Skocz do zawartości

Wielki problem z Ukash


damascus7

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

Wklej

 

:OTL
O4 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002..\Run: [tmdubitkspgfhxk] C:\ProgramData\tmdubitk.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [XpsPrint] C:\Users\Synek\AppData\Local\Microsoft\Windows\2601\XpsPrint.exe File not found
IE - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = file://c:/rapidhacker.dll
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.order.1: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: "megaup"
FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup"
F3:[b]64bit:[/b] - HKU\S-1-5-21-2654622723-2822970650-629815199-1002 WinNT: Load - (C:\Users\Synek\creloca.exe) -  File not found
F3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002 WinNT: Load - (C:\Users\Synek\creloca.exe) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 55938 = C:\PROGRA~3\Local Settings\Temp\msxiwjb.scr
@Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5350 [].JPG:VsoSummaryInformation
@Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5350 [] - Kopia.JPG:VsoSummaryInformation
@Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5325 [].JPG:VsoSummaryInformation
@Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5325 [] - Kopia.JPG:VsoSummaryInformation
@Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5314 [1024x768].JPG:VsoSummaryInformation
@Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5314 [1024x768] - Kopia.JPG:VsoSummaryInformation
@Alternate Data Stream - 64 bytes -> C:\Users\Synek\Desktop\Synek 1996r.mp4:TOC.WMV
@Alternate Data Stream - 64 bytes -> C:\Users\Synek\Desktop\MVI_5594_MP4_.mp4:TOC.WMV
@Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:DD4DD9B9
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:DFC5A2B2
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84
@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Files
C:\Windows\bthservsdp.dat
C:\ProgramData\tmdubitk.exe
C:\ProgramData\rftvsihtkhkffgj
C:\Users\Synek\0.354406289400336.exe
C:\ProgramData\ras_0oed.pad
C:\Users\oem\AppData\Roaming\hellomoto
C:\Users\Bartek\AppData\Roaming\hellomoto
C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225
C:\Users\Synek\AppData\Local\Microsoft\Windows\2601
C:\Users\oem\AppData\Local\Microsoft\Windows\607

:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij Wykonaj skrypt

 

Przeczuwam tu jakąś paskudną infekcje w wykonywalkach strzelam na viruta(to taka moja osobista wycieczka)

 

Proponuje skan :

http://support.kaspe...virutkiller.exe

http://www.symantec....ps/FixVirut.com

(jeżeli coś wykryją skanuj tyle razy aż nic nie znajdą)

 

i na koncu Dr.web cureIT:

http://ftp.drweb.com...reit/launch.exe

 

 

dodatkowo deinstalacja 1 z antywirusów w logu 2

 

i po tym nowy log z OTL

Odnośnik do odpowiedzi

Dopiero znalazłem czas na reakcję. Więc odinstalowałem oba antywirusy i zainstalowałem 1 innej firmy (wykrył jedynie jakiś crack). Skrypt wykonałem, lecz bez większych rezultatów (po restarcie najpierw zniknał komunikat ale po chwili powrócił ekran Ukash),a po ponownym uruchomieniu znów komunikat z 1 postu). Podane programy nic nie wykrywają!

Załączam OTL oraz log z OTL po uruchomieniu systemu (ten z datą i innymi cyframi):

OTL.Txt

01042013_152909.txt

Odnośnik do odpowiedzi

Z tamtym skryptem do OTL-a to coś skrypt forum źle sformatował.

 

1. Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

Wklej

 

:OTL
O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [XpsPrint] C:\Users\Synek\AppData\Local\Microsoft\Windows\2601\XpsPrint.exe ()
O4 - HKU\S-1-5-21-2654622723-2822970650-629815199-1000..\Run: [start-Up Name] C:\Users\oem\AppData\Roaming\FacebookVideoCall.exe File not found
O4 - HKU\S-1-5-21-2654622723-2822970650-629815199-1000..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
F3:[b]64bit:[/b] - HKU\S-1-5-21-2654622723-2822970650-629815199-1000 WinNT: Load - (C:\Users\oem\bopoRstr.exe) -  File not found
F3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1000 WinNT: Load - (C:\Users\oem\bopoRstr.exe) -  File not found


:Files
C:\ProgramData\wrhojvpesspwsvr
C:\ProgramData\0C1CFB13005842DA004F03212F3B707C
C:\ProgramData\hjoaeicbkakljvz
C:\Users\Bartek\AppData\Roaming\hellomoto
C:\Users\Synek\AppData\Roaming\hellomoto
C:\Users\oem\AppData\Local\Microsoft\Windows\607
C:\Users\Synek\AppData\Local\Microsoft\Windows\2601
C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij Wykonaj skrypt

