Landuss

Wszystko poprawnie usunięte. Wykonaj kroki kończące 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417010FF}" = Java 7 Update 10 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To by było wszystko. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 11 "Mozilla Firefox 17.0.1 (x86 en-US)" = Mozilla Firefox 17.0.1 (x86 en-US) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykrycia te nie są jednak istotne i nie oznaczają infekcji. Wobec tego temat na razie jedzie do działu Windows, ale niewykluczone, ze to sprawa sprzętowa. Wykonaj punkt 5 z tego tematu: https://www.fixitpc.pl/forum-8/announcement-4-zak%C5%82adanie-tematu-pomocne-raporty-i-informacje/

Na pierwszy rzut oka nie ma sie do czego przyczepić, choć log z Gmer jest nieco podejrzany dlatego dla świętego spokoju wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli cokolwiek by wykrył, nic nie usuwaj tylko zaznacz Skip i zaprezentuj raport na forum.

Jeśli w awaryjnym się uruchamia to można twierdzić, że przeszkadza mu coś co ładuje się w trybie normalnym. Na początek napisz przede wszystkim co to za system oraz ilu bitowy. To są bardzo ważne informacje, których nie napisałeś.

Logi wskazują na infekcję ZeroAccess na tym systemie. Brakuje tu też pliku hosts i sterownika systemowego cdrom.sys, ale tym się zajmiemy później. 1. Uruchom GrantPerms i w oknie wklej: C:\Windows\$NtUninstallKB62280$ Klik w Unlock. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB62280$ /C netsh winsock reset /C C:\WINDOWS\tasks\At*.job C:\WINDOWS\System32\dds_trash_log.cmd :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dbmanagerscheduler.dll -- (smrt) SRV - File not found [Auto | Stopped] -- \.\globalroot\C:\WINDOWS\system32\svchost.exe -- (SaiH040B) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\netdde.dll -- (MRENDIS5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lxct_device.dll -- (ltxred) SRV - File not found [Auto | Stopped] -- \.\globalroot\C:\WINDOWS\system32\svchost.exe -- (iaantmon) SRV - File not found [Auto | Stopped] -- \.\globalroot\C:\WINDOWS\system32\svchost.exe -- (astcc) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z Gmer oraz log z Farbar Service Scanner

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL F3:64bit: - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000 WinNT: Load - (C:\Users\user\LOCALS~1\Temp\mszkirof.scr) - C:\Users\user\LOCALS~1\Temp\mszkirof.scr (Корпорация Майкрософт) F3 - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000 WinNT: Load - (C:\Users\user\LOCALS~1\Temp\mszkirof.scr) - C:\Users\user\LOCALS~1\Temp\mszkirof.scr (Корпорация Майкрософт) O20 - HKU\S-1-5-21-3260433711-2860614819-1312031064-1000 Winlogon: Shell - (C:\Users\user\AppData\Roaming\skype.dat) - C:\Users\user\AppData\Roaming\skype.dat (Software ) :Files C:\Users\user\AppData\Roaming\skype.dat C:\Users\user\AppData\Roaming\skype.ini :Reg [-HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują na infekcję. Temat zmienia dział. W związku z tym, ze to Windows 7 na początek zadam takie zalecenie - Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

