picasso

A jaki powód użycia OTLPE, skoro z poziomu Trybu awaryjnego lub po odcięciu sieci jest możliwe zrobienie standardowych logów OTL spod Windows?

1. Uruchom OTL i w sekcji Custom Scans/Fixes wklej:

:OTL
O4 - HKLM..\Run: [psrmnczcsawobuy] C:\Documents and Settings\All Users\Dane aplikacji\psrmnczc.exe ()
O4 - HKU\Laptop_ON_C..\Run: [psrmnczcsawobuy] C:\Documents and Settings\All Users\Dane aplikacji\psrmnczc.exe ()
[2012/07/24 07:41:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\kfluvphksvpniqt
[2012/07/24 07:41:50 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\rxhloufpomyohnb
[2012/07/24 07:41:45 | 000,057,344 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\odbyyzmr.exe
[2012/07/24 07:41:45 | 000,057,344 | ---- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\hfuqvchk.exe
[2012/07/24 07:41:45 | 000,057,344 | ---- | M] () -- C:\Documents and Settings\Laptop\0.3636801844576347.exe
[2012/02/24 17:15:39 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\Desktop_.ini
 
:Commands
[emptytemp]

Klik w Run Fix. Na dysku C powstanie log z usuwania.

2. System zostanie odblokowany, toteż zaloguj się normalnie do Windows. Przez Panel sterowania odinstaluj adware V9 HomeTool.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

.

Gwoli formalności, kazałeś = jestem kobietą. Ten skrypt do OTL to chyba puszczałeś dwa razy (co jest bez sensu), gdyż wszystko "not found", a definitywnie było w skanie widzialne wcześniej. Kończymy:

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

2. W Dzienniku zdarzeń błąd WMI numer 10. Napraw: KB2545227.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Wykonaj podstawowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych co mam na myśli, m.in. przestarzała Java jest przyczyną infekcji:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417001FF}" = Java™ 7 Update 1 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla 64-bitowego IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla 32-bitowych Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak SP3
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)
 
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-2891997501-4100057630-4045228151-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 18.0.1025.142

PS. Uwagi poboczne:

- Para Gadu-Gadu 10 + Tlen.pl to wg mnie niefortunna sprawa. Pierwszy jest nie do użytku (żre zasoby i dręczy reklamami). Na drugim firma położyła krzyżyk, nierozwijany. Sugeruję oglądnięcie innych alternatyw z obsługą sieci Gadu: WTW, Miranda, Kadu, AQQ. Wszystko opisane w artykule Darmowe komunikatory.

- Sunrise Seven: widzę zainstalowany i przestarzegam przez użyciem opcji czyszczenia ...\DriverStore\FileRepository. To błąd, że aplikacja to udostępnia. Wyczyszczenie repozytorium sterowników ma duże skutki uboczne, takie jak błędy Windows Update i niemożność instalacji sterowników nowo podpinanych urządzeń.

.

Na zakończenie wykonaj podstawowe aktualizacje: KLIK. Z Twojej listy zainstalowanych, Windows nieaktualizowany (brak SP1+IE9) oraz widoczne wersje:

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java™ 6 Update 20 (64-bit)
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 29
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

To m.in. stara Java jest przyczyną tej infekcji.

.

To ciekawe, że mnie pomijasz. Mam nie udzielać odpowiedzi?

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4:64bit: - HKLM..\Run: [syncInfrastructure] C:\Users\Michu\AppData\Local\Microsoft\Windows\4069\SyncInfrastructure.exe ()
O4 - HKU\S-1-5-21-680975805-1691464845-3652811384-1000..\Run: [AdobeBridge]  File not found
 
:Files
C:\Users\Michu\AppData\Local\Microsoft\Windows\4069
C:\Users\Michu\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Przez Panel sterowania odinstaluj przestarzały i bardzo słabo dopasowany do platformy x64 program Spybot - Search & Destroy.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1.

.

