Landuss

Źle, masz przecież podane wszystko. Zainstalowałeś Jave JDK zamiast JRE. Odinstaluj te Javy i pobierz poprawne wersje zarówno 32 bitową jak i 64 bitową. Możesz. To do niczego nie będzie potrzebne.

Log z USBFix źle zrobiony. Log ma być wykonany z opcji Listing przy podpiętym dysku zewnętrznym oczywiście. Popraw ten log.

Według mnie też, jak wszystko to wszystko.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKU\S-1-5-21-238070980-272642855-3036170722-1000..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found O4 - HKU\S-1-5-21-238070980-272642855-3036170722-1001..\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent File not found :Files C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\Installer\{2411f3dc-6ff1-e48e-eaa6-cbe4d971bd6e} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z OTL ze skanu (bez ekstras) i nowy z SystemLook.

Teraz usunięte wszystko jak należy. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Adobe Readera do najnowszych wersji: KLIK 4. Zmień dla bezpieczeństwa hasła logowania do serwisów w sieci.

Jak dla mnie to nic szczególnego i nie wygląda groźnie. Logi nic już nie wykazały, MBAM również. Avasta zaktualizowałeś (mam nadzieję) i to może być tego kwestia, że wcześniej nie wykrywał bo był w starej wersji.

Klucz nadal nie został usunięty. Usuniesz ręcznie - Wciśnij klawisz z flagą Windows + R wklep regedit i usuń z prawokliku ten klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Po tej operacji zrób restart i wykonaj nowy log z SystemLook.

Możesz usunąć, to nic szczególnego. Pytanie więc czy jest jeszcze jakiś problem? Jeśli nie to sprawę zamykamy.

Teraz wszystko wykonane jak należy. Infekcja wygląda na pomyślnie usuniętą. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. Upewnij się też czy został usunięty folder C:\WINDOWS\$NtUninstallKB24475$, jesli nie to usuń ręcznie. 2. Opróżnij folder przywracania systemu: KLIK 3. Odinstaluj niepotrzebny Spybot - Search & Destroy. Program przestarzały i nie nadaje się już w dzisiejszych czasach jako ochrona. 4. Zaktualizuj Jave i Adobe Readera do najnowszych wersji: KLIK. Do aktualizacji też stary Avast 4(!) do najnowszej wersji 7: KLIK 5. Wykonaj skan za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje zaprezentuj raport. 6. W związku z infekcją z wysokiej półki zmień dla bezpieczeństwa hasła logowania do serwisów w sieci.

Nie wszystko zostało tu wykonane. Powtórz punkt 1, który dawałem wcześniej bo klucz nadal nie istnieje według SystemLook a tak być nie może. Import nie został wykonany poprawnie. Także powtórz skrypt do OTL o takiej zawartości: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB24475$ /C rd /s /q C:\Windows\$NtUninstallKB12850$ /C :Services UIUSys EagleXNt :OTL O2 - BHO: (no name) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - No CLSID value found. :Commands [reboot] Do oceny nowy log z OTLl i SystemLook.

Czekają cie tylko czynności finalne. 1. Użyj opcji Sprzątanie z OTL zaś BlitzBlank, SystemLook i FSS po prostu usuń z dysku. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci.

Wygląda, ze OTL się zawiesił. Nie ma na co czekać. Zastartuj do trybu awaryjnego Windows i wykonaj skrypt.

To teraz pytanie czy coś się zmieniło w kwestii problemu? Jesli nie proponuję ponownie wykonać naprawę zapory z opisu na forum: KLIK

1. Klucz dalej siedzi, nie wiem czemu to nie chce zejść. Usuniesz ręcznie - Wciśnij klawisz z flagą Windows + R wklep regedit i usuń z prawokliku ten klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} Po tej operacji zrób restart i wykonaj nowy log z SystemLook. 2. Ręcznie dokasuj folder. Uruchom GrantPerms x64 i w oknie wklej: C:\Windows\system32\%APPDATA% Klik w Unlock. Po tym przez SHIFT+DEL skasuj folder C:\Windows\system32\%APPDATA%. .