 

2.Zrób skanowanie Kaspersky-m TDSS Killer(akcje ustaw na skip i podaj log)

 

3.Widze że masz MBAM-a to zrób nim pełny skan i do kwarantanny to co znajdzie

 

4.Podaj nowy log z OTL

Odnośnik do odpowiedzi

1. Wykonałem skrypt

2. Kasperksy TDSS Killer wykrył 1 plik (tylko zablokowany SPTD).

3. Malware Bytes wykrył jedynie jakieś śmieci mało istotne typu keygen, patch.

4. Logi w załącznikach

 

Wygląda na to że uporałem się z choroba komputera. Poobserwuję jeszcze co w trawie piszczy. Dziękuję bardzo za okazana pomoc :thumbsup:

OTL.Txt

Odnośnik do odpowiedzi

Niestety to nie koniec siedzi jeszcze 1 smiecik i nie chce wyleźć:

 

C:\Windows\SysNative\startup.exe

 

pobierz system look x64 uruchom i w okienko wklej:

 

:filefind
startup.exe

 

kliknij look i podaj raport

 

EDIT

 

Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

Wklej

 

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wwancfg"=-
"WinSys2"=-
"WinSCard"=-

[HKEY_USERS\S-1-5-21-2654622723-2822970650-629815199-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"swg"=-

:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

podaj raport z usuwania powyższym skryptem

Odnośnik do odpowiedzi

Czekam na dalsze instrukcje :)

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:18 on 05/01/2013 by Bartek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "startup.exe"

C:\Windows\System32\startup.exe --a---- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109

C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe ------- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109

 

-= EOF =-

OTL.Txt

01052013_152134.txt

Odnośnik do odpowiedzi

zrobimy jeszcze inaczej bo coś źle chyba robie z importem do rejestru że nie może tego znaleźć a ten plik to świeży chyba jest antywirusy nic w nim nie wykrywają bo znalazłem na wirusotal podobny pliczek z tym samym MD5 ale bardzo nie ładnie to wygląda i na wszelki wypadek trzeba to wyrzucić i niby leży jeszcze w C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe czyli nazwa kojarzy się z nvidia ale wójek google nic nie znajduje na temat tej ścieżki to jednak nie może być od Nvidii

 

1.Wyłącz AVG i Super anti-spyware

 

2.Uruchom OTL i w okno Własne opcje skanowania /skrypt

 

 

Wklej

 

:OTL
O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found
O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe ()
O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found
:Files
C:\Windows\System32\startup.exe
C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe

:Commands
[emptytemp]

 

Kliknij Wykonaj skrypt

 

Podaj z tego raport

 

3.Uruchom systemlook x64 i w okienko wklej:

 

:filefind
startup.exe

:regfind
WinSCard
WinSys2
wwancfg

 

Kliknij look i podaj z tego raport

Odnośnik do odpowiedzi

musimy zmienić sposób usuwania OTL kompletnie se rady nie daje tylko nie wiem czy blitz blank potrafi usuwać w system32 :( ale zobaczymy

 

Pobierz blitz blank

http://download1.ems.../BlitzBlank.exe

@EDIT jako że nie za bardzo rozumiem rejestr 64 bitowy to w skrypt poprawiam uwzględniając kasacje z 64bitowych kluczy

w karcie script wklej:

 

DeleteRegValue:
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\wwancfg
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSys2
HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSCard

DeleteFile:
C:\Windows\System32\startup.exe
C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe

 

Kliknij execute NOW

zgódź się na restart jeżeli padnie prośba

Podaj raport z tego i nowy z system look robiony jak wcześniej

 

@EDIT

Proponuje przygotować płytkę z OTLPE bo może się przydać

Odnośnik do odpowiedzi

Po wprowadzeniu tego kodu do skryptu w BlitzBlank wyskakuje błąd: Syntax error in line8 Invalid file path. Ale ścieżka jest przecież poprawna :)

Więc skoro mamy z głowy UKASH to może odpuścimy sobie to ustrojstwo? Sam pewnie sporo nerwów na to poświęciłeś,a przede wszystkim czasu... Efekty już widzę na plus oczywiście za co bardzo bardzo dziękuję!

Odnośnik do odpowiedzi

Nic nie będziemy odpuszczać nie zostawie ci połowy infekcji ;)

Myślę że przejdziemy do ręcznego usuwania bo przez skrypty to chyba niedam rady za słabo znam system 64-bitowy a viste to kompletnie nie miałem sytcznosci:

 

Startuj w tryb awaryjny

 

Kasacja kluczy:

 

START>w pole szukania wpisz regedit>prawoklik>uruchom jako administrator

 

Przejdź do poniższych kluczy

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\

 

 

i poszukaj w niej wartości o nazwie

 

wwancfg

WinSys2

WinSCard

 

Jeżeli będą to prawoklik i usuń

 

przejście do kolejnego klucza

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

i poszukaj w niej wartości o nazwie

 

wwancfg

WinSys2

WinSCard

 

Jeżeli będą to prawoklik i usuń

 

szukasz pliku startup.exe w poniższych lokalizacjach:

C:\Windows\System32

C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4

jeżeli będą to usuń przez shift+del

 

przechodzisz jeszcze do folderu SysWOW64(pewnie tak się nazywa)

i w nim szukasz startup.exe usuwasz

 

Pobierz autoruns uruchom pozwól mu przeskanować Z menu wybierz "File" następnie "Save" -> zapisz jako AutoRuns.arn

schostuj na speedy.sh i podaj linka

i nowy log z systemlook tak jak wcześniej robiony

Odnośnik do odpowiedzi

W rejestrze usunąłem, niestety w C:\Windows były 2 lokalizacje tego pliku i 1 z nich nie mogę usunąć (C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4) - rzekomo brak uprawnień.

 

http://www.speedysha...kQ/AutoRuns.arn

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:34 on 06/01/2013 by Bartek

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "startup.exe"

C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe ------- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109

 

-= EOF =-

Odnośnik do odpowiedzi

przeimij ten plik(startup.exe) na własnosć wedle tej instrukcji:

http://www.fixitpc.p...kow-i-folderow/

i spróbuj usunąć ewentualnie start w środowisko linuxowe i próba kasacji z jego poziomu

 

Jeżeli się uda to daj log z systemlook robiony na ponizszych warunkach:

 

:dir
C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4

:filefind
startup.exe

:regfind
WinSCard
WinSys2
wwancfg

Odnośnik do odpowiedzi

teraz log z OTL i czekaj na picasso/landussa tylko ciekaw jestem czy to nie elementy od sterowników są, jakby były problemy to przeinstaluj sterowniki nvidi jezeli masz ich kartę graficzną :D ale jak to powiedział pewnien moderator że podobne do infekcji to do usunięcia :D

najlepiej zrób to odrazu :D

tyle roboty a to sterowniki od nvidi mogą być :E

Niestety google i tak milczy

Odnośnik do odpowiedzi

Conor29134

 

Przekombinowałeś. W spoilerze komentarz.

 

 

 

1. Miotanie się z kluczami 32-bit i 64-bit:

 

@EDIT jako że nie za bardzo rozumiem rejestr 64 bitowy to w skrypt poprawiam uwzględniając kasacje z 64bitowych kluczy

 

To się nie bierz za analizy logów 64-bit, zanim się nie nauczysz (trenując na sobie a nie na innych) i zanim nie zdasz sobie sprawy z kompatybilności określonych narzędzi. Pierwszy z brzegu przykład dualizmu:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (klucz 64-bit)

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run (klucz 32-bit)

 

W OTL wyraźnie zaznaczone, że są to 64-bitowe klucze:

 

O4:64bit: - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found

O4:64bit: - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe ()

O4:64bit: - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found

 

- W BlitzBlank pojechałeś dokładnie na odwrót niż ma być:

 

DeleteRegValue:

 

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\wwancfg

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSys2

HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSCard

 

Zła lokalizacja. Usuwasz z kluczy 32-bit. Takie pozycje nie istnieją.

 

- Dlaczego OTL nie wykonał pewnych zadań: Po pierwsze: Wstawiłeś w CODE znaczniki BBCode (bold). Po drugie błędy:

 

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"wwancfg"=-

"WinSys2"=-

"WinSCard"=-

 

OTL jest programem 32-bit, dlatego import natywnie 64-bitowego klucza przez :Reg się nie wykona (nastąpi redirect na 32-bit klucz w WOW6432Node). OTL się nie nadaje do takich importów kluczy natywnie 64-bitowych.

 

:Files

C:\Windows\System32\startup.exe

C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe

 

To samo co wyżej pod uwagę, czyli bity samego OTL. Dla 32-bitowego OTL nie istnieje katalog C:\Windows\System32. OTL posługuje się sztuczką z aliasem SysNative, by do niego wejść. Czyli C:\Windows\System32 w rzeczywitym systemie = C:\Windows\SysNative w OTL i w skryptach muszą być takie ścieżki a nie system32. Apropos tego:

 

Po wprowadzeniu tego kodu do skryptu w BlitzBlank wyskakuje błąd: Syntax error in line8 Invalid file path. Ale ścieżka jest przecież poprawna

 

To samo co z OTL. Blizblank jest tylko częściowo 64-bitowy i nie rozumie katalogu "system32", za to z SysWOW64 usunie bez problemu.

 

 

2. Usunięcie prawidłowego pliku:

 

O4:64bit: - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe ()

 

========== filefind ==========

 

Searching for "startup.exe"

C:\Windows\System32\startup.exe --a---- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109

C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe ------- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109

 

WinSys2 = ten wpis jest charakterystyczny dla instalacji w brandowaniu MSI.

 

http://forums.wincustomize.com/321363

http://driver.ru/?aid=1034110294917de59a9cb41afa31

 

 

 

 

Przeczuwam tu jakąś paskudną infekcje w wykonywalkach strzelam na viruta(to taka moja osobista wycieczka)

 

Na jakiej to podstawie?

 

 

damascus7

 

Sterowniki Nvidii najnowsze poszły w ruch.

 

Nie został uzupełniony ten wpis. Jak mówię w spoilerze, jest to obiekt MSI nVidia związany z podkręcaniem karty.

 

Co do reszty:

- Używałeś ComboFix (brak o tym wzmianek) oraz SpyHunter (program naciągacz, skasuj z dysku).

 

========== Processes (SafeList) ==========

 

PRC - [2013-01-01 13:33:41 | 032,397,464 | ---- | M] () -- C:\OTL\SpyHunter 4.9.10.3956 Incl.Patch-[Aru]\spyhunterS4.exe

 

- Wymagane poprawki, bo infekcje wcale nie zostały usunięte do końca. W pierwszym OTL polisa HideSCAHealth + wpis VFPlugin + adware w Firefox, w OTL Extras na liście zainstalowanych wpis "Live Security Platinum" oraz autoryzacje trojanów w zaporze i nie było to adresowane.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_USERS\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
 
:OTL
O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found.
O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: VFPlugin = C:\Users\Synek\AppData\Roaming\92E0C4.exe
 
:Files
C:\Program Files (x86)\Mozilla Firefox\extensions\{86009AEF-9162-4EBC-B698-FF71D7B6B049}
C:\Program Files (x86)\mozilla firefox\searchplugins\seekservice127.xml
C:\Users\Bartek\AppData\Roaming\ProgSense
C:\Users\oem\AppData\Roaming\ProgSense
C:\Users\Synek\AppData\Roaming\dclogs
C:\Users\Synek\AppData\Roaming\Megaupload
C:\Users\Synek\AppData\Roaming\MegauploadToolbar
C:\Users\Synek\AppData\Roaming\ProgSense
C:\found.*
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Zrób nowy log OTL z opcji Skanuj oraz Farbar Service Scanner.

 

 

 

.

Odnośnik do odpowiedzi
  • 2 tygodnie później...

Wreszcie dorwałęm się do komputera po długiej nieobecności. Udało mi się ustalić,że mój brat kiedyś robił coś z Combofixem,ale nic o tym nie wiedziałem.

Dodaję pliki po wykonaniu skryptu i skanowaniu. Czekam z niecierpliwością na dalsze wskazówki.

PS. Tak poza tym to od bardzo długiego już czasu nie działaja mi aktualizacje automatyczne systemu.... nie mam pomysłu jak to naprawić.

FSS.txt

OTL.Txt

Odnośnik do odpowiedzi
  • 2 tygodnie później...

Zadania wykonane, więc część końcowa:

 

1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2012-07-11 08:09:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings
[2012-07-18 07:41:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools
[2012-07-18 07:38:16 | 000,251,528 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys
[2012-07-18 07:38:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools
[2012-07-18 07:38:01 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools

 

Klik w Wykonaj skrypt. Nie będzie restartu.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku poniższe foldery.

 

C:\Users\Bartek\Desktop\Stare dane programu Firefox

C:\Windows\erdnt

 

3. W Dzienniku zdarzeń masz błąd WMI numer 10. Instrukcje naprawcze dla Vista: KB950375.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

PS. Tak poza tym to od bardzo długiego już czasu nie działaja mi aktualizacje automatyczne systemu.... nie mam pomysłu jak to naprawić.

 

Jak to konkretnie się objawia, jakie błędy? W logu z Farbar Service Scanner nie widać naruszenia podstawowych usług Windows Update. Natomiast widzę, że używałeś Narzędzie analizy gotowości aktualizacji systemu:

 

[2013-01-06 18:35:53 | 000,000,000 | ---D | C] -- C:\Windows\CheckSur

 

Nie wiadomo co narzędzie robiło, czy coś wykryło czy nie. Wejdź do tego folderu i skopiuj na Pulpit logi narzędzia (checksur.log + checksur.persist.log) i tu dostarcz.

 

 

 

.

Edytowane przez picasso
7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...