Zainfekowany system, po próbie usunięcia infekcji przestały działać niektóre aplikacje

[artoo2]

Witam.

Mam dosyć duży problem z moim komputerem, był zainfekowany kilkoma lub kilkunastoma wirusami. Jednym z nich był w tych czasach bardzo rozpowszechniony trojan, który blokował dostęp do sieci, wyskakiwało okienko z napisem "POLICJA POLSKA". Starałem usunąć się go na własną rękę. Kiedy uruchomiłem ponownie komputer bez dostępu do sieci, meneger zadań był zablokowany. Z drugiej jednostki na którymś forum wyczytałem, że ten wirus może występować jako plik lsass.exe. Przeszukując możliwe zakamarki systemu znalazłem takowy w folderze w którym znajdować się nie powinien. Poprzez właściwości zablokowałem mu możliwość robienia czegokolwiek, tzn odznaczyłem wszystkie możliwe działania na wszystkich użytkownikach. Meneger zadań po tej czynności został odblokowany. Jakieś kilka dni komputer wydawał się działać sprawnie, teraz jednak mam ten sam problem. Nie mogę zalogować się na jakikolwiek serwer TS3, także nie mogę zagrać w jakąkolwiek grę mmo, po prostu nie wykrywa serweru, w niektórych przypadkach serwery są zapełnione i tak czy siak nie mogę wejść. Przeskanowałem system programem Avira AntiVir, który obecnie posiadałem na komputerze, wykrył parę zagrożeń, które były usunięte, jednak to nic nie dało, ściągnąłem więc Malwarebytes Anti-Malware i nim także usunąłem kilka zagrożeń, lecz nadal mam ten sam problem.

 

podczas próby odpalenia programu RegDellNull a także SWReg nie odpala, wyskakuje na sekundę okienko jednak po chwili znika. Zatem nie mogę usunąć do końca z rejestru oprogramowania emulującego.

 

logi otl

OTL.Txt

Extras.Txt

[picasso]

podczas próby odpalenia programu RegDellNull a także SWReg nie odpala, wyskakuje na sekundę okienko jednak po chwili znika. Zatem nie mogę usunąć do końca z rejestru oprogramowania emulującego.

 

Po pierwsze: jeśli z dwukliku je uruchamiasz, to normalne, że okna znikają, bo aplikacje konsolowe tak się zachowują, uruchamia się je przez cmd a nie z dwukliku. Po drugie: ich uruchamianie bezcelowe, to są aplikacje do usuwania kluczy null a nie kluczy zablokowanych przez uprawnienia (a to jest przypadek ze sterownikiem SPTD). Nie doczytałeś instrukcji dokładnie... Po trzecie: system x64, odpada uruchomienie GMER, więc i ściąganie emulacji napędów wirtualnych można sobie darować.

 

 

Jakieś kilka dni komputer wydawał się działać sprawnie, teraz jednak mam ten sam problem. Nie mogę zalogować się na jakikolwiek serwer TS3, także nie mogę zagrać w jakąkolwiek grę mmo, po prostu nie wykrywa serweru, w niektórych przypadkach serwery są zapełnione i tak czy siak nie mogę wejść.

 

Infekcja "policyjna" nie ingeruje w te sfery. A w raportach nie ma czynnej infekcji widocznej, są tylko odpadki (w tym archaiczne po Qooqlle) i adware, co nie może mieć wpływu na zgłoszony problem. Nowy temat do działu Sieci. A ja tu doczyszczę te szczątki i tyle z mojej strony:

 

 

1. Przez Panel sterowania odinstaluj adware Browsers Protector. Od razu pozbądź się też zbędnego Akamai NetSession Interface.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\0359FF820A7E80D900000359FC2D8651
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\artur\AppData\Roaming\System.dat
C:\Users\artur\AppData\Roaming\DirectX.dat
C:\Users\artur\AppData\Roaming\etc.dat
 
:OTL
FF - HKLM\Software\MozillaPlugins\@ngm.nexoneu.com/NxGame: C:\ProgramData\NexonEU\NGM\npNxGameeu.dll File not found
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
IE - HKU\S-1-5-21-312835210-1680697756-3547760466-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=bec4e072-b7e3-11e1-9f44-001f16af5e3b&q={searchTerms}"
IE - HKU\S-1-5-21-312835210-1680697756-3547760466-1000\..\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}: "URL" = "http://www.google.com/cse?cx=partner-pub-5462406484424654%3A8q0sn8-w2ss&ie=ISO-8859-1&q={searchTerms}&sa=Search&siteurl=qooqlle.com%2F"
IE - HKU\S-1-5-21-312835210-1680697756-3547760466-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-312835210-1680697756-3547760466-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678"
O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-312835210-1680697756-3547760466-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Wyczyść Firefox z adware i starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[artoo2]

logi po wykonaniu czynności

OTL.Txt

AdwCleanerS1.txt

[picasso]

Czyszczenie wykonane i by to sfinalizować:

 

1. Korekta domyślnych wyszukiwarek po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{AA63D356-267E-4808-9431-53A174D53D70}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{AA63D356-267E-4808-9431-53A174D53D70}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" na Pulpicie już do usunięcia.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Aktualizacje Windows i poniżej wyliczonych aplikacji: KLIK. W raporcie widać obecnie zainstalowane wersje:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java™ 6 Update 24 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"ENTERPRISE" = Microsoft Office Enterprise 2007
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_257.dll ()

 

W podsumowaniu: deinstalacja wymienionych pozycji Adobe / Java i zastąpienie najnowszymi, instalacja pakietu SP3 dla Office 2007, instalacja SP1 i reszty łat dla Windows 7.

 

 

Problem z łączeniem do serwerów jak mówię do działu Sieci. Zlinkuj tam do tego tematu, by nie padła ewentualna ponowna prośba o logi z OTL. Już są. Dodaj tam za to Net-Log.

 

 

 

.

[artoo2]

dziękuje za pomoc:)