Gmer może powodować BSOD i to akurat normalna rzecz. To program konfliktowy i jego zachowanie na danym sprzęcie jest różne. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

OTL nie poradził sobie do końca. Trzeba zmienić metodę. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\SysNative\%APPDATA% Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 4. Zresetuj system i załącz nowe logi z FSS, SystemLook i z usuwania BlitzBlank.

Wykonane prawidłowo. To teraz czy jest jeszcze jakiś problem na obecna chwilę? Jeśli nie, przejdziemy do finalizacji.

1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\ 64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Uruchom GrantPerms, w oknie wklej: C:\WINDOWS\$NtUninstallKB24475$ C:\Windows\System32\drivers\etc\hosts Klik w Unlock. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files attrib -r -s -h C:\Windows\System32\drivers\etc\hosts /C C:\Windows\system32\fsutil.exe reparsepoint delete C:\WINDOWS\$NtUninstallKB24475$ /C rd /s /q C:\Windows\$NtUninstallKB24475$ /C reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C C:\Documents and Settings\All Users\Application Data\F4D55F0E000D3E5D00715E6CD151FC84 C:\Documents and Settings\Krzemyk\Local Settings\Application Data\{03c2c37e-7aba-17ff-5e6e-a890f7cf63c3} :OTL FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search" FF - prefs.js..browser.search.order.1: "iMesh Web Search" FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&systemid=1&q=" O2 - BHO: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - d:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {ABB49B3B-AB7D-4ED0-9135-93FD5AA4F69F} - d:\PROGRA~1\IMESHA~1\MediaBar\ToolBar\iMeshMediaBarDx.dll File not found O4 - Startup: C:\Documents and Settings\Krzemyk\Start Menu\Programs\Startup\Wilq - Kalendarz 2011.lnk = File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] [HKEY_USERS\S-1-5-21-329068152-220523388-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-329068152-220523388-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A59}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 4. Pokazujesz log z usuwania w punkcie 3, nowy log z OTL ze skanu (bez ekstras) oraz nowy log z SystemLook.

Czy SystemLook na pewno ukończył swoją pracę? Bo raport wygląda na nieco urwany. Wklej do notatnika ten tekst: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Restart komputera i do pokazania nowy log z SystemLook. Problem z ikonami powinien minąć.

W logach ZeroAccess (Sirefef) w najnowszej wersji co potwierdza Gmer: Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [756] Co ciekawe tu jest też ślad starszej wersji tej infekcji - link symboliczny: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\WINDOWS\$NtUninstallKB24475$] -> Error: Cannot create file handle -> Unknown point type Na początek należy zacząć od pokazania dodatkowego raportu - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy log.

Na początek wyjaśnienia: Tutaj bezsensowne ruszanie tego narzędzia. To jest użyteczne przy rootkitach w MBR (jak sama nazwa mówi) a nie ZeroAccess. To dwie zupełnie inne infekcje. To właśnie robota MBAM. Zostało tu na forum w jednym z tematów zdowodowane, ze on nie potrafi poprawnie usunąć tej infekcji, która to dodaje do rejestru dodatkową klasę i MBAM zamiast ją usuwać robi nadwyżkę klasy co odbija się na problemie z rozmieszczeniem czy wyglądem ikon pulpitu. Wykonaj na początek dwie rzeczy: 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. 2. Zaprezentuj raport z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Plik poprawnie naprawiony i dzięki temu dalsze kroki mają sens. Lecimy: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found :Files C:\Windows\System32\%APPDATA% C:\ProgramData\B7E858A70000261300000B34B4EB2367 C:\Windows\Installer\{cccdec35-58a8-e626-c317-42869a85e0b9} C:\Users\MiK\AppData\Local\{cccdec35-58a8-e626-c317-42869a85e0b9} reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Pokazujesz nowy log z OTL ze skanowania (bez ekstras), z SystemLook i z Farbar Service Scanner (zaznacz wszystko do skanowania)

Podstawowe pytanie ile Ramu posiadasz? Bo to od tego zależy jak ustawić plik.

Dopisywanie się do czyjegoś tematu jest tu niemile widziane i zabronione(!) Wydzielam twój temat w osobny. Wykonaj log dodatkowy pod kątem tej infekcji - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Zacząć trzeba od wyleczenia zainfekowanego pliku systemowego services.exe 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum.