Landuss

Nie wykonałeś punktu 6, który podałem wcześniej o resecie Winsock więc go wykonaj. Teraz weźmiesz się za naprawę skasowanych usług systemowych. 1. Pobierz sobie na dysk tego fixa ode mnie: KLIK. Uruchom go przez dwuklik. Powinna się pojawić informacja o prawidłowym imporcie do rejestru. Ewentualne błędy zignoruj. 2. WAŻNE: Zrestartuj system. 3. Przejdź do tego tematu: KLIK. Popatrz na sekcję "Rekonstrukcja uprawnień kluczy" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) za pomocą SetACL. Ewentualne błędy zignoruj. 4. Zaprezentuj nowy log z FSS.

Ciężko to nam idzie strasznie. Czytasz co ja pisałem wyżej? Zobacz na punkt 7. Gdzie są nowe logi z OTL i gdzie log z Farbar Sevice Scanner?

Na SMART to ja się nie znam za dobrze, ale wygląda że jest w porządku. Takie coś nadaje się do pokazania w dziale Hardware, nie tutaj. Jeśli chodzi o logi to jest w porządku i można kończyć sprawę pod tym względem: 1. Użyj opcji Delete w AdwCleaner. 2. Wklej do OTL kosmetyczny skrypt: :OTL O3 - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. Klikasz w Wykonaj skrypt. Logów żadnych nie pokazujesz. Używasz Sprzątanie w OTL. 3. Opróżnij folder przywracania systemu: KLIK Swoją drogą możesz ewentualnie sprawdzić jak się zachowuje system na czystym rozruchu: KLIK

To nie jest ten log, o który mi chodziło, zobacz uważnie. To jest log ze skanowania FRST a nie log z wykonania skryptu i według tego co ten log pokazuje skrypt nie został tu wykonany. Dałeś w programie opcję Scan zamiast Fix. Wykonaj to jak należy i zgłoś się z właściwym logiem i z pozostałymi też.

Loga z HIjackThis usuwam, nie jest potrzebny. To program przestarzały i od dawna się go już nie stosuje. Ty też o nim zapomnij. Za to powinieneś dać obowiązkowy log z Gmer wiec to uzupełnij i dopiero przejdziemy do oceny logów. EDIT: Dodałeś Gmera. Logi infekcji nie wykazują więc może opisz o co ci chodzi z tym spamem. Do usuwania jedynie paski sponsoringowe i puste wpisy. 1. Wejdź w panel usuwania programów i odinstaluj te pozycje - Conduit Engine / NCH EN Toolbar 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultthis.engineName: "NCH EN Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms}" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Files C:\Users\Oskar\AppData\Roaming\Mozilla\Firefox\Profiles\b8s7cayv.default\searchplugins\askcom.xml C:\Users\Oskar\AppData\Roaming\Mozilla\Firefox\Profiles\b8s7cayv.default\searchplugins\conduit.xml :Services XDva390 XDva389 XDva382 XDva379 SCREAMINGBDRIVER GGSAFERDriver EagleXNt EagleNT catchme :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_USERS\S-1-5-21-575125007-1644275302-1831280697-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-575125007-1644275302-1831280697-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0A25BF38-AA7E-4C77-9EDA-CDD0EA26D224}] [-HKEY_USERS\S-1-5-21-575125007-1644275302-1831280697-1000\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Napisałem ci wyżej: Przecież masz wszystko opisane ze screenami tu: https://www.fixitpc.pl/topic/4414-diagnostyka-infekcji-na-niestartujacych-windows/

Możesz usunąć to co znalazł MBAM ale to nic szczególnego od razu cię mogę uspokoić. Ogólnie logi nie wykazują tu żadnej infekcji. Do wykonania jedynie kosmetyczne usuwanie niektórych odpadków. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = http: //startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //tbsearch.ask.com/redirect?client=ie&tb=BT3&o=14979&src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = http: //startsear.ch/?q={searchTerms} IE - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559 O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-1220945662-1177238915-1004\..\Toolbar\WebBrowser: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\ssBarLcher.dll File not found [2011-09-28 17:36:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\PriceGong :Services ZTEusbser6k ZTEusbnmea ZTEusbmdm6k upperdev ugkcrkob tosrfusb TosRfSnd tosrfnds Tosrfhid Tosrfcom tosrfbnp tosrfbd tosporte massfilter :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

W logach brak śladów jakiejkolwiek aktywnej infekcji. Temat zmienia dział. Zacznij od sprawdzenia jak się zachowuje system na czystym rozruchu: KLIK

Infekcja ZeroAccess jest aktywna, poz tym są inne śmieci ale najpierw zajmiemy się ZeroAccess. Usuwanie przeprowadzisz z zewnątrz (WinRe). 1. Przygotuj w Notatniku następujący skrypt: SubSystems: [Windows] ==> ZeroAccess CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 NETSVC: mod7700 2 mod7700; C:\Windows\System32\vsmon.dll [6656 2009-07-14] (Oak Technology Inc.) C:\Windows\System32\vsmon.dll C:\Windows\System32\consrv.dll C:\Windows\System32\dds_trash_log.cmd C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini C:\Windows\assembly\tmp\U C:\Windows\assembly\tmp\loader.tlb C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} Plik zapisz pod nazwą fixlist.txt 3. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. 4. Restartujesz do Windows. 5. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system64 Klik w Unlock. 6. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 7. Do oceny dajesz log z działania w punkcie 3, nowy log z OTL ze skanu oraz z Farbar Service Scanner (zaznacz wszystko do skanowania).

Wszystko wykonane jak trzeba. Pozostają dwie rzeczy na koniec do zrobienia: 1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner. 2. Opróżnij folder przywracania systemu: KLIK

Teraz rozpoczniesz usuwanie v9. Załączam do skryptu na usunięcie też skrót do Google Chrome z pulpitu bo v9 podstawia wadliwe skróty. Potem utworzysz sobie nowy skrót. 1. Użyj AdwCleaner z opcji Delete. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services VGPU :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1429576823-2155496017-1015197707-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-1429576823-2155496017-1015197707-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL IE - HKU\S-1-5-21-1429576823-2155496017-1015197707-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-1429576823-2155496017-1015197707-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=111015&mntrId=36c1ad5300000000000000262d732f03 [2012-03-06 17:54:20 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\fizolof\AppData\Roaming\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKU\S-1-5-21-1429576823-2155496017-1015197707-1000..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1429576823-2155496017-1015197707-1000..\Run: [CPN Notifier] C:\Program Files\Cake Poker 2.0\PokerNotifier.exe File not found [2012-05-02 16:25:33 | 000,002,413 | ---- | M] () -- C:\Users\fizolof\Desktop\Google Chrome.lnk :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy problem minął.

Problem z literą "Ć" jest dobrze znany. Tu jest zapewne karta graficzna ATI Radeon a problem stanowią sterowniki a konkretniej Catalyst Control Center. Program przypisuje skróty klawiaturowe i tworzy tego typu problem. Wejdź do panelu i poszukaj tego typu opcji: Klawisze dostępu>>>Włącz klawisze dostępu-odptaszkuj. Menedżer klawiszy dostępu również tam odptaszkować wszystkie pozycje.

Jaki błąd? Są alternatywy dla OTL. Zamiennie możesz podać logi z RSIT

Na dysku C go nie ma? Albo w C:\Qoobox? Jeśli nie to chociaż log kwarantanny pokaż - ComboFix-quarantined-files.txt A tego nie rozumiem czemu tak się dzieje, oprogramowanie zabezpieczające czasem nie usuwa ci OTL? Wyłącz na czas operacji i sprawdź. Jeśli nie przejdzie to zobacz w trybie awaryjnym.

W punkcie 3 miałeś kliknąć w Wykonaj skrypt a nie w Skanuj więc popraw to bo najwyraźniej zrobiłeś ten błąd tak wynika z raportu. Poza tym jest w porządku i można przejść do czynności finalnych. 1. Jak już wykonasz skrypt z punktu 3 zastosuj opcję Sprzątanie w OTL. To usuwanie program i jego raporty. Skorzystaj też z opcji Uninstall w AdwCleaner. Możesz pozbyć się też już fiksa ode mnie, GrantPerms i FRST. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416025FF}" = Java 6 Update 25 (64-bit) "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Na wszelki wypadek pozmieniaj sobie hasła logowania do serwisów w sieci. Pozostaje teraz ocena czy wszystko już z systemem w porządku.

Tyle, że ten plugin tak jak wspomniałem jest wątpliwej reputacji i ma klasyfikację szkodliwą. Wiem, wszyscy użytkownicy tutaj tłumaczą to "oglądaniem meczy" ale to nie do końca tak jest. Plugin wstawia swój toolbar, zmienia strony startowe przeglądarek i przestawia domyślne wyszukiwarki na startsearch (też wątpliwa reputacja) bez zgody użytkownika. Takiej wtyczce ufać nie mozna. To już lepszy LiveVDO Plugin choć też oparty na vShare, ale mniej ingeruje w przeglądarki. Jeśli chodzi o logi jest prawie dobrze. Jeszcze drobne poprawki. 1. Usługa Windows Defender kieruje na nieprawidłowy 32 bitowy plik i trzeba to zmienić. Dawałem co prawda w fiksie naprawę usługi, ale coś tu widocznie nie poszło do końca jak należy. Wklej więc do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Gdyby był jakiś błąd to zignoruj. Zrestartuj system. 2. Log z OTL notuję brak pliku hosts na tym systemie: Hosts file not found Plik musisz utworzyć. Upewnij się, że masz włączone pokazywanie rozszerzeń (Mój komputer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik zapisz na wszelki wypadek na pulpit a potem wstaw do folderu C:\Windows\system32\drivers\etc. 3. Drobny skrypt do OTL o takiej zawartości: :OTL IE - HKCU\..\SearchScopes\{040952A5-EBD7-4AD9-A50B-EF5E44CCA320}: "URL" = http: //startsear.ch/?aff=1&q={searchTerms} O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. 4. Do wglądu ostatecznie dajesz nowy log z OTL ze skanowania i z FSS.

v9 to ostatnio plaga. Musisz być uważny podczas instalacji oprogramowania gdyż to jest często doczepiane choćby do Daemon Tools. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=6c7ac53a-186f-11e1-acc7-00238b118f1f&q={searchTerms}" FF - prefs.js..browser.search.defaultenginename: "v9" FF - prefs.js..browser.search.order.1: "v9" FF - prefs.js..browser.search.selectedEngine: "v9" O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Ostatnie wersje v9 podstawiają wadliwe skróty przeglądarek. Tak więc pousuwaj sobie skróty z pulpitu czy też z menu start i utwórz je na nowo. Przykład dla opery - wejdź w C:\Program Files\Opera, prawym na Opera.exe i utwórz skrót. Dla innych przeglądarek podobnie. O efektach poinformuj.

W takim razie zaprezentuj log z ComboFix (powinien powstać) oraz wykonaj logi z OTL

Rootkit usunięty, pora teraz na naprawę usług systemowych i usuwanie pozostałych śmieci. 1. Pobierz sobie na dysk tego fixa ode mnie: KLIK. Uruchom go przez dwuklik. Powinna się pojawić informacja o prawidlowym imporcie do rejestru. Ewentualne błędy zignoruj. 2. WAŻNE: Zrestartuj system. 3. Przejdź do tego tematu: KLIK. Popatrz na sekcję "Rekonstrukcja uprawnień kluczy" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) za pomocą SetACL. Ewentualne błędy zignoruj. 4. Wejdź w panel usuwania programów i odinstaluj pozycje - V9 HomeTool / vShare Plugin / vShare.tv plugin 1.3 5. Uruchom narzędzie AdwCleaner z opcji Delete 6. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\system64 C:\Windows\SysNative\dds_trash_log.cmd C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll C:\Users\Kaczor\AppData\Roaming\Mozilla\Firefox\Profiles\hpa494w0.default\searchplugins\startsear.xml :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=7f6966c3-e48c-11e0-8892-e811320090b8" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 7. Uruchamiazs ponownie OTL na warunku dostosowanym - w oknie Własne opcje skanowania/Skrypt wklejasz tekst: hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs hkcu\software\clients\startmenuinternet|command /rs hkcu\software\clients\startmenuinternet|command /64 /rs Klikasz w Skanuj. 8. Prezentujesz nowe logi z OTL ze skanu, log z usuwania powstały w punkcie 6 oraz nowy log z FSS.

Ja się w tamtym temacie też początkowo pomyliłem, dopiero później to zauważyłem. A więc od początku: Pobierz 32 bitowy ws2_32.dll pod Windows 7 SP1: KLIK Dalej wiesz co robić. Sugeruj się tym tematem: http://www.fixitpc.p...-pliku-rjlbdll/ Można i w ten sposób jeśli program działa.

Logi nie potwierdzają tu żadnej infekcji. Temat zmienia dział. Odinstaluj tylko wątpliwej reputacji wtyczkę vShare.tv plugin 1.3, a następnie uruchom AdwCleaner z opcji Delete (to dokasuje szczątki) Jeśli chodzi o sam problem - przetestuj system na czystym rozruchu: KLIK

Tak możesz spróbować, tu chodzi tylko o zrzucenie danych na nośnik zewnętrzny obojętnie jaki.

Tak z poziomu linii komend możesz go uruchomić. Mam nadzieję, że pobrałeś dobrą wersję narzędzia - FRST x64 EDIT: dodałeś powyżej log. Kopię robisz źle. Tu jest system 64 bitowy więc plik ma być kopiowany do SysWow64 a nie do system32. Infekcja podstawia plik 32bitowy a nie 64bitowy. W dodatku nie ma pewności czy wersja pliku jest prawidłowa. Skąd pobierałeś ws2_32.dll ?

Z jakiego forum? Jeśli chodzi o logi rzeczywiście jest tu ZeroAccess. System jest 64-bitowy a na takim systemie infekcja nie jest rootkitem, ma zupełnie inny mechanizm. Usuwanie przeprowadzisz ze środowiska zewnętrznego (WinRe). Skasowane są też usługi systemowe miedzy innymi Centrum zabezpieczeń czy zapora, ale to naprawisz potem. Najpierw usuwanie infekcji. 1. Przygotuj w Notatniku następujący skrypt: SubSystems: [Windows] ==> ZeroAccess CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 NETSVC: CSRBC 2 CSRBC; C:\Windows\System32\ProcObsrv.dll [6656 2009-07-14] (Oak Technology Inc.) C:\Windows\Temp\vqyadg C:\Windows\System32\ProcObsrv.dll C:\Windows\System32\consrv.dll C:\Windows\System32\dds_trash_log.cmd C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini C:\Windows\assembly\tmp\U C:\Windows\assembly\tmp\loader.tlb C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} Plik zapisz pod nazwą fixlist.txt 3. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. 4. Restartujesz do Windows. 5. Uruchom GrantPerms x64, w oknie wklej: C:\Windows\system64 Klik w Unlock. 6. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 7. Do oceny dajesz log z działania w punkcie 3, nowy log z OTL ze skanu oraz z Farbar Service Scanner (zaznacz wszystko do skanowania).

Napisz o jakim systemie mowa - czy to system XP, Vista, 7 ilu bitowy 32 czy 64 i jaki jest tu Service Pack bo to są istotne dane. A w którym momencie to wciskasz? F8 należy wciskać tuż za informacjami BIOS na czarnym ekranie i nie jeden raz tylko wciskać intensywnie dopóki nie zaskoczy.