Landuss

To nie wygląda na winę infekcji. Logi masz czyste. To bardziej wygląda na kwestię uprawnień. Sprawdź czy w trybie awaryjnym masz ten sam problem. Niestety log z OTL nie pokazał wykazu dziennika zdarzeń więc możesz to zrobić inaczej. Wejdź w katalog C:\WINDOWS\system32\winevt\Logs i spakuj pliki Aplikacja.evtx + System.evtx do formy .ZIP a następnie wrzuć na http://www.speedyshare.com/ Tak nawiasem mówiąc masz bardzo mało miejsca na partycji systemowej co też dobrze nie wpływa na system: Drive C: | 40,04 Gb Total Space | 1,70 Gb Free Space | 4,23% Space Free | Partition Type: NTFS

Posty łącze a temat przenoszę bo infekcji tutaj zupełnie nie widać. Nie tędy droga. Prosty test na początek to czysty rozruch i ocena sytuacji: KLIK

Tyle, że teraz powinieneś jeszcze typować, które to rozszerzenia sprawiają problem. Możesz teraz robić odwrotnie a więc włączyć rozszerzenia np. danego producenta i sprawdzać efekty po restartach, aż w końcu natrafisz na to które jest problematyczne.

Jest dobrze. Można przejść do czynności finalnych. 1. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Mateusz Borowiak^Start Menu^Programs^Startup^newmoon18.exe] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj obowiązkowo oprogramowanie: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

Nie wiem skąd u ciebie ten błąd z Ad-Remover. A toolbar widzę nadal siedzi i nie został odinstalowany. Przeoczyłem wczesnej jeszcze śmiecia SearchSettings tak więc wykonaj kolejny skrypt: :OTL O3 - HKU\S-1-5-21-3598676567-2428651126-230777856-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [searchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files (x86)\Application Updater C:\Program Files (x86)\Common Files\Spigot Nowy log do oceny.

Tym razem wszystko wykonało sie prawidłowo i problemy powinny zniknąć. Do zrobienia końcowe sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj obowiązkowo poniższe oprogramowanie do najnowszych wersji: "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 "Adobe Flash Player ActiveX" = Adobe Flash Player ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "ie7" = Windows Internet Explorer 7 "Mozilla Firefox (3.6.24)" = Mozilla Firefox (3.6.24) Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

To nie będzie problem infekcji. Logi czyste, temat zostaje przeniesiony. Ja myślę, że to nie ma z tym nic wspólnego - czysty zbieg okoliczności. To wygląda na problem z rozszerzeniami powłoki explorer.exe i to należy sprawdzić. Pobierz na dysk program ShellExView. Uruchom go i zaznacz wszystkie niedomyślne rozszerzenia (różowe) a następnie je wyłącz. Zrestartuj komputer i sprawdź efekty.

To prawdopodobnie sprawka wtyczki vShare, która ma wątpliwą reputację. To trzeba będzie usunąć by pozbyć się też startsearch. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=a2acd0f2-de3d-11e0-aacf-0026b90cd1ee" IE - HKU\S-1-5-21-3598676567-2428651126-230777856-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=2&cf=a2acd0f2-de3d-11e0-aacf-0026b90cd1ee" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811&ilc=12" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=937811&p=" [2011-11-19 20:20:05 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\t86ry6c7.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403} [2011-02-15 20:30:11 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Dawid\AppData\Roaming\mozilla\Firefox\Profiles\t86ry6c7.default\extensions\vshare@toolbar [2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\t86ry6c7.default\searchplugins\startsear.xml [2011-02-15 20:30:27 | 000,001,592 | ---- | M] () -- C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\t86ry6c7.default\searchplugins\web-search.xml CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files (x86)\Mozilla Firefox\plugins\npvsharetvplg.dll CHR - Extension: VshareComplete plugin for chrome = C:\Users\Dawid\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\ O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3598676567-2428651126-230777856-1001..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj nastepujące pozycje - VshareComplete / YouTube Downloader Toolbar v4.9 / vShare Plugin / vShare.tv plugin 1.3 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Wszystko poprawnie wykonane i nie widać tu juz infekcji. Możesz zabezpieczyć to urządzenie za pomocą Panda USB Vaccine

Gmer - czysto, a wykrycia AVG bez znaczenia. To nie jest infekcja czynna a więc do wykonania kroki z powyższego mojego postu.