Sprawa zdaje się rozwiązana, wszystko zniknęło od SpeedBit i tym razem brak nawrotu. Na zakończenie:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Wykonaj podstawowe aktualizacje: KLIK. Tutaj z Twojej listy zainstalowanych do czego zmierzam, to m.in. stara Java prowadzi do infekcji UKASH:

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish
"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"FileZilla Client" = FileZilla Client 3.5.1
"Netscape Navigator (9.0.0.6)" = Netscape Navigator (9.0.0.6) ----> prehistoria, do deinstalacji
"Opera 11.64.1403" = Opera 11.64

4. NetLimiter sypie błędami w Dzienniku zdarzeń i sugerowana deinstalacja:

[ NetLimiter 3 Events ]
Error - 2012-07-19 04:02:03 | Computer Name = SPECIAL-XP | Source = NetLimiter 3 Service | ID = 1000
Description = Registration or trial period expired
 
[ System Events ]
Error - 2012-07-19 09:13:14 | Computer Name = SPECIAL-XP | Source = Service Control Manager | ID = 7022
Description = Usługa NetLimiter 3 Service zawiesiła się podczas uruchamiania.

PS. Komentarz poboczny na temat Gadu-Gadu 10. Wiemy: ciężki program pożerający zasoby + dręczenie reklamami. Proponuję alternatywę z obsługą sieci Gadu, a można wybierać między tymi: WTW, Kadu, Miranda, AQQ. Opisy w artykule Darmowe komunikatory.

.

Nie potrzebne tyle logów z AdwCleaner, interesuje mnie tylko ten z usuwania, pozostałe odcinam.

Na dysku C powstały 2 katalogi TDSSKiller_Quarantine i _OTL , można je usunąć?

Spokojnie, to zawsze czyszczę na końcu.

Rootkit wyleczony, infekcja FBI i adware też usunięte w dużej części. Ale są jeszcze odpadki + ten plik stawił opór:

========== FILES ==========
File move failed. C:\WINDOWS\System32\wowyo.dat scheduled to be moved on reboot.
 
Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\System32\wowyo.dat scheduled to be moved on reboot.
 
PendingFileRenameOperations files...
[2012-04-12 21:29:02 | 000,014,675 | -HS- | M] () C:\WINDOWS\System32\wowyo.dat : Unable to obtain MD5

Nie jest pewnym czy został skasowany, bo powyższe dane sugerują że nie, jednocześnie na dysku go już nie widzę.

1. Otwórz Google Chrome. Wejdź do Opcji. W zarządzaniu wyszukiwarkami przestaw domyślną ze SweetIM Search na np. Google, po czym SweetIM Search skasuj z listy. Następnie zamknij Google Chrome i otwórz w Notatniku do edycji plik:

C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

W pliku tym wytnij odnośniki do wtyczek vShare.tv + LiveVDO. Dla porównania punkt 3 w tym temacie: KLIK.

2. Zamknij Firefox. Otwórz w Notatniku jego plik konfiguracyjny:

C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\prefs.js

W pliku tym wytnij wszystkie linie, które zaczynają się od sweetim* i browser.search.*, a także linię z browser.startup.homepage i keyword.URL. Zapisz zmiany w pliku.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\searchplugins\startsear.xml
C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\ygs6j7v1.default\searchplugins\sweetim.xml
C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
C:\Documents and Settings\user\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj
C:\Documents and Settings\user\Dane aplikacji\wtxpcom
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
 
:OTL
FF - prefs.js..extensions.enabledItems: {3697b17c-b572-4862-a5e6-7f922c0f3403}:1.1
IE - HKU\S-1-5-21-1960408961-527237240-1417001333-1004\..\SearchScopes\{20C4DF3C-420C-4A6F-B36A-B3D2DA094087}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=4CAFD93C-05C4-46D8-8BC2-4C7F1A579E82&apn_sauid=DA3A3D2E-5424-42FA-B6D5-B2C0B12CE24F&"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i w oknie wklej:

:filefind

C:\WINDOWS\System32\wowyo.dat

Klik w Look i przedstaw wynikowy log.

.

No to podaj ten log z FRST, choć mam wątpliwości czy tam będzie cokolwiek widać. I pytanie:

Tryby awaryjne nie działają.

A Ostatnia poprawna konfiguracja?

.

Nie wiem, czy to dobrze czy źle, ale wypluło mi tylko plik OTL.txt, bez Extras.txt.

Konfiguracja na forum opisuje dlaczego tak się dzieje: KLIK.

Tak, właściwe konto i widać wpis infekcji. Przechodzimy do usuwania:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
IE - HKU\S-1-5-21-1292428093-602162358-725345543-1004\..\URLSearchHook: {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - SOFTWARE\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}\InprocServer32 File not found
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
O2 - BHO: (Reg Error: Value error.) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - Reg Error: Value error. File not found
 
:Files
%userprofile%\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3318
%userprofile%\Dane aplikacji\hellomoto
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"WMNetMgr"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Należy od razu skorygować sytuację w antywirusach, bo źle się tu dzieje, pracują równoległe AVG 2012 + Microsoft Security Essentials. Jeden z nich do deinstalacji.

3. Odinstaluj adware pdfforge Toolbar v1.1.2. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

Skrypt pomyślnie wykonany. Niemniej robota jeszcze jest, skan Farbar pokazuje dewastację usług Windows, wielu brakuje.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Usługa inteligentnego transferu w tle"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Transferuje dane pomiędzy klientami a serwerami w tle. Jeżeli usługa BITS zostanie wyłączona, funkcje takie jak Windows Update nie będą działać poprawnie."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,71,00,6d,00,\
  67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum]
"0"="Root\\LEGACY_BITS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Instrumentacja zarządzania Windows"
"DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,00,00,00,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
"Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\
  00,6c,00,6c,00,00,00
"ServiceMain"="ServiceMain"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum]
"0"="Root\\LEGACY_WINMGMT\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Aktualizacje automatyczne"
"ObjectName"="LocalSystem"
"Description"="Umożliwia pobieranie i instalowanie aktualizacji systemu Windows. Jeśli ta usługa jest wyłączona, ten komputer nie będzie mógł używać funkcji Aktualizacje automatyczne lub witryny Windows Update w sieci Web."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\
  61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

2. Zresetuj system i wygeneruj nowy log z Farbar Service Scanner.

.

Wpis który wyłączyłeś:

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tmpkvprmzorhqtu]
"key"="SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run"
"item"="tmpkvprmzorhqtu"
"hkey"="HKLM"
"command"="C:\ProgramData\tmpkvprm.exe"
"inimapping"="0"
"YEAR"= 0x00000007dc (2012)
"MONTH"= 0x0000000007 (7)
"DAY"= 0x0000000018 (24)
"HOUR"= 0x0000000001 (1)
"MINUTE"= 0x0000000039 (57)
"SECOND"= 0x0000000022 (34)

Skoro tylko na tym wpisie manipulowałeś, skasowałeś plik infekcji skorelowany z tym wpisem, ale do usuwania jest więcej obiektów na dysku. Akcja:

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator i skasuj klucz:

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tmpkvprmzorhqtu

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\szjodczuzjggxpp
C:\ProgramData\vrfjwhxzvaphwqx
 
:OTL
O4:64bit: - HKLM..\Run: [Windows Defender]  File not found
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

3. Do oceny wystarczy tylko log z wynikami usuwania z punktu 2, nie ma potrzeby tworzyć nowego skanu OTL. I odpowiedz na pytanie czy znasz te pliki, mają dziwne nazwy:

[2012-07-12 13:30:12 | 000,063,343 | ---- | M] () -- C:\Users\Hannibal\Documents\hggh.wma
[2012-07-12 13:28:48 | 000,063,343 | ---- | M] () -- C:\Users\Hannibal\Documents\ty.wma
[2012-07-12 13:26:11 | 000,067,833 | ---- | M] () -- C:\Users\Hannibal\Documents\jkj.wma

.