W logach widać niewielką infekcję, natomiast są też śmieci, które należy usunąć bo niewykluczone, że wpływają na problem. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=418&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2045150600964155&q={searchTerms}" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1030000.103003&st=12&barid={02241576-0275-11E2-9B8D-1C75087DD53F}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=418&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2045150600964155&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103003&st=12&q={searchTerms}&barid={02241576-0275-11E2-9B8D-1C75087DD53F}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.delta-search.com/?affID=119816&tt=070312_w2&babsrc=HP_ss&mntrId=3EFE88252CD327C1" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119816&tt=070312_w2&babsrc=SP_ss&mntrId=3EFE88252CD327C1" IE - HKCU\..\SearchScopes\{36A6A279-78C3-406E-8532-241BEF2F9D9E}: "URL" = "http://dts.search-results.com/sr?src=ieb&gct=ds&appid=418&systemid=406&apn_dtid=BND406&apn_ptnrs=AG6&o=APN10645&apn_uid=2045150600964155&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={02241576-0275-11E2-9B8D-1C75087DD53F}" O2 - BHO: (internetspooler) - {60da0105-9c74-ce9a-4ba9-099ddd5aea0f} - C:\windows\SysWow64\927bc0b9.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [] File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [MSConfig] C:\Users\Ziutka\ltvn.exe (TODO: <Название компании>) O4 - HKCU..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O20 - AppInit_DLLs: (c:\progra~3\wincert\win32c~1.dll) - c:\ProgramData\Wincert\win32cert.dll () :Files C:\ProgramData\Wincert :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon Chrome Toolbar / Babylon toolbar / Bundled software uninstaller / Contextual Tool Advertzilla / Delta toolbar / Delta Chrome Toolbar / Search-Results Toolbar / Internet Spooling Service / Optimizer Pro v3.0 / Akamai NetSession Interface Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / Delta Toolbar / SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują by była tutaj jakaś infekcja. Dokładnie, a wyniki z przywracania systemu są nieistotne. Należy je po prostu opróżnić: KLIK

Wszystko wskazuje na infekcję na pamięci zewnętrznej a nie na systemie więc logi, które dałeś się nie przydadzą. Potrzebny raport dodatkowy. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Logi w żadnym wypadku nie wskazują na wirusa. Temat przechodzi do innego działu. Zapoznaj się z jego zasadami: KLIK

1. Wykonaj według zasad raporty z OTL + Gmer: KLIK 2. Dodatkowo wykonaj raport z Farbar Service Scanner

Infekcja wygląda na usuniętą. Pozostaje pytanie czy problem ustąpił? Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko wygląda dobrze, możesz zakończyć działania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. OTL notuje brak pliku hosts na tym systemie. Plik musisz odbudować. Włącz pokazywanie rozszerzeń: w Mój komputer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Zaktualizuj system do stanu Service Pack 1: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To jest log z usuwania, nie prosiłem cię o niego bo nie jest mi do niczego potrzebny. Usunąć. Sytuacja wygląda dużo lepiej, ale jeszcze coś się ostało. Nowy skrypt poprawkowy o takiej zawartości: :Files C:\mshifcz.bat C:\msqoasuro.pif :Commands [reboot] Po wykonaniu pokazujesz nowy log ze skanowania.

Logi masz czyste i nie ma tutaj nic do roboty także nie wygląda to na infekcję co potwierdzam. Możliwe, że to problem samej gry.

Log z SystemLook najbardziej będzie mnie tutaj interesował natomiast jest on zrobiony nieprawidłowo. Tu jest system 64 bitowy i w takiej wersji powinien być także uzyty SystemLook, a tak nie było co sugeruje ten komunikat: WARNING: SystemLook running under WOW64. Use SystemLook_x64 for accurate results. Tak więc wykonaj raz jeszcze to zadanie - Uruchom SystemLook x64 i do okna wklej: :regfind certified protected search :folderfind *certified* protected search :filefind *certified* protectedsearch* protected search* Klik w Look i pokąz wynikowy raport.

Potrzebny będzie dodatkowy log - Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Na początek wyjaśnienie - Gmer to nie jest program dla systemów 64 bitowych i nie należy go używać na takim systemie. W logach brak śladów jakiejkolwiek infekcji. Temat zmienia dział na razie na Windows, ale niewykluczone, że to sprawa sprzętowa. Drobne korekty na podstawie logów do wykonania w spoilerze: Natomiast w kwestii bluescreenów wykonaj punkt 5 z tego tematu: KLIK z opcji Delete

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=Z2AXLP4L_ST500DM002-1BD142&ts=1348931490" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=Z2AXLP4L_ST500DM002-1BD142&ts=1348931490" IE - HKU\S-1-5-21-2716872033-426842718-3298896286-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=113679&tt=3612_3&babsrc=HP_ss&mntrId=f2004c8b000000000000bc5ff44bcb7f" IE - HKU\S-1-5-21-2716872033-426842718-3298896286-1000\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=113679&tt=3612_3&babsrc=HP_ss&mntrId=f2004c8b000000000000bc5ff44bcb7f" IE - HKU\S-1-5-21-2716872033-426842718-3298896286-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=pbr&from=pbr&uid=Z2AXLP4L_ST500DM002-1BD142&ts=1348931490" IE - HKU\S-1-5-21-2716872033-426842718-3298896286-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113679&tt=3612_3&babsrc=SP_ss&mntrId=f2004c8b000000000000bc5ff44bcb7f" IE - HKU\S-1-5-21-2716872033-426842718-3298896286-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O3 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000..\Run: [ASRockXTU] File not found O4 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000..\Run: [Client Server Runtime Process] C:\Users\user\AppData\Roaming\csrss.exe () O4 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000..\Run: [Host-process Windows (Rundll32.exe)] C:\Users\user\AppData\Roaming\csrss.exe () O4 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000..\Run: [service Host Process for Windows] C:\Users\user\AppData\Roaming\svchost.exe () O4 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000..\Run: [trivion] C:\Users\user\AppData\Local\trivion.dll () O4 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000..\Run: [zASRockInstantBoot] File not found O4 - HKU\.DEFAULT..\RunOnce: [] File not found O4 - HKU\S-1-5-18..\RunOnce: [] File not found O4 - HKU\S-1-5-19..\RunOnce: [] File not found O4 - HKU\S-1-5-20..\RunOnce: [] File not found O20 - HKU\S-1-5-21-2716872033-426842718-3298896286-1000 Winlogon: Shell - (C:\Users\user\AppData\Roaming\unknown.dat) - C:\Users\user\AppData\Roaming\unknown.dat () [2013-03-16 22:23:45 | 000,122,436 | RHS- | M] () -- C:\Users\user\AppData\Roaming\rundll32.exe :Files C:\Users\user\AppData\Roaming\System32 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Babylon toolbar on IE / V9 Homepage Uninstaller Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

W logach generalnie infekcji nie widać. Ja ten temat wrzucam do Windows. Wykonaj tylko drobne korekty na podstawie obecnych logów: 1. Odinstaluj śmiecia ZoomEx 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete To tylko czynności kosmetyczne niemające wpływu na problem główny. Pytanie czy w trybie awaryjnym nie ma tego problemu? Sprawdź jeszcze jak jest na czystym rozruchu: KLIK

Wszystko wygląda dobrze. Potwierdź tylko czy problem występuje nadal czy już nie. Czynności kończące: 1. Skasuj z dysku plik C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrchostpl.xml. 2. Użyj Sprzątanie w OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 Szczegóły aktualizacyjne: KLIK.

Dysk ma być teraz podpięty przy wykonywaniu czynności. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2886676476-709818073-1762549091-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?src=sp&aff=51&cf=9bc3e6de-efa8-11e1-88fc-001e339b855e&q={searchTerms}" IE - HKU\S-1-5-21-2886676476-709818073-1762549091-1001\..\SearchScopes\{99DA4CAC-62CF-4F7E-9E68-9C4CC5DF318C}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=CAB515D6-019E-481F-99C6-23AB5B94451A&apn_sauid=FB77DBDD-7E07-49AF-BDEB-737A134FD753" IE - HKU\S-1-5-21-2886676476-709818073-1762549091-1001\..\SearchScopes\{D86239B5-6588-4F8B-8050-E20226DDE64D}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=9bc3e6de-efa8-11e1-88fc-001e339b855e&q={searchTerms}" O4 - HKLM..\Run: [] File not found :Files F:\*.lnk H:\*.lnk I:\*.lnk attrib /d /s -s -h F:\* /C attrib /d /s -s -h H:\* /C attrib /d /s -s -h I:\* /C C:\Users\Kiki\AppData\Roaming\Ykkumu :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater 3. Uruchom AdwCleaner z opcji Usuń. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z USBFix z Listingu

Zabrakło drugiego loga z OTL - extras. Nie miałaś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Wow6432Node\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files\\Internet Explorer\\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files\\Internet Explorer\\iexplore.exe" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Po tym zadaniu daj nowy log z SystemLook na szukanie 22find oraz brakujący extras i daj znać czy problem zniknął.