picasso

Wszystko wykonane zgodnie z planem. Ale tu nie koniec działań. ZeroAccess to gorszy zawodnik niż Bundespolizei, ponieważ sieje spustoszenie w usługach Windows. Konkretnie tutaj wyciął całkowicie z Twojego rejestru usługi: Zapora systemu Windows, Centrum zabezpieczeń, Windows Update i Windows Defender. Kolejne działania: 1. Przez SHIFT+DEL skasuj folder adware C:\Users\Longer\AppData\LocalLow\PriceGong. 2. Rekonstrukcja usług Zapory systemu Windows (BFE + MpsSvc + SharedAccess oraz ich uprawnień via SetACL): KLIK. Omiń sfc /scannow, nie jest potrzebne. 3. Rekonstrukcja pozostałych usług oraz korekta SearchScopes (ktoś/coś wycięło defaultowe klucze Win7 w HKLM). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS] "DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\ 6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\ 00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\ 72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\ 63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance] "Library"="bitsperf.dll" "Open"="PerfMon_Open" "Collect"="PerfMon_Collect" "Close"="PerfMon_Close" "InstallType"=dword:00000001 "PerfIniFile"="bitsctrs.ini" "First Counter"=dword:000007d2 "Last Counter"=dword:000007e2 "First Help"=dword:000007d3 "Last Help"=dword:000007e3 "Object List"="2002" "PerfMMFileName"="Global\\MMF_BITS_s" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security] "Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\ 00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\ 00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\ 00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\ 20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\ 00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\ 00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\ 00,20,02,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="Windows Update" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] @="Bing" "URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" "DisplayName"="@ieframe.dll,-12512" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" Adnotacja dla innych czytających: import dopasowany do Windows 7. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik Scal 4. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner. .

Ale narzędzie źle uruchomiłeś ... spod Windows: ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY. Narzędzie działa poprawnie tylko z poziomu środowiska zewnętrznego. Tu zadane było: F8 > Napraw komputer > Wiersz polecenia. W jaki sposób uruchamiałeś FRST? .

ZeroAccess w najnowszej wersji, która gnieździ się w katalogu Kosza. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_EXPAND_SZ /d %%systemroot%%\system32\wbem\fastprox.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. I konieczny restart komputera, by odładować z pamięci ZeroAcccess. 2. Otwórz Notatnik i wklej w nim: icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T icacls C:\$Recycle.Bin\S-1-5-21-2815738136-2293915983-1104894367-1001\$cb0d1fd91e85cd4163cb8679da28ee12 /grant Wszyscy:F /T rd /s /q C:\$Recycle.Bin netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system, to z kolei konieczne by dokończyć reset Winsock naruszony przez ZeroAccess. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKU\S-1-5-21-2815738136-2293915983-1104894367-1001\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found IE - HKU\S-1-5-21-2815738136-2293915983-1104894367-1001\..\SearchScopes\{40CCAF33-A154-4365-8A1A-720F36260FD5}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" O3 - HKU\S-1-5-21-2815738136-2293915983-1104894367-1001\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O4 - HKU\S-1-5-21-2815738136-2293915983-1104894367-1001..\Run: [] C:\Users\Longer\brecljtwkxbsnrhf.exe () O4 - HKU\S-1-5-21-2815738136-2293915983-1104894367-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-2815738136-2293915983-1104894367-1001..\Run: [syshost32] C:\Users\Longer\AppData\Local\{5A9E3A89-CE0B-BBAC-1573-CF73F554BF1C}\syshost.exe (Adtron) :Files C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\SysWow64\%APPDATA% C:\Users\Longer\mlrzsdmitdrckvy.exe C:\Users\Longer\sheeomaytnrmqrbgvugtgh.exe C:\Users\Longer\wnxvzarqhdvihrdemcgprfqkt.exe C:\Users\Longer\AppData\Local\{5A9E3A89-CE0B-BBAC-1573-CF73F554BF1C} C:\Program Files (x86)\Conduit C:\Users\Longer\AppData\Local\Conduit C:\Users\Longer\AppData\Roaming\Optimizer Pro C:\Users\Longer\AppData\Roaming\SendSpace :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. Bundespolizei zniknie. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s :dir C:\$Recycle.Bin /s .

1. Nie odinstalowałeś Web Optimizer. Przeprowadź tę czynność. 2. Reset pliku HOSTS nieudany, teraz całkowity brak pliku: Hosts file not found Ręcznie go odtwórz. Włącz pokazywanie rozszerzeń: w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc 3. Mini poprawka, czyli usunięcie szczątków infekcji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Tuwemixeet] "C:\Documents and Settings\gozdi\Dane aplikacji\Uroz\veliu.exe" File not found [2012-09-20 16:24:36 | 000,291,912 | -HS- | M] () -- C:\Documents and Settings\gozdi\Dane aplikacji\rt1.png :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Usuwanie pomyślnie przeprowadzone. 1. Mini poprawka, bo jeden (już pusty) wpis się ostał. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKCU..\Run: [Veuhzoowg] "C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Divi\ankoe.exe" File not found Klik w Wykonaj skrypt. 2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. .

1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom ten plik przez dwuklik i zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\Installer\{64e989c1-b7e3-0e0e-a755-35e9becdafe2} C:\Documents and Settings\marek\Ustawienia lokalne\Dane aplikacji\{64e989c1-b7e3-0e0e-a755-35e9becdafe2} :OTL O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Key error.) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Dołącz log utworzony przez AdwCleaner. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Users\K\AppData\Roaming\msconfig.dat C:\Users\K\AppData\Roaming\msconfig.ini C:\Users\K\AppData\Roaming\mozilla\Firefox\Profiles\c7oixogp.default\extensions\4fe1e5b70d95d@4fe1e5b70d996.info C:\Users\K\AppData\Roaming\mozilla\firefox\profiles\c7oixogp.default\extensions\OneClickDownloader@OneClickDownloader.com.xpi C:\Users\K\AppData\Roaming\mozilla\firefox\profiles\c7oixogp.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL O2 - BHO: (DownloadnSave Class) - {3FC58D8A-8712-E794-271B-C51AF0D551B8} - C:\ProgramData\DownloadnSave\bhoclass.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, a blokada zniknie. 2. Przez Panel sterowania odinstaluj 1ClickDownloader. Powtórz deinstalację w rozszerzeniach Google Chrome. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKU\S-1-5-21-3868353683-1426351275-2692908572-1000..\RunOnce: [7531CC77C3D4EBE353EEA513F875EF60] C:\ProgramData\7531CC77C3D4EBE353EEA513F875EF60\7531CC77C3D4EBE353EEA513F875EF60.exe () O7 - HKU\S-1-5-21-3868353683-1426351275-2692908572-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\ProgramData\7531CC77C3D4EBE353EEA513F875EF60 C:\Users\RAP KANCIAPA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Windows\SysWow64\mspunaera.dll C:\Windows\SysWow64\mspkcnoid.dll C:\Windows\SysWow64\mswknnoie.dll :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania. 2. Przez Panel sterowania odinstaluj nośnik adware LiveVDO plugin 1.3. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1. I potwierdź, że BlazingTools Perfect Keylogger to celowa instalacja. .

Cieszymy się. Czynności końcowe: 1. W Dzienniku zdarzeń powiela się drobny błąd WMI numer 10. Instrukcje naprawcze: KB950375. 2. Obowiązkowe aktualizacje: KLIK. Wg Twoich raportów system ma krytyczny poziom aktualizacji (brak SP2 + IE9 i łatek wydanych po) oraz są widoczne następujące wersje oprogramowania: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{0D499481-22C6-4B25-8AC2-6D3F6C885FB9}" = OpenOffice.org Installer 1.0 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_265.dll () 3. Prewencyjnie zmień hasła logowania w serwisach. .

