Źródło dźwięku "nieznana nazwa" i problem z Autorozmieszczaniem

[Gawue]

Witam, otóż mam dwa problemy z którymi nie mogę sobie poradzić.

1. Nieznanie źródło dźwięku, które pojawia się w mikserze jako "Nieznana nazwa" i jedyne co moge zrobić to je wyciszyć (leci tam jakaś dziwna muzyka i czasem jakby radio)

2. Nie mogę poustawiać sobie ikon na pulpicie gdyż po każdym odświeżeniu lub restarcie wracają do porządku alfabetycznego. Autorozmieszczanie mam wyłączone.

 

Mam Windows 7 Home Premium 64 bit.

 

Załączam raporty z OTL:

OTL.Txt

Extras.Txt

[picasso]

Przyczyną dewiacji jest m.in. trojan ZeroAccess, choć to nie jedyna infekcja w systemie. Wymagane dodatkowe skany:

 

1. Uruchom SystemLook x64 i w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

 

Klik w Look. Przedstaw wynikowy log.

 

2. Uruchom Farbar Service Scanner, zaznacz wszystko do skanu. Przedstaw wynikowy log.

 

 

 

.

[Gawue]

Przedstawiam logi z podanych programów. Dziękuję bardzo za błyskawiczną odpowiedź.

 

Dodam jeszcze, że miałem problem z Windows Update, Centrum zabezpieczeń oraz Zaporą systemu Windows jednak uporałem się z tym stosując poradniki m. in. z tego forum.

SystemLook.txt

FSS.txt

Edytowane 26 Lipca 2012 przez picasso
Bez "odświeżeń" (zasady działu), to nie przyśpieszy sprawy. Proszę czekać cierpliwie, aż będę w stanie przetworzyć temat. //picasso

[picasso]

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v hlamp /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v pescpl /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v tusvig /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}" /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}" /f
reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f
reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run /ve /f
sc delete "Web Assistant Updater"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik umieść wprost na C:\.

 

2. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:

C:\Windows\Installer\{f5ce5a49-3400-f769-2a0a-d3cdcda7ac68}
C:\Users\euro\AppData\Local\{f5ce5a49-3400-f769-2a0a-d3cdcda7ac68}
C:\Windows\system32\%APPDATA%
C:\ProgramData\99058D65000094D100012309B4EB2367
 
DeleteFile:
C:\Users\euro\AppData\Roaming\pescpl.dll
C:\Users\euro\AppData\Roaming\tusvig.dll
C:\Users\euro\AppData\Roaming\wpsnsc.dll
C:\Users\euro\AppData\Roaming\hlamp.dll
"C:\Users\euro\AppData\Roaming\Mozilla\Firefox\Profiles\3p6e8ms9.default\searchplugins\MyStart Search.xml"
"C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml"
"C:\Program Files (x86)\mozilla firefox\searchplugins\avg-secure-search.xml"
 
Execute: 
C:\fix.bat

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

3. Przeprowadź deinstalacje adware:

- Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.458

- Otwórz Firefox i w Dodatkach odinstaluj: incredibar.com, Web Assistant

- Otwórz google Chrome i w Rozszerzeniach odinstaluj: Web Assistant. Ponadto, zmień stronę startową oraz w zarządzaniu wyszukiwarkami przestaw domyślną z MyStart Search na np. Google, po tym MyStart Search skasuj z listy.

 

4. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

5. Zrób nowy log OTL z opcji Skanuj oraz SystemLook na warunki:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

 

Wklej do posta raport BlitzBlank i dołącz też log z AdwCleaner.

 

 

 

Dodam jeszcze, że miałem problem z Windows Update, Centrum zabezpieczeń oraz Zaporą systemu Windows jednak uporałem się z tym stosując poradniki m. in. z tego forum.

 

Z tym należało się wstrzymać aż do wyczyszczenia infekcji. Przy czynnym trojanie ZeroAccess jest duże prawdopodobieństwo ponownych uszkodzeń.

 

 

 

 

.

[Gawue]

W momencie jak klikam Execute now wyskakuje mi błąd Syntax Error in line 4, Invalid folder path.

[picasso]

Wytnij linię C:\Windows\system32\%APPDATA%. Zapomniałam o tym, że BlitzBlank jest tylko połowicznie zgodny z x64 i nie interpretuje natywnego katalogu system32. Ten procentowy folder potem ręcznie doczyścimy.

[Gawue]

Wszystko zrobiłem jak podano.

SystemLook.txt

AdwCleanerS1.txt

blitzblank.txt

Extras.Txt

OTL.Txt

[picasso]

1. BlitzBlank pod koniec zwrócił jakiś błąd, nie do końca wykonał się FIX.BAT. Z prawokliku na plik wybierz opcję "Uruchom jako Administrator". To powinno doprawić brakujące modyfikacje.

 

2. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Windows\system32\%APPDATA%

 

Klik w Unlock. Po tym przez SHIFT+DEL załatw ten folder z dysku.

 

3. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner.

 

4. Do oceny wystarczy tylko nowe szukanie SystemLook na te same warunki co podane w poście powyżej.

 

 

 

PS. Widzę, że w międzyczasie próbowałeś kombinować. Narzędzie Symantec FixZeroAccess dedykuje starszy (paskudniejszy) wariant tej infekcji, czyli rootkita trybu kernel i to na systemie 32-bit. Zresztą nie było pod tę infekcję żadnego narzędzia, które adresowało 64-bitowe wersje ZeroAccess, całkiem inne niż 32-bitowe. Aktualnie rootkit zmienił budowę. To co posiadałeś to najnowszy wariant infekcji, działa inną techniką, mniej inwazyjne user mode. I tu ciężko z automatycznymi narzędziami. MBAM czy HitmanPro to dedykują, ale nie zawsze się udaje nimi zrobić usuwanie.

 

 

 

.

[Gawue]

BlitzBlank wyrzuca mi przy samym

 

Execute:
C:\fix.bat

 

błąd Failed to execute, please make sure the application was started as an administrator.

Uruchamiałem ją oczywiście z opcji "Uruchom jako administrator", więc nie wiem skąd ten błąd.

[picasso]

Ale przecież to już nie przez BlitzBlank! Masz po prostu z prawokliku na plik FIX.BAT wybrać opcję "Uruchom jako Administrator". Tylko tyle.

[Gawue]

Zrobione.

SystemLook.txt

[picasso]

Zrobione, klucz infekcji poleciał z rejestru, co oznacza, że problem z aranżacją ikon na Pulpicie i zapamiętywaniem widoków folderów powinien ustąpić. Upewnij się, że szkody w usługach (Zapora etc.) nie powstały na nowo i kończymy:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, dokasuj sobie ręcznie resztę używanych (już niepotrzebne).

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Upewnij się, że bazy najnowsze w posiadanym Malwarebytes Anti-Malware i wykonaj pełne (nie ekspresowe) skanowanie. Zaprezentuj raport, o ile coś namierzy.

 

 

 

.

[Gawue]

Wszystko chodzi pięknie, ikonki się słuchają, aktualizacje i zapora działają bez zarzutu, nieznany dźwięk jak dotąd też się nie pojawił. Jednak Malwarebytes Anti-Malware znalazł mi jedną infekcję dlatego załączam log ze skanowania.

 

Dzięki wielkie za pomoc!

mbam-log-2012-07-27 (10-40-05).txt

[picasso]

To co wykrył MBAM to fałszywy alarm. To komponent Windows, też go mam. Zignoruj. Na zakończenie:

 

1. Podstawowe aktualizacje: KLIK. Konkretnie tu z Twojego systemu chodzi mi o aktualizacje / weryfikacje wersji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java™ 6 Update 33
"{26A24AE4-039D-4CA4-87B4-2F83217000FF}" = Java™ 7 Update 1
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"{D6F879CC-59D6-4D4B-AE9B-D761E48D25ED}" = Skype™ 5.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"ENTERPRISE" = Microsoft Office Enterprise 2007 ----> brak pakietu SP3
"Foxit Reader" = Foxit Reader
"Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl)

 

2. Prewencyjnie dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

 

.

[Gawue]

Ok, dzięki wielkie za pomoc, porobiłem aktualizacje, jeszcze tylko hasła i wszystko gotowe. Przyznam, że ten problem z ikonkami poruszany znajdywałem na wielu zagranicznych i polskich forach, ale nie znalazłem rozwiązania jak się z nim uporać. Profesjonalizm godny podziwu, jeszcze raz, wielkie dzięki!

 

Pozdrawiam i życzę dalszych sukcesów,

Daniel