Landuss

W logach nic niepokojącego nie widać. srvany.exe to narzędzie przydatne w celu uruchomienia programu jako usługi (tak najprościej można to określić) A powód występowania na systemach jest różny. U Ciebie widzę Office i domyślam się, że crackowany? Jeśli tak to znasz odpowiedź skąd się to wzięło. Jesli nie to widocznie jakiś inny program wymaga uruchomienia srvany Obydwa obiekty tak jak wspominasz związane z pakietami językowymi. Lpksetup.exe sądząc po nazwie odpowiada za instalację/uruchomienie pakietu zaś LPRemove.exe za deinstalację. Takie jest moje zdanie patrząc na nazewnictwo. Czy to jest potrzebne? Według mnie nie, jeśli nie używasz innych języków. Tego typu rzeczy są często podchwytliwie przemycane przy instalacji programów. Trzeba być uważnym. Możesz przelecieć system za pomocą AdwCleaner z opcji Delete co usunie ewentualne pozostałości. Rozumiem, ze chodzi ci o hardlock.sys? Pracuje w uruchomionych usługach: DRV:[b]64bit:[/b] - [2005-06-14 13:01:16 | 000,296,448 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Stopped] -- C:\Windows\SysNative\drivers\hardlock.sys -- (Hardlock) Usuwać można na wiele sposobów, możesz spróbować prostym plikiem BAT a więc wklej do notatnika ten tekst: sc stop hardlock sc delete hardlock del /q C:\Windows\System32\drivers\hardlock.sys pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Oczywiście, że jest potrzebna. Ma ją każdy użytkownik tego systemu. To partycja rozruchowa Windows 7 i bez tego system w ogóle by się nie uruchomił.

Wystarczy, że pokażesz log z nowego skanowania OTL.

Infekcji w obecnych logach ani śladu, ale Gmer powinien mimo wszystko być tu pokazany bo OTL nie potrafi przeczytać tego co Gmer. Postaraj się go wykonać. Na teraz skrypt kosmetyczny do OTL o takiej zawartości: :OTL O2 - BHO: (no name) - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKU\S-1-5-21-1935655697-1659004503-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Services Hamachi2Svc ZD1211BU(Atheros) vproiah SymIMMP SymIM EagleXNt EagleNT catchme :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt, zatwierdź restart. Do wglądu nowy log z OTL (bez ekstras) 2GB to wcale nie aż tak mało, posiadam u siebie bardzo stary komputer na którym jest zaledwie kilkaset MB RAM i system działa poprawnie. Fakt, że do grania w najnowsze tytuły to zbyt mało w dzisiejszych czasach, przydało by się jeszcze 3 razy tyle. Ja na próbę odinstalował bym Nortona. To pojemny pakiet i na podstawie logów jest pierwszym podejrzanym w kwestii zamulania.

Na poziomie rejestru wszystko wygląda w porządku, services.exe nie wygląda na podstawiony, choć suma kontrolna jest zmieniona więc w razie czego wykonasz weryfikację integralności plików przez sfc oraz usuniesz obiekty infekcji. 1. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV:64bit: - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys -- (esgiguard) O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" File not found O4 - HKCU..\Run: [pirtsc] rundll32.exe "C:\Users\Jarek\AppData\Roaming\pirtsc.dll",SteamGameServerUtils File not found :Files C:\Windows\Installer\{871840cb-bc96-cd5e-104a-46e4c107d6c6} C:\Users\Jarek\AppData\Local\{871840cb-bc96-cd5e-104a-46e4c107d6c6} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Prezentujesz log z sfc oraz nowy log z OTL ze skanowania, ale już z wszystkimi opcjami ustawionymi na "Użyj filtrowania" + "Pliki młodsze niż 30 dni"

Na początek wykonaj jeszcze jeden log na dodatkowym warunku - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport.

Za dużo tych logów, nie potrzebujemy aż tyle. Jeśli jest OTL logi z DDS są zbędne bo pokazują to samo. Usuwam niepotrzebne. Avira widać usuwała składniki infekcji ZeroAccess, ale nie do końca jej się to udało. Na początek wykonaj log dodatkowy na warunku dostosowanym - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop type G:\autorun.inf /C Klik w Skanuj i przedstaw raport.

