091-1547161642-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome 23.0.1271.91 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll () FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Odinstaluj wszystkie podane stare Adobe + Java + Silverlight i zastąp najnowszymi, zaktualizuj przeglądarki i FileZilla. Widzę zbyt dużo elementów jak na deinstalację, włącznie z wpisem na liście Dodaj/Usuń. Jeśli rzeczywiście to postać rzekomo "odinstalowana", to przejdź w Tryb awaryjny Windows i zastosuj narzędzie ESET Uninstaller. Infekcja ładuje się przez exploity na stronach. Do wglądu dyskusja na forum: KLIK. Zakreślony w cytacie fragment bardzo prawdopodobny. Któryś klient mógł mieć zainfekowaną stronę. .