Dessin, nie wypowiadasz się czy po użyciu ESET Uninstaller jest jakaś poprawa i czy nadal istnieje problem z pobieraniem Freemake.

To cecha najnowszego OTL, czyli lekko pomocnicze szukanie specyficznych komponentów tej infekcji. To szukanie nie do końca precyzyjnie, mogą się ujawniać nie takie wyniki jak należy, a ten plik akurat ma być w tym miejscu i nie świadczy o żadnej infekcji. W Assembly chodzi o inne pliki desktop.ini. .

Nie notuję tu oznak infekcji, jest tylko adware: 1. Przez Dodaj / Usuń programy odinstaluj gry Toolbar. W Firefox w Dodatkach odmontuj Babylon + gry. 2. Uruchom AdwCleaner i zastosuj Delete. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras) i dołącz też log z wynikami usuwania AdwCleaner. Czy atrybuty wróciły do normy? Skan MBAM nie prezentuje żadnej operacji związanej z rekonfiguracją atrybutów. .

Wykonałeś zalecone czynności, toteż temat został zakończony. Zamykam.

Log z OTL wskazuje, że złą wersję pobierasz, bo są widoczne elementy zupełnie innego programu. Po kolei: pobierasz ten plik KLIK i zapisujesz na Pulpit. Jest to ZIP i rozpakowujesz również na Pulpit. Z wypakowanego folderu kopiujesz plik SetACL.exe do C:\Windows.

Oczywiście, że jest błąd nierozpoznanej komendy, przecież: "SetACL.exe, probuje sie rozpakowac ale nie moge nigdzie tego nawet zapisac". SetACL nie jest w ogóle wstawione gdzie należy (do katalogu C:\Windows), to i komendy nie zadziałają. W logu z OTL jest to: [2012/09/20 22:12:17 | 000,000,000 | ---D | C] -- C:\Users\Robert\AppData\Roaming\Helge Klein[2012/09/20 22:03:25 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Helge Klein [2012/09/20 22:03:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Helge Klein Ty pobrałęś i na dodatek zainstalowałeś złą wersję SetACL Studio (całkiem inny program), a masz pobrać bezinstalacyjny konsolowy SetACL jak napisane w moim tutorialu: Czyli odinstaluj SetACL Studio, pobierz odpowiednią wersję programu i skopiuj ze środka SetACL.exe do katalogu C:\Windows. Ponów działania naprawy uprawnień. .

Logi nie wykazują czynnej infekcji, jedynie jej ślady (wpisy puste) oraz adware. To nie może być przyczyną opisywanych problemów. Natomiast, w Winsock jest wpięty sfatygowany Ashampoo Firewall, bardzo dobry kandydat dla problemów z siecią. Szykuje się też problem sterownikowo-sprzętowy, Dziennik prawi: Error - 2012-09-10 16:59:02 | Computer Name = THUNDER | Source = ati2mtag | ID = 262252Description = Sterownik ati2dvag dla display urządzenia \Device\Video0 jest zablokowany przez pętlę nieskończoną. To wskazuje zwykle na problem z samym urządzeniem lub z jego sterownikiem niepoprawnie programującym urządzenie. Sprawdź, czy u dostawcy sprzętu są dostępne aktualizacje sterowników. Na teraz do wykonania następujące zadania czyszczące: 1. Zresetuj Winsock i reguły Zapory Windows. Start > Uruchom > cmd i wpisz komendy: netsh firewall reset netsh winsock reset Zatwierdź restart komputera. 2. Odinstaluj Ashampoo FireWall 1.20 oraz adware SweetIM for Messenger 3.7, SweetPacks Toolbar for Internet Explorer 4.6, Update Manager for SweetPacks 1.0, LiveVDO plugin 1.3, vShare.tv plugin 1.3, VshareComplete i skaner McAfee Security Scan Plus ("adware" w paczce Adobe). 3. Odinstaluj adware z Firefox. Otwórz przeglądarkę i w Dodatkach odmontuj: SweetPacks Toolbar for Firefox, VshareComplete. Następnie zresetuj preferencje Firefox. Zamknij przeglądarkę (nie może być uruchomiona) i skasuj poniższy plik z dysku: C:\Documents and Settings\kitek\Dane aplikacji\Mozilla\Firefox\Profiles\0puqmuvp.default\prefs.js Po tej operacji będziesz musiał przeinstalować pożyteczne rozszerzenia. 4. Odinstaluj adware z Google Chrome. W Rozszerzeniach usuń SweetIM for Facebook, vshare plugin, LiveVDO plugin, VshareComplete plugin for chrome. W zarządzaniu wyszukiwarkami przestaw domyślną ze SweetIM Search na Google, po tym SweetIM Search usuń. Z listy stron startowych wymaż home.sweetim.com. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKCU..\Run: [AdobeBridge] File not found O4 - HKCU..\Run: [NVIDIA driver monitor] c:\windows\nvsvc32.exe File not found O4 - HKCU..\Run: [sftgty] C:\Documents and Settings\kitek\Dane aplikacji\Sftgty.exe File not found DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtiHdmi.sys -- (AtiHdmiService) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 5. .

