rafaelito Opublikowano 20 Maja 2013 Zgłoś Udostępnij Opublikowano 20 Maja 2013 Kilka dni temu ogladalem z dziewczyna smieszne filmiki na necie i po jakichs kilku minutach zawiesil sie komp. Po restarcie znany mi juz wirus wyswietlil stronke pseudo policyjna wraz z zdjeciem zrobionym moja kamerka i zadaniem zaplaty 500zl. Wirus nie blokuje plikow jak to zrobil ostatni ktory mialem. Przeskanowalem komputer combofixem. Niestety nic nie poradzil na to... Zalaczam raporty z otla i prosze o pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
Conor29134 Opublikowano 20 Maja 2013 Zgłoś Udostępnij Opublikowano 20 Maja 2013 O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TM.blf () O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000001.regtrans-ms () O4 - Startup: C:\Users\Default\NTUSER.DAT{6cced2f1-6e01-11de-8bed-001e0bcd1824}.TMContainer00000000000000000002.regtrans-ms () O4 - Startup: C:\Users\Default\Pictures [2009-07-14 04:04:25 | 000,000,000 | R--D | M] O4 - Startup: C:\Users\Default\PrintHood [2009-07-14 06:53:55 | 000,000,000 | -HSD | M] O4 - Startup: C:\Users\Default\Recent [2009-07-14 06:53:55 | 000,000,000 | -HSD | M] Niestety chyba masz rozwalony rejestr systemowy a dokładniej uszkodzone wpisy folderów powłoki w rejestrze Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Kliknij Look i załącz raport (dalej to czekaj na picasso/Landussa) [2012-01-14 00:26:03 | 000,171,136 | RHS- | C] () -- \grldr [2012-01-14 00:25:37 | 000,000,003 | ---- | C] () -- \7Loader.TAG Kolejne kwiatki pozatym dołącz log z Combofixa Odnośnik do komentarza
rafaelito Opublikowano 20 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2013 Tak rejestr mi poszedl po ostatnim gpcode ktory zaszyfrowal mi pliki ktore do tej pory sa zaszyfrowane. Raport spybota SystemLook.txt SpybotSD.Results.txt Odnośnik do komentarza
picasso Opublikowano 20 Maja 2013 Zgłoś Udostępnij Opublikowano 20 Maja 2013 Conor29134 Te "kolejne kwiatki" to oznaki nielegalnego Windowsa i stosowania aktywatora 7Loader. Plik 7Loader.TAG służy do rozpoznania czy loader jest zainstalowany (po deinstalacji loadera plik zanika, więc...). Plik grldr to zmodyfikowany boot manager (w normalnych okolicznościach na nie crackowanym systemie powinien być plik BOOTMGR). rafaelito Gdy nikt nie odpisał, a chcesz uzupełnić post, nie pisz posta pod postem tylko używaj opcję Edytuj. Posty skleiłam. Raport ze Spybot niepotrzebny i nie byłeś o niego proszony. Spybot to archaiczne narzędzie. Za to zostałeś poproszony o podanie raportu ComboFix (C:\ComboFix.txt), skoro uruchamiałeś to narzędzie. Nie uruchamiaj go ponownie, podaj raport, który już jest na dysklu. Po restarcie znany mi juz wirus wyswietlil stronke pseudo policyjna wraz z zdjeciem zrobionym moja kamerka i zadaniem zaplaty 500zl. Wirus nie blokuje plikow jak to zrobil ostatni ktory mialem. Przeskanowalem komputer combofixem. Niestety nic nie poradzil na to... Na razie same niejasności i wymagane sprecyzowanie: 1. W tytule opowiadasz o "GPcode". Skąd ta myśl w aktualnym stanie? GPcode to infekcja szyfrująca dane, a Ty mówisz wręcz coś przeciwnego: "Wirus nie blokuje plikow jak to zrobil ostatni ktory mialem". Opisz dokładnie o co Ci chodzi z tytułem tematu, czy to Twoje nietrafne spekulacje, czy coś pokazuje Ci że system jest aktualnie zainfekowany GPcode. 2. Które konto jest zainfekowane? Jeśli logi są zrobione z poziomu konta, które nie ma blokady, są bezużyteczne. Logi są zrobione z poziomu konta Pecet: Computer Name: PECET-KOMPUTER | User Name: Pecet | Logged in as Administrator. Boot Mode: SafeMode with Networking | Scan Mode: All users Ale w systemie są katalogi konta Bartek i na dodatek OTL jest uruchomiony ze ścieżki Bartek: PRC - [2012-12-13 22:56:14 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bartek\Desktop\OTL.exe Tak więc: Pecet czy Bartek? 3. Na temat usterki folderów powłoki: nie jest pewne czy to na pewno jest usterka właściwego konta, czy przypadkiem tu nie ma miksu środowiskowego zalogowanych kont serwisowych. Otóż skan SystemLook pokazuje, że przy pobieraniu danych było zalogowane wbudowane w system konto SYSTEM a nie konto użytkownika Pecet: Log created at 20:12 on 20/05/2013 by SYSTEM Proszę się kompletnie wylogować z systemu poprzez pełny restart systemu (a nie zwykłe wylogowanie), zalogować na konto Pecet ponownie i zrobić nowy skan OTL. . Odnośnik do komentarza
rafaelito Opublikowano 20 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2013 Infekcja byla na pecet i blad procesu explorer.exe na bartek. Wyglada na to ze po skanie combofixem sie poprawilo Extras.Txt OTL.Txt log.txt Odnośnik do komentarza
picasso Opublikowano 20 Maja 2013 Zgłoś Udostępnij Opublikowano 20 Maja 2013 gpcode ktory zaszyfrowal mi pliki ktore do tej pory sa zaszyfrowane. Odszyfrowanie plików zaprawionych wcześniejszą infekcją to już całkiem inna sprawa. Kaspersky na ten temat: KLIK. Jeśli ta procedura nie zda egzaminu i pliki nie zostaną odzyskane, na danych chyba można położyć krzyżyk... Niestety jest tu aktualnie jedno "ale": szansa odszukania poprzednich wersji plików bardzo spadła (być może to już niemożliwe), bo upłynął pewien okres czasu, system cały czas działał i zapisywał nowe dane (co niestety oznacza potencjalne nadpisywanie miejsc oryginalnych plików). Zaraz po zaszyfrowaniu przez GPcode należało odciąć zasilanie i uruchomić TestDisk z bootowalnej płytki. Nowe skany wyjaśniły te rzeczy: - Log z ComboFix pokazuje usunięcie przynajmniej jedego pliku infekcji konta Pecet i to nie jest infekcja GPcode. Nie wątpię, że to ComboFix odblokował system. - Usterki folderów powłoki tu nie ma. Było w tle zalogowane inne konto systemowe (SYSTEM) i narzędzia pobrały skan z nieodpowiedniego klucza HKEY_CURRENT_USER. Aktualny skan OTL z konta Pecet w ogóle nie pokazuje już tych wpisów, które były w pierwszym logu. Nie ma czego naprawiać. Ale tu nie koniec akcji. W systemie działa także adware i trzeba doczyścić. Poza tym, brak pliku systemowego (to pewnie skutek infekcji ZeroAccess, której ślady w usuwaniu ComboFix są): DRV - File not found [Kernel | System | Stopped] -- system32\drivers\netbt.sys -- (NetBT) I w związku z tym sypie błędami: Error - 2013-05-20 16:00:19 | Computer Name = Pecet-Komputer | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: NetBT Error - 2013-05-20 16:00:22 | Computer Name = Pecet-Komputer | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi NetBT z powodu następującego błędu: %%2 Error - 2013-05-20 16:00:22 | Computer Name = Pecet-Komputer | Source = Service Control Manager | ID = 7001 Description = Usługa Pomoc TCP/IP NetBIOS zależy od usługi NetBT, której nie można uruchomić z powodu następującego błędu: %%2 Error - 2013-05-20 16:00:22 | Computer Name = Pecet-Komputer | Source = Service Control Manager | ID = 7023 Description = Usługa Przeglądarka komputera zakończyła działanie; wystąpił następujący błąd: ` Wykonaj następujące akcje: 1. Przez Panel sterowania odinstaluj adware BrowserProtect, DAEMON Tools Toolbar, Delta Chrome Toolbar, FTDownloader, MagniPic, McAfee Security Scan Plus. Od razu wywal też skaner Spybot - Search & Destroy. 2. Następnie wyczyść przeglądarki: - Google Chrome: w Rozszerzeniach odinstaluj Delta Toolbar. W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy Delta Search. - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Wyłącz rezydenta MBAM na czas wykonywania skryptu. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\%APPDATA% C:\Users\Pecet\AppData\Roaming\suspectphoto.jpg C:\Users\Pecet\AppData\Roaming\bg2.jpg C:\Users\Pecet\AppData\Roaming\B1Toolbar C:\Users\Pecet\AppData\Roaming\BabSolution C:\Users\Pecet\AppData\Roaming\Babylon C:\Users\Pecet\AppData\Roaming\Yontoo C:\Users\Pecet\AppData\Local\B1E C:\Users\Pecet\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- "Default_Page_URL"=- "Search Bar"=- "Search Page Before"=- "Start Page"="about:blank" "Start Page Before"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}] [-HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\shared tools\msconfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk] [-HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] [-HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\shared tools\msconfig\startupreg\Yontoo Desktop] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Mozilla Firefox 3.5.7] :OTL IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=BA6100216BCD2263 IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://tbsearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=en_US IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.v9.com/web/?q={searchTerms} IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\..\SearchScopes\{68B98452-5FF4-4BD9-B5C3-618CBDCC411D}: "URL" = http://searchou.com/?q={searchTerms}&id=ba612d8800000000000000216bcd2263&r=377 IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://search.b1.org/?bsrc=hmior&chid=c167991 O2 - BHO: (IeMonitorBho Class) - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll File not found O8 - Extra context menu item: Pobierz za pomocą Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm File not found FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSetFolders = 0 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMorePrograms = 0 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoChangeStartMenu = 0 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoControlPanel = 0 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1012\Software\Policies\Microsoft\Internet Explorer\Control Panel present DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\Drivers\DgiVecp.sys -- (DgiVecp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva401.sys -- (XDva401) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva398.sys -- (XDva398) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RtsUCcid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETw5s32.sys -- (NETw5s32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Pecet\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\config\SYSTEM~1\AppData\Local\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. W katalogu C:\_OTL powstanie log z wynikami usuwania. 4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 5. Uruchom sprawdzanie plików systemowych za pomocą komendy sfc /scannow, a po tym za pomocą kolejnej komendy przefiltruj CBS.LOG do wystąpień znaczników [sR], by zrobić log z wynikami: KLIK. 6. Zresetuj plik HOSTS do postaci domyślnej Windows 7 posługując się narzędziem Fix-it: KLIK. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz logi utworzone przez narzędzia: log z usuwania OTL z punktu 3, log utworzony przez AdwCleaner oraz log z wynikami SFC. . Odnośnik do komentarza
rafaelito Opublikowano 21 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 21 Maja 2013 Nie mialem jak wczesniej niestety. Plikow z rozszerzeniem log nie moge zamieszczac wiec zmienilem log z usuwania z otl na txt. Pliku CBS nie dalem rady zamiescic poniewaz jest za duzy. Archiwum rar takze nie da sie zamiescic OTL Wynik.txt OTL2.Txt sfc.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 22 Maja 2013 Zgłoś Udostępnij Opublikowano 22 Maja 2013 Nie mialem jak wczesniej niestety. Do czego zmierzasz? Jeśli masz na myśli odszyfrowanie plików, to cały czas sytuacja się pogarsza, bo są non stop wykonywane zapisy na dysku... I ja nie zaradzę tu niestety. Plikow z rozszerzeniem log nie moge zamieszczac wiec zmienilem log z usuwania z otl na txt. Tak, w załącznikach tylko pliki *.TXT są akceptowane. Pliku CBS nie dalem rady zamiescic poniewaz jest za duzy. Archiwum rar takze nie da sie zamiescic Nie miałeś podawać całego CBS.LOG (zawiera o wiele więcej danych niż wyniki SFC) tylko wynikowy log filtrowany do znaczników [sR]. Podany, jest OK. Akcja uzupełniania pliku też pomyślnie wykonana: 2013-05-21 20:39:52, Info CSI 000003bf [sR] Cannot repair member file [l:18{9}]"netbt.sys" of Microsoft-Windows-NetBT, Version = 6.1.7600.16385, pA = PROCESSOR_ARCHITECTURE_INTEL (0), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing2013-05-21 20:39:52, Info CSI 000003c0 [sR] Repaired file \SystemRoot\WinSxS\Manifests\\[ml:24{12},l:18{9}]"netbt.sys" by copying from backup2013-05-21 20:39:52, Info CSI 000003c1 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\System32\drivers"\[l:18{9}]"netbt.sys" from store Nie odinstalowałeś Spybota (to jest słaby przestarzały skaner). Reszta akcji wykonana. 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Windows\System32\searchplugins C:\Windows\System32\Extensions C:\Windows\System32\drivers\etc\hosts.old :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Przedstaw log z wynikami usuwania, nowy skan OTL nie jest potrzebny. 2. Nie ruszałam tego wcześniej, odpowiedz mi na pytanie czy te blokady są celowe: O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogOff = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSearchEverywhereLinkInStartMenu = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFavoritesMenu = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserFolderlnStartMenu = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuSearchPrograms = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuSearchFiles = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyMusic = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoNetworkConnections = 1O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuNetworkPlaces = 1 . Odnośnik do komentarza
rafaelito Opublikowano 22 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 22 Maja 2013 2. Nie blokowałem nic a wiec może to dzialalnosc jakiegos dawniejszego wirusa OTL wynik.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2013 Zgłoś Udostępnij Opublikowano 23 Maja 2013 Skoro nic samodzielnie z intencją nie blokowałeś, to usuń te polityki. Czyli: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: StartMenuLogOff = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSearchEverywhereLinkInStartMenu = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCommonGroups = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFavoritesMenu = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoUserFolderlnStartMenu = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuSearchPrograms = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuSearchFiles = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMyMusic = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyPictures = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMMyDocs = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoNetworkConnections = 1 O7 - HKU\S-1-5-21-3441852442-2004521568-503359352-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuNetworkPlaces = 1 Klik w Wykonaj skrypt. 2. Przedstaw log z wynikami usuwania. . Odnośnik do komentarza
rafaelito Opublikowano 23 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2013 Zrobione OTL 23052013.txt Odnośnik do komentarza
picasso Opublikowano 24 Maja 2013 Zgłoś Udostępnij Opublikowano 24 Maja 2013 (edytowane) Tak, zrobione. Jeszcze jedno drobne sprawdzanie. Były tu ślady ZeroAccess, podaj więc skan czy ikona Centrum Akcji jest na miejscu. Uruchom SystemLook i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. . Edytowane 2 Lipca 2013 przez picasso 2.07.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi