picasso

KajzerK1, nie odpowiedziałeś na pytanie czy to na pewno log z odpowiedniego konta użytkownika, bo znaków infekcji UKASH w ogóle nie widać.

Natomiast teraz mogę się zabrać za rozwiązanie usterki folderów powłoki. Wg skanu dodatkowego masz kompletnie usunięty z rejestru klucz HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders i należy to uzupełnić.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"!Do not use this registry key"="Use the SHGetFolderPath or SHGetKnownFolderPath function instead"
"Local AppData"="C:\\Users\\kajzer\\AppData\\Local"
"My Video"="C:\\Users\\kajzer\\Videos"
"AppData"="C:\\Users\\kajzer\\AppData\\Roaming"
"My Pictures"="C:\\Users\\kajzer\\Pictures"
"Desktop"="C:\\Users\\kajzer\\Desktop"
"History"="C:\\Users\\kajzer\\AppData\\Local\\Microsoft\\Windows\\History"
"NetHood"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts"
"Cookies"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Cookies"
"Favorites"="C:\\Users\\kajzer\\Favorites"
"SendTo"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\SendTo"
"Start Menu"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu"
"My Music"="C:\\Users\\kajzer\\Music"
"Programs"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs"
"Recent"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Recent"
"CD Burning"="C:\\Users\\kajzer\\AppData\\Local\\Microsoft\\Windows\\Burn\\Burn"
"PrintHood"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Printer Shortcuts"
"Startup"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Startup"
"Administrative Tools"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Start Menu\\Programs\\Administrative Tools"
"Personal"="C:\\Users\\kajzer\\Documents"
"Cache"="C:\\Users\\kajzer\\AppData\\Local\\Microsoft\\Windows\\Temporary Internet Files"
"Templates"="C:\\Users\\kajzer\\AppData\\Roaming\\Microsoft\\Windows\\Templates"
"Fonts"="C:\\Windows\\Fonts"

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Z prawokliku na ten plik z menu kontekstowego wybierz opcję Scal. Potwierdź import do rejestru.

2. Zresetuj system. Zrób nowy log OTL z opcji Skanuj (już na standardowych ustawieniach).

.

Zestaw logów sugeruje realizację zasad z innego forum a nie tutejszych. Log z FRST to najoględniej mówiąc rzecz bezużyteczna, przecież FRST jest przeznaczony do uruchamiania z poziomu środowiska zewnętrznego WinRE a nie spod Windows: KLIK. Skutki to półsprawny log bez połowy danych i z adnotacją:

ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

Ogólnie zaś: w dostarczonych tu raportach brak oznak infekcji.

avast wykrył podejrzaną usługę (ZeroAccess?) i usunął ją, ale zdążył zepsuć bibliotekę Dokumenty (Moje dokumenty otwiera)

Podaj co dokładnie usuwał Avast i o co Ci chodzi z Dokumentami (opisz dokładnie co klikasz i gdzie i co się pokazuje).

.

Proszę o dostarczenie obowiązkowego raportu z GMER. Znaki w OTL w sekcji usług (plus charakterystyczne objawy) wskazują na rootkita.

Zadania pomyślnie wykonane. Przejdź do tej porcji czynności:

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

C:\Users\Adam\Desktop\ComboFix.exe /uninstall

2. Następnie w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj poniższy folder z dysku.

C:\Kaspersky Rescue Disk 10.0

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

.

Ta infekcja musiała zostać czymś już usunięta (najbardziej prawdopodobny Kaspersky), gdy wg OTL wartość, przez którą ładuje się trojan ZeroAccess consrv.dll, jest już domyślna:

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

Brak również: przekierowań Winsock oraz linka symbolicznego system64. W logu widzę jedynie odpadek po ZeroAccess (wygląda staro), naruszony plik HOSTS oraz adware. I tym się zajmiemy:

1. Zrekonstruuj brakujący HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

#	127.0.0.1       localhost
#	::1             localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

2. Odinstaluj adware:

- Otwórz Firrefox i w Dodatkach odinstaluj: ADDICT-THING, incredibar.com, Protector by IB, StartNow Toolbar

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: ADDICT-THING, StartNow.

- Przez Panel sterowania odinstaluj: Babylon toolbar on IE, StartNow Toolbar.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

C:\Users\Marcin\AppData\Local\64e22528
C:\Users\Marcin\AppData\Roaming\mozilla\firefox\profiles\f4vdzjzg.default\searchplugins\yahoo-zugo.xml
 
:OTL
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111210&user_guid=38B2D127D04347D6BB8D2BD23979857E&machine_id=342a022ffddb92943cc5710f4e204cb6&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}"
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101240&mntrId=78e146b90000000000004cedde9b0759"
IE - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb139/?search={searchTerms}&loc=IB_DS&a=6OyfeTHoOl&i=26"
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O3 - HKU\S-1-5-21-3208515226-2010266281-175035788-1002\..\Toolbar\WebBrowser: (no name) - {90EEE664-34B1-422A-A782-779AF65CDF6D} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page Restore"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{12A1F20A-2BD5-444E-81FF-18295F38C6E0}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

.

W logu brak oznak tej infekcji w stanie czynnym, czyli wpisu startowego (widzialny tylko odpadek na dysku). Log jest zrobiony zresztą z poziomu Trybu normalnego a nie awaryjnego, co wskazuje że podczas jego wytwarzania problem nie był obecny. Możliwości:

- logi pochodzą sprzed reinfekcji

- logi są zrobione z poziomu innego konta niż to na którym jest problem (logi muszą być zrobione z konta zainfekowanego)

- ComboFix (ślady uruchomienia w logu OTL) usunął tę infekcję.

Określ dokładniej wymieniane aspekty, dołącz log ComboFix utworzony wtedy przez narzędzie (C:\ComboFix.txt).

.

Infekcja Live Security Platinum nie działa w Trybie awaryjnym Windows. Przejdź w ten tryb (wybierz wariant z obsługą sieci), uruchom OTL i zrób wymagane logi.

W logu z OTLPE brak oznak infekcji UKASH. Twoje działania z instalatorem Windows poszły już za daleko, cała zawartość dysku z Windows jest zastąpiona. Aktualnie w logu widać "zainstalowany" Windows 7 Pro x64. Czyli mam rozumieć, że teraz gdy próbujesz uruchamiać Windows pojawia się tylko to (?):

Niestetym dwukrotnie instalator zatrzymywał się w momencie "Trwa kończenie instalacji..."

Kropeczki się pojawiają, wciśnięcie esc powoduje wyświetlenie komunikatu, że w tym momencie nie można zresetować komputera, ani anulować instalacji. Teoretycznie wszystko działa, z wyjątkiem całkowitego braku możliwości poruszenia kursorem, no i trwa to zdecydowanie za długo.

.

W systemie działa rootkit Necurs, co oznajmia sekcja sterowników Windows (są zablokowane = brak poboru danych) + ten sterownik rootkita:

========== Services (SafeList) ==========
 
SRV:64bit: - [2012-08-29 11:41:03 | 000,084,416 | ---- | M] () [unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\ff3aec12599bc249.sys -- (ff3aec12599bc249)
 
[2012-08-29 11:41:03 | 000,084,416 | ---- | M] () -- C:\Windows\SysNative\drivers\ff3aec12599bc249.sys

To on jest odpowiedzialny za blokowanie antywirusów. Ponadto, masz i inne infekcje: java_u.jar (KLIK) oraz niedoczyszczonego UKASHa i szczątki adware.

Akcja:

1. Uruchom Kaspersky TDSSKiller. Dla wyniku Rootkit.Win32.Necurs.gen zostaw akcję domyślnie dobraną przez narzędzie, a powinno to być Delete. Uwaga: TDSSKiller pokaże także ogromną ilość innych prawidłowych sterowników ze statusem "Locked" = tego nie wolno usunąć (sterowniki zostaną odblokowane, gdy działanie Necurs zostanie zdjęte) i wszędzie pozostaw domyślną akcję Skip. Zresetuj system.

2. Po usunięciu rootkita Necurs na Pulpicie pojawi się znak wodny "Tryb testu". Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i wpisz komendę:

bcdedit /set testsigning off

Zresetuj system.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Oracle Java"=-
 
:Files
C:\Users\Administrator\AppData\Roaming\java_u.jar
C:\Users\Administrator\AppData\Local\Microsoft\Windows\912
C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\203i6d2v.default\searchplugins\mailru---.xml
C:\Windows\Tasks\PDVD8Serv.EXE_20110126_232716_0217.job
C:\Windows\Tasks\{3506272D-DBC5-43E9-AEEE-8A835AD5BCD7}.job
C:\Windows\Tasks\{DB0B8399-C80F-4A6E-8091-BDC2D229B432}.job
 
:OTL
IE - HKCU\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
FF - prefs.js..browser.search.defaultenginename: "http://www.mail.ru/"
FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q="
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q="
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found
O2:64bit: - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found.
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - No CLSID value found.
O4:64bit: - HKLM..\Run: [WSManHTTPConfig] C:\Users\Administrator\AppData\Local\Microsoft\Windows\912\WSManHTTPConfig.exe File not found
[2012-09-05 22:50:46 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software
[2012-09-05 22:50:46 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software
[2012-08-21 11:13:12 | 000,054,072 | ---- | M] (AVAST Software) -- C:\Windows\SysNative\drivers\aswRdr2.sys
[2012-08-21 11:12:33 | 000,041,224 | ---- | M] (AVAST Software) -- C:\Windows\avastSS.scr
[2012-08-21 11:12:23 | 000,227,648 | ---- | M] (AVAST Software) -- C:\Windows\SysWow64\aswBoot.exe
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

4. W Firefox w Dodatkach odmontuj SweetIM Toolbar for Firefox. Następnie uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

5. Niepotrzebnie zimmunizowałeś dyski twarde co dopiero uruchomionym USBFixem, tworząc foldery autorun.inf:

O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - E:\Autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-09-07 20:14:39 | 000,000,000 | RHSD | M] - F:\Autorun.inf -- [ NTFS ]

Dlaczego na Windows 7 jest to niepożądane: KLIK. Zastosuj wskazywane w temacie narzędzie MKV, by to odkręcić.

6. Plik HOSTS nie ma idealnie zgodnej z Windows 7 zawartości. Zresetuj go do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL pozyskany w punkcie 3 oraz log z usuwania AdwCleaner pozyskany w punkcie 4.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "error"
FF - prefs.js..browser.search.order.1: "error"
FF - prefs.js..browser.search.selectedEngine: "error"
FF - prefs.js..keyword.URL: "error"
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll File not found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\ProgramData\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=e3b071c6-88b0-11e1-8be8-50e549b56266&q={searchTerms}"
IE - HKLM\..\SearchScopes\{89FD2C09-DC58-4222-B2AB-D52214403118}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=74c50e2e-39fb-11e1-a8c3-005056c00008&q={searchTerms}"
IE - HKU\S-1-5-21-568488351-295207406-3164505343-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=e3b071c6-88b0-11e1-8be8-50e549b56266&q={searchTerms}"
IE - HKU\S-1-5-21-568488351-295207406-3164505343-1000\..\SearchScopes\{5B1594E2-445F-4CF1-9038-21AD6159CC7C}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=e2f978da-7848-11e1-af03-50e549b56266&q={searchTerms}"
IE - HKU\S-1-5-21-568488351-295207406-3164505343-1000\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-568488351-295207406-3164505343-1000\..\SearchScopes\{674F0DC3-18AA-443E-97CA-DF1859D4631E}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=74c50e2e-39fb-11e1-a8c3-005056c00008&q={searchTerms}"
IE - HKU\S-1-5-21-568488351-295207406-3164505343-1000\..\SearchScopes\{89FD2C09-DC58-4222-B2AB-D52214403118}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=74c50e2e-39fb-11e1-a8c3-005056c00008&q={searchTerms}"
IE - HKU\S-1-5-21-568488351-295207406-3164505343-1000\..\SearchScopes\{8CA7D52E-2540-4DC8-9087-45623B426DF7}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-IDW&o=APN10023&src=kw&q={searchTerms}&locale=&apn_ptnrs=LL&apn_dtid=YYYYYYYYPL&apn_uid=22ec857a-51b0-4e22-8400-bf29330bd79f&apn_sauid=96B533C1-F7C1-4A82-8B2E-616082F3551D&"
O2 - BHO: (no name) - {1dd99404-c14e-0483-cc83-e00336679f11} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - {EFEED92A-A33D-4873-BA8F-32BAA631E54D} - No CLSID value found.
O4 - HKU\S-1-5-21-568488351-295207406-3164505343-1000..\Run: []  File not found
O4 - HKU\S-1-5-21-568488351-295207406-3164505343-1000..\RunOnce: [7531E8D9004EB511C5981A95F875EF60] C:\ProgramData\7531E8D9004EB511C5981A95F875EF60\7531E8D9004EB511C5981A95F875EF60.exe ()
O7 - HKU\S-1-5-21-568488351-295207406-3164505343-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Files
C:\ProgramData\7531E8D9004EB511C5981A95F875EF60
C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\Users\Karol\AppData\Roaming\Splashtop
C:\Users\Karol\AppData\Roaming\OpenCandy
C:\Users\Administrator\AppData\Roaming\Splashtop
C:\Users\Karol\AppData\Roaming\Mozilla\Firefox\Profiles\m7jtizly.default\searchplugins\startsear.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4C07A1D7-0F61-4632-8F83-F49CE0BCCE42}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{4C07A1D7-0F61-4632-8F83-F49CE0BCCE42}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. Od tego momentu działasz już w Trybie normalnym Windows:

2. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: Browsers Protector, StartSearch Toolbar 1.3. Przy okazji pozbądź się przestarzałego archaizmu Spybot - Search & Destroy.

- Otwórz Google Chrome i w Rozszerzeniach odinstaluj: StartSearch Video plug-in, SweetIM for Facebook. W zarządzaniu wyszukiwarkami przestaw domyślną ze śmiecia Web Search na cokolwiek innego, po tym usuń Web Search z listy.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\SearchScopes\{163D1892-95E7-42E2-9C00-A776337B6B13}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=crm&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=cfd8b8b2-7cd6-4065-acb2-4e89a74d04fa&apn_sauid=3C3D7DFF-B810-423B-83AD-2D508FB75181"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe" File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKCU..\Run: [sildyna] C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\rwwuhw.exe File not found
O4 - HKCU..\RunOnce: [036E1932000D22070000031381CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036E1932000D22070000031381CB3EF3\036E1932000D22070000031381CB3EF3.exe ()
SRV - File not found [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\036E1932000D22070000031381CB3EF3
C:\Documents and Settings\user\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zt8l5ymw.default\searchplugins\askcom.xml
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\zt8l5ymw.default\searchplugins\conduit.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

2. Odinstaluj adware. Z Avirą został wprowadzony (niestety) pasek Ask.

- Przez Panel sterowania odinstaluj: Ask Toolbar + Avira SearchFree Toolbar plus Web Protection Updater.

- Otwórz Firefox i w Dodatkach odmontuj: Avira SearchFree Toolbar plus Web Protection + uTorrentControl2 Community Toolbar.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Usuń szczątkowe sterowniki McAfee posługując się narzędziem McAfee Consumer Products Removal tool.

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

1. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Podaj log wynikowy.

2. Dorzuć nowe logi z OTL. Spróbuj jeszcze zrobić GMER z poziomu Trybu awaryjnego Windows.

.

Na przyszłość na temat używania ComboFix: KLIK.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050"
O4 - HKCU..\Run: [AdobeBridge]  File not found
O4 - HKCU..\Run: [ybduieakryrgwee] C:\Windows\ybduieak.exe (Arima Computer Corporation)
[2012-09-06 23:22:27 | 000,000,000 | ---D | C] -- C:\ProgramData\nmnouryqrlivfud
[2012-09-06 23:22:27 | 000,078,022 | ---- | M] () -- C:\ProgramData\iifvhmqdnwbukrt
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\rldjifm.sys -- (RL_DJIFM)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\rldjifa.sys -- (RL_DJIF_WDM)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\rldjifu.sys -- (RL_DJIF)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\CDriver.sys -- (MSICDSetup)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Adam\AppData\Local\Temp\catchme.sys -- (catchme)
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Przez Panel sterowania odinstaluj adware Przyspiesz Komputer, SweetIM for Messenger 3.6, Update Manager for SweetPacks 1.0.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

Na koniec podstawowe aktualizacje: KLIK. Czyli:

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{FBF09842-EB7F-4BC2-BD32-DDE2572B2195}" = ESET Smart Security ----> jest stary, rpzważ wymianę
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl)

Temat rozwiązany, zamykam.

.

Cały czas otwiera mi się wyszukiwarka "Claro" gdy otwieram nowa kartę w firefoxie (przyciskiem +). Czyli coś jeszcze zostało z tego paskudztwa.

Wątpliwe, by skan OTL to widział. Tu prawdopodobnie jest modyfikacja preferencji otwierania URL w nowej karcie, a OTL tego nie skanuje.

Uruchom Firefox i w pasku adresów wklep about:config. Wyszukaj browser.newtab.url i z prawokliku zresetuj do poziomu domyślnego. Przy okazji jeszcze zapuść szukanie na frazę claro, a co byś znalazł, też zresetuj.

.

Na sam koniec przeprowadź czynności porządkowe:

1. W OTL uruchom Sprzątanie, w AdwCleaner uruchom Uninstall.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Porównaj co wymaga aktualizacji: KLIK.

.

Konsekwentnie podsuwasz mi log z GMER robiony przy czynnym sterowniku SPTD. Ale to już zostaw. Nasuwają się pytania:

1. Co ze strumieniami KAVICHS? Nadal w logu OTL widać detekcję tych staroci. Wszystkie strumienie tego rodzaju należy usunąć.

2. Jaka aktualnie jest kondycja systemu. Czy to nadal ma miejsce: "system tragicznie chodzi i wyskakuje wiele błędów nie wiem jakiego pochodzenia"?

niestety w dvimgmt.msc (sterowniki nie zgodne z plug and play) nie znalazłem nic dotyczącego kasperskiego więc ręcznie wyrzuciłem jego klucze z rejestru

Akurat część, o którą tu chodziło (sterownik Kasperskiego), wykonał mój skrypt do OTL, w którym zaplanowałam usuwanie obu usług:

========== SERVICES/DRIVERS ==========
Service kavsvc stopped successfully!
Service kavsvc deleted successfully!
Error: Unable to stop service Klmc!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Klmc deleted successfully.

I na dysku nadal jest plik C:\WINDOWS\system32\drivers\klmc.sys.

.

O ile skrypt do OTL wykonany, to w logu Farbar Service Scanner nadal:

Security Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.

Nie zaimportowałeś pliku REG usługi Centrum zabezpieczeń.

.

Wielkie dzięki za wszystkie życzenia. Tu w temacie, w moim profilu i skrzynce wiadomości. To bardzo miłe.

I tak oto kolejna "osiemnastka" za mną.

"Dołącz logi z usuwania OTL + AdwCleaner."

Czyli mam usunąć OTL i AdwCleaner?

Nie, nie w tej fazie. Chodzi o logi, które powstały podczas usuwania programami OTL i AdwCleaner. Zostały dołączone, więc OK.

Infekcja wygląda na pomyślnie usuniętą. Ostały się tylko szczątki adware Blix. Przechodzimy dalej:

1. Poprawka. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"info@bflix.info"=-
 
:OTL
FF - prefs.js..extensions.enabledItems: info@bflix.info:5.0 
O2 - BHO: (TheBflix Class) - {DF68C61C-D14E-4AB5-942C-030FFEA0622C} - C:\Documents and Settings\All Users\Dane aplikacji\TheBflix\bhoclass.dll File not found
[2012-09-06 16:24:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\TheBflix
[2010-07-21 10:40:48 | 000,000,524 | ---- | M] () -- C:\WINDOWS\Tasks\Install.job
[2010-01-03 18:39:34 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\NSSstub.job

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Przedstaw log z wynikami usuwania.

2. Zrekonstruuj skasowane przez ZeroAccess usługi Zapory i Centrum zabezpieczeń, importując pliki REG z artykułu: KLIK. Zresetuj system i podaj nowy log z Farbar Service Scanner.

.

Co się teraz dzieje z uruchamianiem EXE i skrótów LNK? Proces się powiódł, klucze są odblokowane i wyglądają prawidłowo. Jeszcze tu od nVidia w menu kontekstowym jest blokada:

[HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\NvAppShExt]
(Unable to open key)

Do MiniRegTool wklej:

HKEY_CLASSES_ROOT\exefile\shellex\ContextMenuHandlers\NvAppShExt

Zaznacz opcję Unlock Keys i klik w Go.

.

Masz na zrzucie ekranu napisane: dysk D ma ustawiony plik "Kontrolowane przez system". Czyli pagefile.sys na dysku D należy do systemu na C. Nie można go usunąć. Plik musi zostać przelokowany za pomocą opcji na C, tylko na C aktualnie miejsca brak. Czy dałoby się na C coś wygospodarować, by plik można było przesunąć?

Czy to na pewno log z właściwego konta? Nie ma żadnych oznak infekcji. Natomiast masz uszkodzone ścieżki folderów powłoki w rejestrze, co oznajmia ten kuriozalny skan w OTL:

Zrób nowy log OTL, ale na warunku dostosowanym, w sekcji Własne opcje skanowania / skrypt wklej:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Klik w Skanuj (a nie Wykonaj skrypt!).

.

Czy to na pewno skan pełny GMER a nie ekspresowy? I skan zrobiony w złym środowisku, widzialny czynny sterownik SPTD, a miał być usunięy.

Zamieszczam wszystkie powstałe logi, niestety stream armor mi się wykrzaczał i nie dało nim rady nic zrobić, popróbuje jeszcze z innymi programami bo ten znajdywał oko 2600 w przeciągu 10 sec tych streamów.

Strumieni KAVICHS będzie ogromna ilość. Stary Kaspersky doklejał to masowo.

1. Log z Kaspersky Remover kompletnie nieczytelny, wszystko razem sklejone, usuwam wadliwy załącznik. I w logu bez zmian, nadal widać szczątki Kasperskiego, w tym pracujący w tle sterownik:

SRV - File not found [Auto | Stopped] -- C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe -- (kavsvc)

DRV - [2005-08-04 16:01:36 | 000,010,995 | ---- | M] (Kaspersky Lab) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\klmc.sys -- (Klmc)

Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urzązeń. Pojawi się sekcja Sterowniki niezgodne z Plug and Play. Na liście szukaj sterownika Kasperskiego do deinstalacji. Po wykonaniu akcji zresetuj system.

2. Poprawkowy skrypt do OTL:

:OTL
[2011-02-27 16:54:39 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\424wf5hm.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-02-27 16:54:42 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\qih2z3oz.Dorota\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-02-27 16:54:45 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\iza\Dane aplikacji\Mozilla\Firefox\Profiles\x6hczsyi.Domyślny użytkownik\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
F3 - HKCU WinNT: Run - (Ǜ粑ᒬ) - File not found
 
:Services
kavsvc
Klmc

3. Zrób nowy log OTL, ale ogranicz go (nie chcę po raz enty oglądać KAVICHSÓW): opcje Usługi + Sterowniki + Rejestr ustaw na Użyj filtrowania, ale wszystkie pozostałe sekcje na Brak oraz wyszukiwanie plików na Żadne.

.

To jest plik pamięci wirtualnej. Likwidacja pliku zależy od tego czy to odpadek po innym systemie (usuwanie) czy plik aktualnego systemu (wtedy nie wolno tego naruszyć). Log z OTL nie podaje lokalizacji:

7,50 Gb Paging File | 5,80 Gb Available in Paging File | 77,42% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

Sprawdź w opcjach swojego Windows gdzie jest skierowany plik: Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > w sekcji Efekty wizualne ... klik w Ustawienia > Zaawansowane > w sekcji Pamięć wirtualna klik w Zmień > pokaż zrzut ekranu co tam widać.

.