Możesz przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj obowiązkowo do najnowszych wersji wymienione oprogramowanie: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.1 MUI Szczegóły aktualizacyjne: KLIK

Nie tak szybko, wykonaj jeszcze to o co prosiłem a więc kontrolny log:

Jeśli chodzi o Javę wykonaj wszystko od początku. Usuń wszelkie komponenty za pomocą JavaRa i zainstaluj nową wersję Javy (JRE) Jeśli chodzi o pozostałe systemy to infekcji tutaj nie widzę, ale mam uwagi. System z Windows 7 nie ma Service Packa 1 dlatego zadbaj o jego aktualizację. Na systemie z Windows XP wykonaj drobny skrypt kosmetyczny o takiej zawartości: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http: //toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q= IE - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=LMW2&o=16062&src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http: //toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=UT2 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "free-downloads.net Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q=" FF - prefs.js..browser.search.order.1: "Ask.com" [2012-05-30 20:24:10 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2011-05-07 10:02:26 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\extensions\engine@conduit.com [2009-08-03 13:29:07 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\ask.xml [2010-10-29 22:24:03 | 000,002,425 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\baiowu5x.default\searchplugins\askcom.xml O3 - HKU\S-1-5-21-682003330-436374069-1343024091-500\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKU\S-1-5-21-682003330-436374069-1343024091-500..\Run: [] File not found [2011-07-01 09:07:50 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job [2011-07-01 09:08:00 | 000,000,304 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :Services Nero BackItUp Scheduler 4.0 aspnet_state UIUSys catchme PCAMPR5 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kontrolnie wklej nowy log z OTL z tego systemu (bez ekstras)

Zabrakło drugiego loga z OTL - ekstras Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" podczas skanu. Dołącz brakujący log. Na pierwszy rzut oka jednak nie widać tu żadnej infekcji i wątpię by to była dobra droga. Podejrzanym dla przynajmniej części problemów na podstawie loga wydaje się być Kaspersky. Sugeruję tymczasową deinstalacje i sprawdzenie czy coś się zmieni. System też nie ma pliku hosts i to należy naprawić. Upewnij się, że masz włączone pokazywanie rozszerzeń (Panel sterowania > Opcje folderów > Widok > odznaczona opcja Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. Temat przenoszę do bardziej pasującego działu.

Jest w porządku i można kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner 2. Opróżnij folder przywracania systemu: KLIK 3. W związku z rootkitem zmień sobie hasła logowania do serwisów w sieci. To wszystko.

Wykonaj teraz jeszcze poniższe zalecenia: 1. Wejdź w panel usuwania programów i odinstaluj Browsers Protector oraz StartSearch Toolbar 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012/02/20 20:53:17 | 000,000,792 | ---- | M] () -- C:\Users\Poline\AppData\Roaming\Mozilla\Firefox\Profiles\9kyk2tbl.default\searchplugins\startsear.xml [2012/06/06 19:19:47 | 000,003,915 | ---- | M] () -- C:\Users\Poline\AppData\Roaming\Mozilla\Firefox\Profiles\9kyk2tbl.default\searchplugins\sweetim.xml [2012/01/02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012/04/27 13:01:48 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-251638132-866889896-205452805-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{12AFE392-08CE-420F-B570-AAA14175F41E}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{12AFE392-08CE-420F-B570-AAA14175F41E}" [HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{12AFE392-08CE-420F-B570-AAA14175F41E}" [-HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\Software\Wow6432node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Do wglądu dajesz nowy log z OTL ze skanowania (bez ekstras)

Ten błąd należy zignorować, wszystko poprawnie się wykonało. Czy system był restartowany?

Niewiele jest tu do roboty. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [bmcmsc] rundll32.exe "C:\Users\Pawel\AppData\Local\Temp\bmcmsc.dll",ShowEraseDiskDialog File not found [2012-05-20 11:44:00 | 000,000,000 | ---D | M] -- C:\Users\Pawel\AppData\Roaming\Babylon [2011-08-25 17:51:24 | 000,000,000 | ---D | M] -- C:\Users\Pawel\AppData\Roaming\OpenCandy :Reg [HKEY_USERS\S-1-5-21-303761798-2010018014-1560703878-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-303761798-2010018014-1560703878-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-303761798-2010018014-1560703878-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-303761798-2010018014-1560703878-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [-HKEY_USERS\S-1-5-21-303761798-2010018014-1560703878-1000\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

1. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0} Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 2. Wykonaj import do rejestru jak wspomina @picasso a więc do notatnika wklej to co masz podane w jej poście, zapisz i zaimportuj. 3. Pokazujesz log z BlitzBlank oraz nowy log z SystemLook na takim warunku: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :folderfind {c62b0a38-dd58-4b00-d876-f87272fb67d0}

W takim razie w porządku. WD został wyłączony przez infekcję na tej samej zasadzie co centrum i po usunięciu infekcji nie ma prawa być problemów z uruchomieniem usługi. Tyle, że Windows Defender ma być chyba ustawione na Automatyczny bez opóźnionego uruchomienia. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK To tyle, temat jako rozwiązany zamykam.

Tu może być kwestia naruszenia ewentualnie braku plików systemowych. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [SR]: KLIK. Zaprezentuj wynikowy log.

Nie do końca rozumiem twoją wypowiedź - czy Centrum zabezpieczeń działa czy nie? Infekcja została usunięta i centrum powinno działać. Windows Defender to nie jest to samo i on akurat może zostać wyłączony. To jest dość słaby program jeśli chodzi o ochronę. Lepiej zainstaluj jakiegoś darmowego antywirusa w zamian za to.

W takim razie zakładam, ze wiesz co robić bo nie pierwszy raz to wykonujesz i tłumaczyć nie muszę. Dodam tylko, ze IE, Java i Adobe Reader tez wymagają aktualizacji.

Log wskazuje, że tu nie ma tego klucza, o którym wspominałem zaś services nie jest podstawiony więc pytanie czy problem na pewno nadal występuje? Natomiast nie wiem jak jest z obiektami infekcji więc wykonaj jeszcze jeden raport. Uruchom SystemLook x64 i do okna wklej: :folderfind {c62b0a38-dd58-4b00-d876-f87272fb67d0} Klik w Look. Przedstaw raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\Cgnnevitfu.job C:\Windows\System32\wdscore3.dll :Services VGPU tsusbhub Synth3dVsc :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Prezentujesz nowe logi z OTL ze skanowania.

Na wszelki wypadek te pendrivy też wyczyścisz. Montuj więc taki skrypt do OTL (oczywiście pendrivy mają być podpięte tak jak były): :Files $Recycle.Bin /alldrives Recycler /alldrives Do wglądu możesz dać tylko log z usuwania i wypowiedz się czy po tych zabiegach coś się poprawiło i ogólnie jakie są tu jeszcze problemy.

Masz infekcję ZeroAccess i problem z ikonami to jej sprawka. W rejestrze jest dodatkowa klasa infekcji, która powoduje tego typu problem. Wykonaj dodatkowy log - uruchom OTL, wszystkie opcje ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania / skrypt wklej: C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klikasz w Skanuj i prezentujesz log

W logach nie widać aktywnej infekcji a jedynie ślady Conficker. Wykonaj poniższe zalecenia: 1. Odinstaluj starego Avasta za pomocą Avast Uninstall Utility 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-436374069-1606980848-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found [2012-06-05 14:00:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask :Files Recycler /alldrives :Services ffdyyfod :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "4215:TCP"=- [HKEY_USERS\S-1-5-21-436374069-1606980848-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}" [-HKEY_USERS\S-1-5-21-436374069-1606980848-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Prezentujesz nowe logi z OTL "Kido" = "Jeefo" a więc rodzaj infekcji plików wykonywalnych .exe, ale tu nie wygląda by to się dostało na system. Jeśli na tych pendrivach nie ma nic ważnego to można je sformatować, w innym wypadku powinny zostać podpięte, a ty powinieneś wykonać raport z USBFix z opcji Listing

DAEMON Tools Toolbar nadal nie został odinstalowany. Poza tym wszystko dobrze. Czynności końcowe: 1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny, należy zainstalować Service Pack 1 i zaktualizować wymienione programy: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK