Landuss

W takim razie wykonaj rekonstrukcję - wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc] "DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\ 72,00,69,00,63,00,74,00,65,00,64,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\ 4d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\ 00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security] "Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\ 00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\ 00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\ 00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\ 7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal Sprawdź efekty.

Najwyraźniej coś tu jest nie tak z tą usługą. Wykonaj jeszcze jedną czynność - wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoSaveSettings"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr] "Type"=dword:00000002 "Start"=dword:00000000 "ErrorControl"=dword:00000001 "Tag"=dword:00000004 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,73,00,72,00,2e,00,73,00,79,00,73,\ 00,00,00 "DisplayName"="System Restore Filter Driver" "Group"="FSFilter System Recovery" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Parameters] "FirstRun"=dword:00000000 "DontBackup"=dword:00000000 "MachineGuid"="{EAAFAEEC-4AFE-42BE-83D9-C12FDD4942A6}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr\Enum] "0"="Root\\LEGACY_SR\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"=dword:00000000 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] "DisableConfig"=dword:00000000 [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalMachine\Software\Policies\Microsoft\Windows NT\SystemRestore] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj komputer i sprawdź efekty.

Jest infekcja, która wyłącza centrum tylko że ja tutaj nie widzę żadnego obiektu tej infekcji. Chyba że tu już coś zostało pousuwane. Spróbuj tego: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.

Usuwam tu zbędne logi z HijackThis - program przestarzały i AD-Remover - program nieaktualizowany zaś jego następcą jest AdwCleaner. Logi nie wykazują zupełnie infekcji i temat zmienia dział. W kwestii problemu to sprawdź jak się zachowuje system na czystym rozruchu: KLIK. Nie wykluczone, że tu winnym może być BitDefender.

Jest tu aktywna infekcja - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\jhij\AppData\Local\Temp*.html C:\Users\jhij\AppData\Roaming\nservice32.exe :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "nservice32"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To opcja usuwająca szczątki po toolbarach. W poprzednim logu nie było to usunięte dlatego wspomniałem, ale w tym już tego nie ma więc jest dobrze. Masz Avasta i to jest dobry antywirus poza tym jest darmowy. Nie musisz nic zmieniać w tej kwestii. Po prostu bądź bardziej ostrożny kiedy korzytasz z sieci. Jeśli chodzi o obecne logi - to coś tu się nie zgadza bo log z usuwania pokazuje, że wszystko skasowane a log ekstras nadal widzi zapisy od infekcji. Pytanie zasadnicze - czy problem nadal występuje?

I tym razem udało się jak powinno. Możesz przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj sobie Jave do najnowszej wersji - Java 7 Update 3

Właśnie te wpisy, które dałem na usunięcie w spoilerze. Logi obecne są już czyste. Możesz kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Masz stary Adobe Reader, zaktualizuj do najnowszej wersji: KLIK

Wygląda na to, że podmiana pliku się nie powiodła bo sumy kontrolne się nie zgadzają. Przejdź w tryb awaryjny Windows i wykon aj skrypt do OTL o tej zawartości: :Files C:\Windows\System32\ws2_32.dll|C:\ws2_32.dll /replace :Commands [reboot] Klikasz w Wykonaj skrypt. Powstanie log, który zaprezentujesz na forum. Kolejnym krokiem jest wykonanie nowego loga na dodatkowym warunku tak jak ostatnim razem.

Wykonaj log na warunku dostosowanym - wszystkie opcje w OTl ustaw na Żadne + Brak natomiast w polu Własne opcje skanowania/Skrypt wklep: /md5start ws2_32.dll /md5stop Kliknij w Skanuj i zaprezentuj log. Wykonaj też skan za pomocą Malwarebytes Anti-Malware i zobacz co powie raport.

Nie wiem jak ty to robisz niby "bez Avasta". Pozostaje ci zrobić to z trybu awaryjnego.

Według logów tu nadal jest aktywna infekcja. 1. Plik HOSTS nadal wymaga drobnej modyfikacji gdyż na XP ma w pliku być domyślnie tylko ta linijka: 127.0.0.1 localhost Więc doprowadź zawartość pliku do tego stanu zapisując w nim zmiany. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst (rozwiń spoiler): Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jeśli "znowu się zepsuło" to albo nie usunęło się to do końca ostatnim razem albo znów sobie tą infekcję podstawiłeś uruchamiając jakiś zainfekowany plik lub strone www. 1. Użyj AdwCleaner tym razem z opcji Delete. 2. MyAshampoo Toolbar nadal widnieje jako zainstalowane. Masz z tym jakiś problem? Odinstaluj to w końcu. 3. Wykonaj kolejny skrypt do OTL o takiej zawartości: :OTL O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll File not found O2 - BHO: (StartNow Toolbar Helper) - {6E13D095-45C3-4271-9475-F3B48227DD9F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll File not found O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll File not found O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O35 - HKLM\..exefile [open] -- C:\WINDOWS\svchost.com "%1" %* O37 - HKLM\...exe [@ = exefile] -- C:\WINDOWS\svchost.com "%1" %* :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine] :Commands [emptytemp] Klikasz w Wykonaj skrypt. Powinien powstać log, który zachowaj w celu prezentacji 4. Pokazujesz nowe logi z OTL oraz log powstały po restarcie w punkcie 3.

Logi infekcji nie wykazują. Odinstaluj tylko niepotrzebne sponsoringi - Ask Toolbar / Babylon Toolbar / uTorrentBar Toolbar / vShare.tv plugin. Po odinstalowaniu uruchom narzędzie AdwCleaner z opcji Delete. W kwestii "zamulania" to wykonaj prosty test i sprawdź zachowanie systemu na czystym rozruchu: KLIK Temat zmienia dział.

Lepiej żeby chciał bo Firefox z serii 3 niebawem zakończy żywot więc i tak będzie musiał go zaktualizować. Poza tym aktualizacje zwiększają znacznie bezpieczeństwo. Mimo wszystko namów go do tego. Temat zamykam.

Wykonane co trzeba, możesz przejść do standardowych czynności na koniec. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 4. Start > Uruchom > regedit i usuń ten klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CToolbar_UNINSTALL 3. Obowiązkowe aktualizacje programów (bardzo stary Firefox, Java): Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216018FF}" = Java™ 6 Update 18 "{AC76BA86-7AD7-1045-7B44-A80000000000}" = Adobe Reader 8 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły aktualizacyjne: KLIK

Nie tak szybko. To jeszcze nie koniec wykonywanych tu czynności. Masz zaprezentować nowe logi z OTL tak jak pisałem wyżej oraz z AdwCleaner i Gmera.

Rozumiem, że problem jest tylko na tej przeglądarce? Nie wiem jak dokładnie wygląda to niewyświetlanie się obrazków ale nie widzę tutaj zainstalowanej żadnej Javy. Tu jest system 64 bitowy więc należy zainstalować dwie wersje. Pobierz więc Java 7 Update 3 zarówno w wersji 32 bitowej jak i 64 bitowej. Sprawdź efekty po instalacji.

Nie wygląda to na problem infekcyjny gdyż logi tego nie wykazują. Temat zmienia dział. Zasadnicze pytanie jakiej przeglądarki dotyczy problem?

Skrypt do OTL się zupełnie nie wykonał. Prosze wyłączyć Avasta i zrobić go jeszcze raz.

Zabrakło drugiego loga z OTL - ekstras. Podczas skanowanai musisz mieć zaznaczoną opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania. Wtedy powstanie drugi log. Jeśli chodzi o tamten temat to oczywiście, że u ciebie będzie inaczej. Tam jest przecież inny system niż tutaj i co innego do usuwania. 1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Babylon Toolbar / Conduit Engine / DealPly / free-downloads.net Toolbar / uTorrentBar Toolbar Następnie popraw usuwanie za pomocą AdwCleaner z opcji Delete 2. Pobierz ws2_32.dll dla Windows 7: KLIK. Umieść go bezpośrednio na dysku C:\ 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\System32\ws2_32.dll|C:\ws2_32.dll /replace :Reg [HKEY_USERS\S-1-5-21-1456623502-3680393620-1486400092-1003\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL FF - prefs.js..browser.search.defaultenginename: "Hotspot Shield Private Search" FF - prefs.js..browser.search.selectedEngine: "Hotspot Shield Private Search" FF - prefs.js..browser.startup.homepage: "http://search.hotspotshield.com/g/?c=h" FF - prefs.js..keyword.URL: "http://search.hotspotshield.com/g/results.php?c=s&q=" [2012/03/12 17:14:58 | 000,000,000 | ---D | M] (free-downloads.net Community Toolbar) -- C:\Users\Adi\AppData\Roaming\mozilla\Firefox\Profiles\zndzddnv.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949} [2012/01/21 20:50:38 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2011/05/25 01:41:10 | 000,001,847 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\privatesearch.xml O4 - Startup: C:\Users\Adi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\minecraft_server — skrót.lnk = File not found O4 - Startup: C:\Users\Lena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\minecraft_server — skrót.lnk = File not found O4 - Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\minecraft_server — skrót.lnk = File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zobacz do tego tematu: KLIK Ja osobiście zazwyczaj nie kupuję programów tego typu i preferuje raczej darmowe - Avast, Avira, MSSE no i do skanowania od czasu do czasu wystarczy dodatkowo MBAM. Żadnych blokad w rejestrze tutaj w logach nie było widać więc to raczej nie w tym rzecz. To wygląda na bokadę przez jakiś inny proces/program. Sprawdź co się stanie jak wyłączysz ATI CCC bo według logów startuje to z systemem: O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

1. Przejdź w panel usuwania programów i odinstaluj Browsers Protector 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=830400ce-8405-11e1-b788-0004617e60c3 IE - HKU\S-1-5-21-1390067357-1482476501-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=830400ce-8405-11e1-b788-0004617e60c3 IE - HKU\S-1-5-21-1390067357-1482476501-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=830400ce-8405-11e1-b788-0004617e60c3&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=830400ce-8405-11e1-b788-0004617e60c3" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=830400ce-8405-11e1-b788-0004617e60c3&q=" [2012-04-11 20:38:56 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Warwick\Dane aplikacji\Mozilla\Firefox\Profiles\5xn46dwl.default\searchplugins\startsear.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{88D9B265-C741-4ABE-BCEE-D4A3766E854E}" [HKEY_USERS\S-1-5-21-1390067357-1482476501-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{88D9B265-C741-4ABE-BCEE-D4A3766E854E}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Poprawka dotyczy usunięcia pozostałości po sponsoringach i pustych wpisów. I gdzie nowe logi?

Wszystko poprawnie usunięte. Możesz teraz użyć opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner. Opróżnij folder przywracania systemu: KLIK To wszystko i tylko potwierdź, że problem już nie występuje.