Proszę nie podbijaj postami typu "wszystko ok?". Zasady działu: KLIK. Jest wyraźnie napisane, by czekać cierpliwie na swoją kolej. My się nie rozmnożymy. Odcinam też zbędny załącznik. Po co mi dwa logi OTL z opcji Skanuj, mnie chodzi o jeden log z nowego skanowania oraz log z wynikami usuwania OTL (to kompletnie inny log, tworzony automatycznie podczas usuwania). Ten log z usuwania już sobie podarujemy, jako że widać w nowym skanie pożądane zmiany. Kolejna porcja czynności do wykonania:

1. Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługi Centrum zabezpieczeń + Windows Update i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Pomijam wyłączony Windows Defender, tu się klaruje na później instalacja pełnowartościowego antywirusa, a przy nim Windows Defender jest zbędny.

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

3. Wyczyść foldery Przywracania systemu: KLIK.

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

.

To co wykrywa Avira to rootkit ZeroAccess tu w wariancie user mode, GMER notuje jego czynności (ukryty moduł "n" wstrzelony do procesów systemowych). Wymagany dodatkowy skan na punkty ładowania.

1. Uruchom SystemLook i w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

Klik w Look. Przestaw raport wynikowy.

2. Dodatkowo zrób log z Farbar Service Scanner. Zaznacz wszystkie opcje.

.

1. Otwórz Notatnik i wklej w nim:

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 7531CC920064715100086D7A4F147CE7 /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser" /v {D4027C7F-154A-4066-A1AD-4243D8127440} /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar\{8dcb7100-df86-4384-8842-8fa844297b3f}" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}" /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Plik umieść wprost na C:\.

2. Uruchom BlitzBlank i w karcie Script wklej:

DeleteFolder:

C:\ProgramData\7531CC920064715100086D7A4F147CE7
C:\ProgramData\B7E858860001B291000069C6A60145BE
C:\Windows\Installer\{806c1e19-c58c-a423-9fea-9f6040b843b3}
C:\Users\avans\AppData\Local\{806c1e19-c58c-a423-9fea-9f6040b843b3}
C:\Users\avans\AppData\Local\Temp
C:\Users\avans\AppData\Roaming\Xymuen
C:\Users\avans\AppData\Roaming\Samy
C:\Users\avans\AppData\Roaming\Beni
 
DeleteFile:
C:\ProgramData\qjaxlkio.dss
"C:\Users\avans\AppData\Roaming\Mozilla\Firefox\Profiles\p3isvdex.default\searchplugins\askcom.xml"
"C:\Users\avans\AppData\Roaming\Mozilla\Firefox\Profiles\p3isvdex.default\searchplugins\conduit.xml"
"C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml"
 
Execute: 
C:\fix.bat

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

3. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: Complitly, free-downloads.net Toolbar.

- Otwórz Google chrome, wejdź do Opcji i w Rozszerzeniach odmontuj: Complitly, DealPly. Również przekonfiguruj stronę startową z Babylon na coś innego.

- Otwórz Firefox i w Dodatkach odinstaluj: free-downloads.net Community Toolbar.

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

5. Wygeneruj nowy log OTL z opcji Skanuj (tym razem proszę dołącz cały extras, poprzedni jest urwany), Farbar Service Scanner (wszystkie opcje zaznaczone) oraz SystemLook na warunki:

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

Dołącz log z usuwania BlitzBlank z punktu 3 oraz AdwCleaner z punktu 4.

.

Logi z OTL zrobione z poziomu złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

Computer Name: XXXXXXX-23B8A50 | User Name: Administrator | Logged in as Administrator.

To ma ogromne znaczenie dla raportów, gdyż konta mają różne rejestry i katalogi... Zaloguj się na właściwe konto, zrób nowe logi, podmień załączniki w pierwszym poście i zawiadom na PW o edycji.

EDIT:

Logi podstawione. Przechodzimy do czyszczenia.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [siSUSBRG] C:\WINDOWS\SiSUSBrg.exe File not found
O4 - HKCU..\RunOnce: [6F63A5884B7C69B15C18DEC281CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A5884B7C69B15C18DEC281CB3EF3\6F63A5884B7C69B15C18DEC281CB3EF3.exe ()
O9 - Extra Button: Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O9 - Extra 'Tools' menuitem : Click to call with Skype - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
SRV - File not found [Auto | Stopped] -- D:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\PIOTRM~1.000\USTAWI~1\Temp\aaudstum.sys -- (aaudstum)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\piotrmati\Moje dokumenty\Pobieranie\WinFlash.sys -- (WINFLASH)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Programy\Everest Ultimate Edition 2007 4.20.1197 PL\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | Auto | Stopped] -- D:\Program Files\CyberLink\PowerDVD\000.fcl -- ({95808DC4-FA4A-4c74-92FE-5B863F82066B})
 
:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F63A5884B7C69B15C18DEC281CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\piotrmati.XXXXXXX-23B8A50\Dane aplikacji\Babylon
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

2. Przeprowadź deinstalacje adware i zbędników:

- Przez Panel sterowania odinstaluj: adware Conduit Engine, I Want This, SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6, YouTube Downloader Toolbar v6.0 oraz przestarzały program Spybot - Search & Destroy.

- Otwórz Google Chrome, wejdź do Opcji i powtórz w Rozszerzeniach deinstalację I Want This.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

5. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

W systemie jest gorszy trojan ZeroAccess. Wymagany skan dodatkowy na punkty ładowania. Uruchom SystemLook x64 i w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

Klik w Look i przedstaw raport końcowy.

.

Te logi z OTL nie są najwyraźniej zrobione z poziomu właściwego konta, bo brak tu jakichkolwiek wpisów startowych infekcji, a po folderach na dysku widać, że conajmniej dwa konta są w Windows (prócz wbudowanych Administrator + Gość). Logi muszą być zrobione z poziomu konta, które ma problem, gdyż rejestry i foldery kont są różne.

.

Założyłeś temat w dziale diagnostyki infekcji. Póki co nie ma tu żadnych relacji z infekcją nakreślonych. Temat zmienia dział.

Teraz probuje włączyć komputer cały czas wyskakuje Sytem Recovery.

Toteż wybierz to, gdyż ten moduł daje dostęp do WinRE. Tutaj można: cofnąć system wstecz przez Przywracanie systemu lub z Wiersza polecenia uruchomić FRST w celu zrobienia raportu. Sugeruję od razu to pierwsze.

.

Owszem, może bootować z pendrive, ale potrzebne jest narzędzie które przygotuje pendrive i zgra plik ISO na niego. Jaki masz problem z nagraniem normalnej CD?

I owszem, w systemie stare Gadu-Gadu 7.6, czyli proces powinien pochodzić od niego. Co można z tym zrobić:

1. Obejście doraźne na sam błąd, czyli manipulacja w folderze Gadu i wywalenie plików update* / podmiana ich pustymi falsyfikatami (np. zrobionymi w Notatniku).

2. Lepsze rozwiązanie to wymiana komunikatora na nowszą sprawniejszą alternatywę z obsługą sieci Gadu. GG7 to trup, bardzo niski poziom bezpieczeństwa (brak szyfrowania połączeń = możliwość podsłuchu) oraz nikła zgodność z własną siecią. W artykule Darmowe komunikatory są opisane alternatywy: WTW, Kadu, Miranda, AQQ. Pogrubiony jest polecany. Lepsza obsługa sieci Gadu niż stare GG7, zero reklam, portable, lekki, rozszerzalność przez wtyczki, modyfikacja wyglądu.

Z gmera nie zalaczylem bo pisze komunikat "Błąd Nie masz uprawnień do wysyłania tego typu plików"

Tak długo na forum, a Pomoc nie przeczytana? Tam jest wyjaśnione, że załączniki akceptują tylko rozszerzenie *.TXT, a Ty próbujesz dołączać *.LOG. Wystarczy zmienić nazwę pliku. Zresztą w instrukcji GMER jest mowa o użyciu Kopiuj i zapisie ręcznym do Notatnika a nie bezpośrednim zapisie loga (to ma cel), nie byłoby problemu rozszerzenia.

PS. I drobny skrypt kosmetyczny na odpadki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisPT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nlndis.sys -- (NLNdisMP)
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)

Klik w Wykonaj skrypt. Po tym zastosuj Sprzątanie w OTL.

.

mam wlaczyc OTL kliknac Skanuj i wrzucic plik z wynikiem? to samo z FSS?

Przecież wyraźnie to mówię:

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

Temat przenoszę do działu Windows 7. Brak oznak infekcji. ZeroAccess byłby wręcz przyjemnością, a naprawa relatywnie szybka, to niestety nie jest tej kategorii:

Odkryłem samodzielnie przez skanowanie Farbar Service Scanner iż klient DHCP nie działa.

Przy próbie uruchomienia przez Panel Sterowania -> Usługi: "Błąd 5: Odmowa dostępu"?

 

W dzienniku systemu oprócz usługi DHCP wywalającej błędy równiesz błędy lub niemożność uruchomienia raportuje jeszcze:

- Usługa listy sieci, ( zależy od usługi Rozpoznawanie lokalizacji w sieci, której nie można uruchomić z powodu następującego błędu: Operacja zakończona pomyślnie!?)

- Usługa Rozpoznawania lokalizacji w sieci - specyficzny błąd %%-1073741288

- Usługa Podstawowy aparat filtrowania - Odmowa dostępu

- Usługa Zapora Windows zależy od Podstawowy aparat filtrowania, której nie można uruchomić, Odmowa dostępu.

Obawiam się, że to jest ten przypadek: KLIK. Czyli wyresetowana cała gałąź SYSTEM, wszystkie uprawnienia skopane. Naprawa uprawnień tak wielkiej usterki to dla mnie równie wielka robota i nie jestem w stanie tego zrobić teraz. Wstępnie wytwórz kopię rejestru via RegBack i doślij plik SYSTEM. Może dziś w nocy uda mi się zrobić plik resetujący do SetACL. Nic nie obiecuję na pewno.

.

Nie podałeś gdzie AVG widzi infekcje. A system jest okropnie zabrudzony. Jest tu infekcja, która prawdopodobnie weszła z lewej paczki do Tibia. Ponadto ogromna ilość adware.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=hp&babsrc=lnkry"
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q="
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?AF=100908"
FF - prefs.js..extensions.enabledItems: crossriderapp498@crossrider.com:0.76.37
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files\GamersFirst\LIVE!\nplivelauncher.dll File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/kw/kw_1330210996_635873"
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A089A432-0AF3-11E1-908C-0060B301A74B}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120303200046703&tb_oid=03-03-2012&tb_mrud=03-03-2012" 
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/kw/kw_1330210996_635873"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120226&user_guid=FB1E2A5FB28D4917B59B94C1DEAF701D&machine_id=66ab3c057403ee63c1217f49132e09f1&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&babsrc=SP_ss&mntrId=5433eef4000000000000243c2006e073"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.astroburn-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={40889FFC-A928-4B0C-95A2-7C69AE9F3063}&mid=6079b3e3aeb1f40ab1b5cb8598ece27c-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2011-12-01 15:17:38&v=9.0.0.18&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A089A432-0AF3-11E1-908C-0060B301A74B}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120303200046703&tb_oid=03-03-2012&tb_mrud=03-03-2012:
O4 - HKLM..\Run: [crack.exe] C:\WINDOWS\crack.exe File not found
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WinDefender] C:\WINDOWS\Wincft.exe File not found
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [AutoConnect] D:\AutoConnect\AutoConnect.exe File not found
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [browser Infrastructure Helper] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Smartbar\Application\Linkury.exe (Smartbar)
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [HKCU] C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [Media Finder] "C:\Program Files\Media Finder\Media Finder.exe" /opentotray File not found
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O7 - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\WINDOWS\system32\Winbooterr
C:\Documents and Settings\Michał\Dane aplikacji\Michałlog.dat
C:\WINDOWS\os4.exe
C:\WINDOWS\zlib1.dll
C:\WINDOWS\Last.dat
C:\WINDOWS\memlist.dat
C:\WINDOWS\Language.dat
C:\WINDOWS\test.dat
C:\Documents and Settings\Michał\Dane aplikacji\OpenCandy
C:\Documents and Settings\Michał\Dane aplikacji\PriceGong
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\absearch-search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\conduit.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\daemon-search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\SweetIM Search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\sweetim.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\Web Search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\winamp-search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\yahoo-zugo.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"crossriderapp498@crossrider.com"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