Zadania wykonane. Kończymy: 1. W Dzienniku zdarzeń są następujące błędy: Error - 2012-09-20 04:55:59 | Computer Name = DELL | Source = WinMgmt | ID = 10Description = Ten błąd zlikwiduje narzędzie Fix-it pobrane z artykułu KB2545227. Error - 2012-09-20 05:02:18 | Computer Name = DELL | Source = PNRPSvc | ID = 102Description = Error - 2012-09-20 05:02:17 | Computer Name = DELL | Source = Service Control Manager | ID = 7023 Description = Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error - 2012-09-20 05:02:17 | Computer Name = DELL | Source = Service Control Manager | ID = 7001 Description = Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Wykonaj akcje rozpisane tu: KLIK. Czyli: 2. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Java i Adobe: KLIK. Wersje widziane aktualnie w systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox) .

Wymagana drobna poprawka. W nowszym OTL widać nieco więcej. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\nircmd.exe C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\operaprefs.ini :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Pojawi się log z usuwania. 2. Do oceny wystarczy tylko log z usuwania, a że krótki, to wklej go wprost w poście. .

Zadania pomyślnie wykonane. Kolejna porcja zadań: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną oraz szczątki nieprawidłowo usuniętego ComboFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Zaprezentuj raport z ewentualnymi zagrożeniami. Od razu mówię, wykryje poniższe (to ... ekhm ... crack do Office): [2011-06-29 14:31:35 | 000,151,552 | ---- | C] () -- C:\Windows\KMService.exe[2011-06-29 14:31:35 | 000,008,192 | ---- | C] () -- C:\Windows\SysWow64\srvany.exe .

Tutaj jeszcze nie koniec działań... 1. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie. 2. Napraw błąd WMI numer 10 automatem z KB2545227. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj Java i Adobe: KLIK. ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5 "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.0) MUI "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 .

Apropos kazałeś = jestem kobietą. Nowy log = jak mówiłam, mamy tu co czyścić, bo jest teraz zalogowane właściwe konto i widać więcej. Oczywiście akcja z poziomu konta ROBERT1: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" O4 - HKCU..\Run: [update] C:\Users\ROBERT1\AppData\Roaming\system\winlogon.exe File not found [2012-09-20 15:50:19 | 000,000,000 | -HSD | C] -- C:\Users\ROBERT1\AppData\Roaming\System [2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Ywzali [2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Xeti [2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Gipy [2012-09-20 15:50:26 | 000,291,912 | -HS- | M] () -- C:\Users\ROBERT1\AppData\Roaming\rt1.png :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). .

Dwa konta: FILIP2K + Reggaenerator. Co to ma znaczyć? Dwóch różnych użytkowników forum? Na koncie Filip jest jeszcze co czyścić: 1. Z poziomu konta Filip uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4 - HKLM..\Run: [synTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe File not found O4 - HKCU..\Run: [update] C:\Documents and Settings\Filip Wolnik\Dane aplikacji\system\winlogon.exe File not found O4 - HKCU..\Run: [Veuhzoowg] C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Divi\ankoe.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\Filip Wolnik\Dane aplikacji\system\winlogon.exe [2012-09-20 15:34:49 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\System [2012-09-19 22:52:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Ezipe [2012-09-19 22:52:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Divi [2012-09-19 22:52:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\Afbya [2012-09-20 15:35:01 | 000,291,912 | -HS- | M] () -- C:\Documents and Settings\Filip Wolnik\Dane aplikacji\rt1.png :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). Na przyszłość: start do Trybu awaryjnego z obsługą Wiersza polecenia (nie ładuje się shell graficzny). .

Infekcja Weelsof pomyślnie usunięta. Na dysku jest jeszcze podejrzany, bo ukryty, plik graficzny i przez SHIFT+DEL skasuj go z dysku: [2012-09-20 15:39:49 | 000,291,912 | -HS- | C] () -- C:\Documents and Settings\marek\Dane aplikacji\rt1.png Ale to nie koniec. Log zrobiony z poziomu Windows (OTL się różni od tego wbudowanego w OTLPE = jest nowszy i ma zaimplementowane rzeczy nieobecne w wersji OTLPE) wykazuje obecność kolejnego trojana ZeroAccess. Wymagane dodatkowe skany: 1. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :filefind services.exe Klik w Look. 2. Zrób log z Farbar Service Scanner. .

Tu jest także infekcja ZeroAccess. Wymagany dodatkowy skan pod tym kątem: 1. Uruchom SystemLook x64 i w oknie wklej co podane niżej i klik w Look: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_CURRENT_USER\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F} /s :filefind services.exe 2. Zrób log z Farbar Service Scanner. Deinstalacje określonego oprogramowania z poziomu Trybu awaryjnego są limitowane, gdyż nie działa usługa Instalator Windows. PS. Posty posklejałam, tak by był logiczny ciąg. Oczywiście teraz odpowiadasz mi już w nowym poście. .

Wszystko zrobione, widać w skanie zmiany w obszarze Firefox i doinstalowany nowy Flash. Zgodnie z poprzednim podejrzeniem, wartość netsvcs do korekty. Lecimy dalej: 1. Drobny skrypt poprawkowy. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL NetSvcs: tapvpn - File not found NetSvcs: diskeeper - File not found NetSvcs: interactivelogon - File not found NetSvcs: sqlagent$pinnaclesys - File not found NetSvcs: nvpvrmon - File not found NetSvcs: nscirda - File not found NetSvcs: CTERFXFX.DLL - File not found NetSvcs: tme3srv - File not found NetSvcs: StkAMini - File not found NetSvcs: avgclean - File not found NetSvcs: USB11LDR - File not found NetSvcs: websenseclientdeployservice - File not found NetSvcs: mcmispupdmgr - File not found NetSvcs: lvmvdrv - File not found SRV - File not found [Disabled | Stopped] -- C:\Program Files\NOS\bin\getPlus_HelperSvc.exe -- (getPlus®) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) [2012-09-15 09:21:24 | 000,092,544 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\drivers\mqac.svs [2012-09-15 09:06:19 | 000,000,000 | ---D | C] -- C:\.Trash-1000 Klik w Wykonaj skrypt. Tym razem bez restartu. 2. Do oceny wystarczy tylko log z wynikami usuwania. A że log krótki, wklej go wprost w poście. EDIT: Dopisałeś. To wygląda na uszkodzone dane instalacyjne. Spróbuj uruchomić ten diagnostyk w trybie automatycznym: KLIK. Być może samodzielnie namierzy wadliwy układ instalacyjny. .