Wklej do notatnika ten tekst: F: del /q F:\*.lnk attrib /d /s -s -h F:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik z prawokliku jako Administrator Do oceny nowy log z USBFix

To wszystko nie wygląda na infekcje. W logach brak jakichkolwiek śladów. Zacznij od sprawdzenia systemu na czystym rozruchu: KLIK. Nie wykluczone, że problemy może sprawiać właśnie sam AVG. Jakie i gdzie? (lokalizacja + nazwy plików) Temat zostaje przeniesiony.

Operacja kompletnie się nie wykonała i jest nadal tak jak było. Prosze to powtórzyć, patrzeć czy nie ma błędów i zaprezentować nowe logi.

Rzeczywiście jest infekcja tworząca skróty LNK, ale to nie jest log z opcji Lisitng. Prosze wykonać jeszcze raz ponownie ten log prawidłowo.

Uruchom zgodnie z instrukcją ComboFix i wklej wynikowy raport. Po tym działaniu wykonaj nowe logi z OTL i też załącz.

W takim razie kolejny skrypt: :Processes killallprocesses :OTL O4 - HKLM..\Run: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe (menta tela datevi opero qqq lapide ozio recise tira carini imitai orrore livide arati capace brullo remava troni calare renne piume litro) O4 - HKU\S-1-5-21-1085031214-1500820517-682003330-1003..\Run: [Microsoft DLL Registration] C:\Documents and Settings\Właściciel\Dane aplikacji\regsrv64.exe (ghiaie eresia lieve sudati suona gj risate semine ew scali scoppi fluiti scorci desse vedova voglio canili colmo angolo cinta ooo frugai) O4 - HKU\S-1-5-21-1085031214-1500820517-682003330-1003..\Run: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe (menta tela datevi opero qqq lapide ozio recise tira carini imitai orrore livide arati capace brullo remava troni calare renne piume litro) O4 - HKLM..\RunOnce: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe (menta tela datevi opero qqq lapide ozio recise tira carini imitai orrore livide arati capace brullo remava troni calare renne piume litro) O4 - HKU\S-1-5-21-1085031214-1500820517-682003330-1003..\RunOnce: [Windows Task Services] C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe (menta tela datevi opero qqq lapide ozio recise tira carini imitai orrore livide arati capace brullo remava troni calare renne piume litro) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Windows Task Services = C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe (menta tela datevi opero qqq lapide ozio recise tira carini imitai orrore livide arati capace brullo remava troni calare renne piume litro) O7 - HKU\S-1-5-21-1085031214-1500820517-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Task Services = C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe (menta tela datevi opero qqq lapide ozio recise tira carini imitai orrore livide arati capace brullo remava troni calare renne piume litro) O21 - SSODL: Windows Task Services - C:\Documents and Settings\Właściciel\Dane aplikacji\4.exe - CLSID or File not found. Nowe logi do oceny.

Teraz poszło jak należy i nie ma tu nic więcej do usuwania. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj system = IE do najnowszych wersji - Windows 7 SP1 + Internet Explorer 9 3. Opróżnij folder przywracania systemu: KLIK

Zbędne posty usuwam i temat ustawiam do porządku. Takie są właśnie skutki używania ComboFix na własną rękę tym bardziej, że w twoim wypadku nie było to sensowne bo program i tak nic pożytecznego nie wykona a tylko ci zaszkodził. Czy internet działa jeśli wejdziesz w tryb awaryjny z obsługą sieci? Ale po co? To nie jest narzędzie pod taki typ infekcji. Takie rzeczy diagnozuje się za pomocą np. skanera Wepawet

Zabrakło drugiego loga z OTL - ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". W obecnych logach są jeszcze drobne pozostałości. 1. Przedstaw raport z Kaspersky TDSSKiller 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (SpyHunter 4 Service) SRV - File not found [Auto | Stopped] -- -- (Pml Driver HPZ12) SRV - File not found [Auto | Stopped] -- -- (JavaQuickStarterService) FF - prefs.js..browser.search.defaultthis.engineName: "2Shared Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2447621&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-10-12 18:00:58 | 000,000,917 | ---- | M] () -- C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\5rz9xv2i.default\searchplugins\conduit.xml [2009-11-04 18:12:30 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\5rz9xv2i.default\searchplugins\daemon-search.xml [2010-09-22 20:48:49 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\ja\Dane aplikacji\Mozilla\Firefox\Profiles\5rz9xv2i.default\searchplugins\web-search.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. [2012-01-03 14:22:37 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\ja\Ustawienia lokalne\Dane aplikacji\e8ddb82c [2012-01-03 19:07:00 | 000,014,386 | -HS- | M] () -- C:\Documents and Settings\All Users\Dane aplikacji\41b87rq567jovso44c8ir1c5nwa6u3fypsmq7s4t4x024 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To wszystko jest wina infekcji a sam plik menedżera zadań też w logu wygląda na zaprawiony i już masz odpowiedź dlaczego się nie uruchamia. Tak jak mówię infekcja wygląda na aktywną i dopóki nie zostanie wyleczona, zapomnij o rozwiązaniu problemu na trwałe.

Winsock nadal nie został przywrócony do prawidłowej postaci więc trzeba zmienić sposób. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{FF2271AE-86C0-49DD-8960-52F41D8A3E08}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system. 3. Pokazujesz nowe logi z OTL do obejrzenia.

Użycie ComboFix było tutaj wskazane choć oczywiście samodzielnie na start tego robić nie powinieneś. System jest porządnie zainfekowany i jest tu też infekcja rootkitem ZeroAccess a co za tym idzie zaprawiony sterownik: ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [7] 2009-04-11 . 76B06EB8A01FC8624D699E7045303E54 . 72192 . . [6.0.6002.18005] . . c:\windows\SoftwareDistribution\Download\3bd8fe73c6fda64a95e9e60ac46184d4\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6002.18005_none_ec294157d9377403\tdx.sys [-] 2008-04-25 08:24 . F4057208CD7C11A09F038EF4644656A2 . 71680 . . [------] . . c:\windows\System32\drivers\tdx.sys [-] 2008-04-25 08:24 . F4057208CD7C11A09F038EF4644656A2 . 71680 . . [------] . . c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6001.18000_none_ea3dc84bdc15a8b7\tdx.sys [7] 2006-11-02 . AB4FDE8AF4A0270A46A001C08CBCE1C2 . 68096 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-tdi-over-tcpip_31bf3856ad364e35_6.0.6000.16386_none_e807064fdf2a97e3\tdx.sys Program usunął sporą część infekcji natomiast moim zdaniem pomylił się usuwając cały folder c:\users\xxx\spkpod, który wygląda na pochodną programu p2p Ares, którego widać w logach. To się później przywróci. 1. Uruchom narzędzie Kaspersky TDSSKiller i wykonaj nim skan. Powinien wykryć infekcję ZeroAccess na sterowniku tdx.sys i dla tego wyniku przydziel akcję Cure (leczenie). Zachowaj raport z programu. 2. Wklej do notatnika taki tekst: File:: c:\users\xxx\*.exe c:\users\xxx\*.com c:\program files\wintask.exe c:\windows\system32\2dKlYdI.exe c:\windows\system32\2dKlYdI.exe_ ATJob:: Folder:: c:\windows\$NtUninstallKB20909$ c:\users\xxx\AppData\Local\c30592a8 c:\users\xxx\AppData\Roaming\3AEDD c:\users\xxx\AppData\Roaming\DD172 c:\users\xxx\AppData\Roaming\Microsoft\3F43 Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wintask"=- [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\windows] "Load"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Wklejasz nowy log z ComboFix, raport z Kasperskyego oraz logi z OTL + Gmer

Według spodziewać była tu ta infekcja, ComboFix usunał ją bez problemu. Teraz czas na poprawki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files netsh winsock reset /C C:\ProgramData\mtbjfghn.xbe C:\Users\Jaro\AppData\Local\3ee31dd1 :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.2.19379 [2012-01-04 23:57:20 | 000,000,000 | ---D | M] (Auslogics Toolbar) -- C:\Users\Jaro\AppData\Roaming\mozilla\Firefox\Profiles\tit9lrc1.default\extensions\toolbar@ask.com [2012-01-04 23:57:22 | 000,002,572 | ---- | M] () -- C:\Users\Jaro\AppData\Roaming\Mozilla\Firefox\Profiles\tit9lrc1.default\searchplugins\askcom.xml O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-3243655807-3697560734-3283573700-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj sponsoring Ask Toolbar (Auslogics Toolbar) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Log z OTL wykonany na niewłaściwym ustawieniu według instrukcji na pewno nie z tego forum. Poza tym zabrakło drugiego loga ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania", zaś w białe pole nie wklejasz żadnych dodatkowych warunków tak jak to zerobiłeś tym razem. Poza tym powinieneś obowiązkowo załączyć log z Gmer Logi jednak nie mają przy tego typu infekcji większego znaczenia bo Virut to infekcja w kodzie pików. Jeśli chodzi o log z ComboFix ten pokazuje informację o zainfekowanym userinit, ale tutaj znacznie więcej plików jest bez sygnatury MS: ------- Sigcheck ------- Note: Unsigned files aren't necessarily malware. . [-] 2010-06-18 . 1F39C7BDBA4C5F3F01C4EABF7EDBF4B3 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys . [-] 2012-01-05 . 19A0A699FD9250899C82BC00606723ED . 68096 . . [5.1.2600.5512] . . c:\windows\ERDNT\cache\spoolsv.exe [-] 2012-01-05 . 82E6417CD9AFDF396D3174794EDB5D0F . 68096 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\spoolsv.exe [-] 2012-01-05 . 87A63E9B71C32DD616FD7B817F0AF158 . 85504 . . [5.1.2600.5512] . . c:\windows\system32\spoolsv.exe . [-] 2012-01-05 . 8B9D267ECA2F24609B1B7C19C4ABE151 . 36864 . . [5.1.2600.5512] . . c:\windows\ERDNT\cache\userinit.exe [-] 2012-01-05 . 795CE4FD84D1007041B1ED605B1DF828 . 36864 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\userinit.exe [-] 2012-01-05 . A4476EFA9627F1C7FBA1834E84FDCEC8 . 36864 . . [5.1.2600.5512] . . c:\windows\system32\userinit.exe . [-] 2012-01-05 . CDABAA0E569A3BC9C1B66E7C21CE6F04 . 1028096 . . [6.00.2900.5512] . . c:\windows\ERDNT\cache\explorer.exe [-] 2012-01-05 . 68D703129AF3C6609CE32D884D80EC9C . 1062912 . . [6.00.2900.5512] . . c:\windows\explorer.exe [-] 2012-01-05 . 911A4B8655BC2BC2E50545F352A78EAE . 1028096 . . [6.00.2900.5512] . . c:\windows\system32\dllcache\explorer.exe . [-] 2012-01-05 11:30 . C644F0B42912FE7C262FC2BD4DEEEB8D . 142336 . . [------] . . c:\windows\ERDNT\cache\regedit.exe [-] 2012-01-05 . 8DE783053C5588028254EE83DA2C0626 . 159744 . . [5.1.2600.5512] . . c:\windows\regedit.exe [-] 2012-01-05 . C81C9672A7BB6700E5C8EAE44C9AABAB . 159744 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\regedit.exe . [-] 2012-01-05 . DD12413A1C3DFD5115548481E4856706 . 25600 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\ctfmon.exe [-] 2012-01-04 . BD0CE7CDBB2D343817D67AC794289B96 . 43008 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe . [-] 2012-01-05 . 0195C0866B9AD31C3D86E3B89A4DD5B3 . 24064 . . [5.1.2600.5512] . . c:\windows\ERDNT\cache\wscntfy.exe [-] 2012-01-05 . 3BE2A4B01761D8FD8D790D76A386D29D . 24064 . . [5.1.2600.5512] . . c:\windows\system32\dllcache\wscntfy.exe [-] 2012-01-05 . C3B3E582E011FB9248A1EAA2ACF65C6C . 41472 . . [5.1.2600.5512] . . c:\windows\system32\wscntfy.exe . [-] 2010-06-18 . 9F02C1CF7C3100E4AEA7DD8B6A86A01B . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll Jak widać po dacie wszystko modyfikowane niedawno i to może być znak, że Virut wcale nie został wyleczony. Możesz jeszcze spróbować użyć narzedzia FixVirut. Jednak leczenie spod działąjącego systemu może się okazać nieskuteczne. Wtedy będziesz musiał na jakimś zdrowym systemie wykonac płytkę Kaspersky Rescue Disk i z jej poziomu wykonywać skanowanie.

W logach właściwie nic ciekawego nie ma. Są jedynie katalogi koszów z nieznaną zawartością i to usuniemy oraz jakiś plik autorun.inf, którego rola też nie jest znana. Na razie go nie ruszam, zobaczymy jaką ma zawartość. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycled /alldrives Recycler /alldrives :OTL O3 - HKU\S-1-5-21-1547161642-1677128483-1177238915-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\RunOnce: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem w oknie Własne opcje skanowania/Skrypt wklejasz: type I:\autorun.inf /C Klikasz w Skanuj. 3. Pokazujesz nowe logi z OTL i USBFix