2. Masowe deinstalacje adware i śmieci:

• Przez Panel sterowania odinstaluj: 50 FREE MP3s +1 Free Audiobook!, Astroburn Toolbar, Babylon toolbar on IE, BabylonObjectInstaller, DAEMON Tools Toolbar, Deinstalator Strony V9, Download Updater (AOL LLC), Linkury Smartbar, Media Finder 1.0.9.26, RewardsArcade, Softonic-Polska Toolbar, SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6, StartNow Toolbar, Winamp Toolbar.
  
• Otwórz Firefox i odmontuj w Dodatkach: Babylon, Free Lunch Design TB Community Toolbar, Linkury Smartbar, StartNow Toolbar, Winamp Toolbar
  
• Otwórz Google Chrome i w Rozszerzeniach odmontuj: Babylon Toolbar, General Crawler, Linkury Smartbar, Media Finder plugin, RewardsArcade. W zarządzaniu wyszukiwarkami przestaw domyślną np. na Google zaś Enter to usuń z listy, no i przestaw stronę startową.
  

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

hklm\Software\Microsoft\Active Setup\Installed Components|svchost.exe /RS

Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

W logu z OTL nie widać w ogóle wpisów startowych tej infekcji. A zapewne dlatego, że logi są wygenerowane ze złego konta, czyli wbudowanego w system Administratora a nie konta użytkownika:

Computer Name: ARTUR | User Name: Administrator | Logged in as Administrator.

Konta mają inne rejestry i foldery, co znacząco zmienia raporty. Proszę o zrobienie logów OTL z poziomu konta użytkownika.

.

Edit: Wszedlem w autostart i znalazłem program o podejrzanej nazwie skaładający się z ciągu liter. Wyłączyłem go, zlokalizowałem po ścieżce i wywaliłem. Dodatkowo znalazłem folder, który ten śmieć założył z całą "oprawą" komunikatu. Po zrestartowaniu komputera problem już zniknął, ale nadal widnieje w autostarcie(jest wyłączony). Podana jest tam również ścieżka do rejestru, ale nie ma go pod wskazanym adresem(usunąłem go już). W jaki sposób go wywalić z tego autostartu żeby się już na dobre go pozbyć?

Logi jak rozumiem nieaktualne, tzn. sprzed tej akcji. Nie sprecyzowałeś w czym "wyłączyłeś", msconfig? Podaj skan dostosowany. Uruchom SystemLook x64 i w oknie wklej:

:reg
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig /s

Klik w Look i przedstaw raport wynikowy.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=fd7b7991-1dbf-11e1-9d22-88ae1d75c1f4&q="
IE - HKU\S-1-5-21-8447355-985644443-322320999-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=fd7b7991-1dbf-11e1-9d22-88ae1d75c1f4&q={searchTerms}"
O4 - HKU\S-1-5-21-8447355-985644443-322320999-1000..\RunOnce: [7531CC920045EF4994C2EACD4F147CE7] C:\ProgramData\7531CC920045EF4994C2EACD4F147CE7\7531CC920045EF4994C2EACD4F147CE7.exe ()
O7 - HKU\S-1-5-21-8447355-985644443-322320999-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
[2011/06/24 23:53:20 | 000,000,040 | ---- | M] ()(C:\Windows\SysNative\?Z) -- C:\Windows\SysNative\ï½ Z
 
:Files
C:\ProgramData\7531CC920045EF4994C2EACD4F147CE7
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
C:\Users\Admin\Desktop\Live Security Platinum.lnk
C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ptvxnfml.default\searchplugins\startsear.xml
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

2. Przez Panel sterowania odinstaluj adware VshareComplete, vShare.tv plugin 1.3. Otwórz Firefox i w Dodatkach powtórz usuwanie tego samego.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.