Pozostałości po reklamiarzach / Brak możliwości zainstalowania antywirusa

[Shajro]

Witam, mam wrażenie że w systemie są jakieś śmieci z reklamarzy, które uniemożliwiają mi instalacje na komputerze oprogramowania antywirusowego ESET. Podczas instalacji, w okienku pokazuje się informacja, że zostały zainstalowane różnego rodzaju antywirusy (których fizycznie nie ma na komputerze) i czy dalej chce kontyynuować instalacje. Po instalacji, ESET się nie uruchamia, a po przejściu do jego folderu pokazują się kilka plików dat. Przyznaje że szukałem pomocy na innym forum, linka do tematu mogę podać na PW osobie która będzie chciała mi udzielić pomocy. Przy pierwszym skanowaniu dokładnym programem GMER wyskoczył bluescreen. W temacie załączam logi, screeny mogę dołączyć jeżeli jest taka potrzeba.

Pozdrawiam

Shortcut.txt

OTL.Txt

FRST.txt

Extras.Txt

Addition.txt

[picasso]

Proszę o link do tematu prowadzonego na innym forum, link podany tu w temacie a nie na PW. Muszę mieć kompletny obraz sytuacji.

 

 

mam wrażenie że w systemie są jakieś śmieci z reklamarzy, które uniemożliwiają mi instalacje na komputerze oprogramowania antywirusowego ESET. Podczas instalacji, w okienku pokazuje się informacja, że zostały zainstalowane różnego rodzaju antywirusy (których fizycznie nie ma na komputerze) i czy dalej chce kontyynuować instalacje. Po instalacji, ESET się nie uruchamia, a po przejściu do jego folderu pokazują się kilka plików dat.

Zaprezentuj zrzut ekranu instalatora ESET pokazujący owe "różne antywirusy". W raportach nie widać żadnych równoległych instalacji antywirusów (sterowników czy rejestracji WMI) które mogłyby blokować instalację ESET. Jedyne co widać na liście zainstalowanych, to te pozycje:

 

==================== Installed Programs ======================
 

ESET Remote Administrator Console (HKLM\...\{9F00D1CA-CA68-4AAE-B76D-22E627088A61}) (Version: 3.0.39 - ESET, spol s r.o.)

Malwarebytes Anti-Malware wersja 2.0.4.1028 (HKLM\...\Malwarebytes Anti-Malware_is1) (Version: 2.0.4.1028 - Malwarebytes Corporation)

 

Nie widać także jawnych oznak czynnej infekcji (są tylko martwe szczątki adware które nie mają żadnego znaczenia). Ale są tu tak jakby ślady jakiejś infekcji, tzn. widać następujące ukryte pliki udające w nazwach oprogramowanie antywirusowe:

 

[2014-10-10 13:00:23 | 000,000,000 | RHS- | C] () -- C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps

[2014-10-10 12:59:09 | 000,000,000 | RHS- | C] () -- C:\Program Files\Windows Defender

[2014-10-10 12:59:09 | 000,000,000 | RHS- | C] () -- C:\Program Files\Microsoft Security Client

[2014-10-10 12:59:08 | 000,000,000 | RHS- | C] () -- C:\Program Files\Trend Micro Installer

[2014-10-10 12:59:08 | 000,000,000 | RHS- | C] () -- C:\Program Files\NortonInstaller

[2014-10-10 12:59:07 | 000,000,000 | RHS- | C] () -- C:\ProgramData\Trend Micro Installer

[2014-10-10 12:59:07 | 000,000,000 | RHS- | C] () -- C:\ProgramData\NortonInstaller

 

Prawdopodobnie są to także obiekty zablokowane przez uprawnienia.

 

1. Poproszę o dokładniejszy DIR katalogów. Otwórz Notatnik i wklej w nim:

 

CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a "C:\Users\Sylwester Sobkowiak\AppData\Local"
CMD: dir /a "C:\Users\Sylwester Sobkowiak\AppData\LocalLow"
CMD: dir /a "C:\Users\Sylwester Sobkowiak\AppData\Roaming"
CMD: dir /a C:\Windows\system32\drivers
ListPermissions: C:\Program Files\Windows Defender
ListPermissions: C:\Program Files\ESET
ListPermissions: C:\ProgramData\ESET
ListPermissions: C:\ProgramData\Symantec

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Dorzuć także logi z Farbar Service Scanner oraz Kaspersky TDSSKiller. Jeśli Kaspersky coś wykryje, ustaw Skip i tylko dostarcz raport.

[Shajro]

Dodaje załączniki, adres do mojego tematu:

 

http://www.elektroda.pl/rtvforum/topic2940685.html#14184885

 

Fixlog.txt

FSS.txt

TDSS.txt

[picasso]

Otrzymałam mocno zmodyfikowane dane bez istotnych informacji, które były na tamtym forum. Wszystko było wiadome już od początku. Definitywnie tu była infekcja. Na tamtym forum jest informacja skąd się ładowała, w pierwszym skrypcie bowiem przetwarzano wpis strumienia NTFS:

 

BootExecute: autocheck autochk * C:\Windows\Temp:1

AlternateDataStreams: C:\Windows\Temp:1

 

Prócz tego co już pokazywałam (pliki udające katalogi), mój skrypt FRST wykazuje mnóstwo innych falsyfikatów blokujących prawidłową instalację i to obojętnego antywirusa, nie tylko ESET - w katalogu Drivers infekcja utworzyła foldery w nazwach symulujące pliki sterowników antywirusów. Przykład blokady Avast:

 

========= dir /a C:\Windows\system32\drivers =========
 

2014-10-10 12:58 
 aswHwid.sys

2014-10-10 12:58 
 aswMon2.sys

2014-10-10 12:58 
 aswMonFlt.sys

2014-10-10 12:58 
 aswNdis.sys

2014-10-10 12:58 
 aswNdis2.sys

2014-10-10 12:58 
 aswNdisFlt.sys

2014-10-10 12:58 
 aswRdr.sys

2014-10-10 12:58 
 aswRdr2.sys

2014-10-10 12:58 
 aswRvrt.sys

2014-10-10 12:58 
 aswSnx.sys

2014-10-10 12:58 
 aswSP.sys

2014-10-10 12:58 
 aswStm.sys

2014-10-10 12:58 
 aswTdi.sys

2014-10-10 12:58 
 aswVmm.sys

 

Ale jest tego od groma, wszystkie marki antywirusowe sfałszowane. Te foldery były podmontowane wcześniej jako "usługi" (widać to w pierwszym logu na tamtym forum). Na linkowanym forum podejmowano wątpliwe działania typu przetwarzanie w skrypcie wpisów typu "Locked" - to były komunikaty "tylko do odczytu", że FRST już odblokował te fałszywe "usługi". Oczywiście Fix się nie wykonał.

 

Dodatkowo, jak wykazałam wcześniej C:\Program Files\Windows Defender to jest fałszywy plik a nie folder. Prawdziwy folder systemowy oraz usługa zostały zniszczone i Windows Defender w ogóle nie istnieje w systemie. Jego odtwarzaniem zajmę się potem.

 

 

---

Działania wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-4057883698-1414104491-491510895-1000\...\Policies\Explorer: [HideSCAHealth] 1
Task: {8EBC5BFC-7AAA-45F8-AFEE-0264702222E1} - System32\Tasks\{DF93C777-CFB0-43B0-BEFA-6D0D77C51296} => pcalua.exe -a "C:\Program Files\Babylon\Babylon-Pro\Utils\uninstbb.exe"
ListPermissions: C:\Windows\system32\drivers\360AntiHacker.sys
RemoveDirectory: C:\Windows\system32\drivers\360AntiHacker.sys
RemoveDirectory: C:\Windows\system32\drivers\360AntiHacker64.sys
RemoveDirectory: C:\Windows\system32\drivers\360AvFlt.sys
RemoveDirectory: C:\Windows\system32\drivers\360Box.sys
RemoveDirectory: C:\Windows\system32\drivers\360Box64.sys
RemoveDirectory: C:\Windows\system32\drivers\360Camera.sys
RemoveDirectory: C:\Windows\system32\drivers\360Camera64.sys
RemoveDirectory: C:\Windows\system32\drivers\360FsFlt.sys
RemoveDirectory: C:\Windows\system32\drivers\360SelfProtection.sys
RemoveDirectory: C:\Windows\system32\drivers\Aavmker4.sys
RemoveDirectory: C:\Windows\system32\drivers\abndis.sys
RemoveDirectory: C:\Windows\system32\drivers\abp470n5.sys
RemoveDirectory: C:\Windows\system32\drivers\afw.sys
RemoveDirectory: C:\Windows\system32\drivers\afwcore.sys
RemoveDirectory: C:\Windows\system32\drivers\AhnFlt2k.sys
RemoveDirectory: C:\Windows\system32\drivers\AhnRec2k.sys
RemoveDirectory: C:\Windows\system32\drivers\AhnRghNt.sys
RemoveDirectory: C:\Windows\system32\drivers\ahnsze.sys
RemoveDirectory: C:\Windows\system32\drivers\ale7_nf.sys
RemoveDirectory: C:\Windows\system32\drivers\ale7_nf64.sys
RemoveDirectory: C:\Windows\system32\drivers\ale_nf.sys
RemoveDirectory: C:\Windows\system32\drivers\ale_nf64.sys
RemoveDirectory: C:\Windows\system32\drivers\amm6460.sys
RemoveDirectory: C:\Windows\system32\drivers\amm8651.sys
RemoveDirectory: C:\Windows\system32\drivers\amm8660.sys
RemoveDirectory: C:\Windows\system32\drivers\AMonHKNT.sys
RemoveDirectory: C:\Windows\system32\drivers\AMonLWLH.sys
RemoveDirectory: C:\Windows\system32\drivers\AMonTDLH.sys
RemoveDirectory: C:\Windows\system32\drivers\AMonTDNt.sys
RemoveDirectory: C:\Windows\system32\drivers\apkhelper.sys
RemoveDirectory: C:\Windows\system32\drivers\APPFLT.SYS
RemoveDirectory: C:\Windows\system32\drivers\apsp.sys
RemoveDirectory: C:\Windows\system32\drivers\arcawfp.sys
RemoveDirectory: C:\Windows\system32\drivers\aswHwid.sys
RemoveDirectory: C:\Windows\system32\drivers\aswMon2.sys
RemoveDirectory: C:\Windows\system32\drivers\aswMonFlt.sys
RemoveDirectory: C:\Windows\system32\drivers\aswNdis.sys
RemoveDirectory: C:\Windows\system32\drivers\aswNdis2.sys
RemoveDirectory: C:\Windows\system32\drivers\aswNdisFlt.sys
RemoveDirectory: C:\Windows\system32\drivers\aswRdr.sys
RemoveDirectory: C:\Windows\system32\drivers\aswRdr2.sys
RemoveDirectory: C:\Windows\system32\drivers\aswRvrt.sys
RemoveDirectory: C:\Windows\system32\drivers\aswSnx.sys
RemoveDirectory: C:\Windows\system32\drivers\aswSP.sys
RemoveDirectory: C:\Windows\system32\drivers\aswStm.sys
RemoveDirectory: C:\Windows\system32\drivers\aswTdi.sys
RemoveDirectory: C:\Windows\system32\drivers\aswVmm.sys
RemoveDirectory: C:\Windows\system32\drivers\avasdmft.sys
RemoveDirectory: C:\Windows\system32\drivers\avc3.sys
RemoveDirectory: C:\Windows\system32\drivers\avchv.sys
RemoveDirectory: C:\Windows\system32\drivers\avckf.sys
RemoveDirectory: C:\Windows\system32\drivers\avf.sys
RemoveDirectory: C:\Windows\system32\drivers\avgboota.sys
RemoveDirectory: C:\Windows\system32\drivers\avgbootx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgdiska.sys
RemoveDirectory: C:\Windows\system32\drivers\avgdiskx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgfwd6a.sys
RemoveDirectory: C:\Windows\system32\drivers\avgfwd6x.sys
RemoveDirectory: C:\Windows\system32\drivers\avgfwdx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidsdrivera.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidsdriverlx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidsdriverx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidsha.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidshx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidsshimw8x.sys
RemoveDirectory: C:\Windows\system32\drivers\avgidsshimx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgldx64.sys
RemoveDirectory: C:\Windows\system32\drivers\avgldx86.sys
RemoveDirectory: C:\Windows\system32\drivers\avgloga.sys
RemoveDirectory: C:\Windows\system32\drivers\avglogx.sys
RemoveDirectory: C:\Windows\system32\drivers\avgmfx64.sys
RemoveDirectory: C:\Windows\system32\drivers\avgmfx86.sys
RemoveDirectory: C:\Windows\system32\drivers\avgntflt.sys
RemoveDirectory: C:\Windows\system32\drivers\avgrkx64.sys
RemoveDirectory: C:\Windows\system32\drivers\avgrkx86.sys
RemoveDirectory: C:\Windows\system32\drivers\avgtdia.sys
RemoveDirectory: C:\Windows\system32\drivers\avgtdix.sys
RemoveDirectory: C:\Windows\system32\drivers\avgwfpa.sys
RemoveDirectory: C:\Windows\system32\drivers\avgwfpx.sys
RemoveDirectory: C:\Windows\system32\drivers\avipbb.sys
RemoveDirectory: C:\Windows\system32\drivers\avkmgr.sys
RemoveDirectory: C:\Windows\system32\drivers\avnetflt.sys
RemoveDirectory: C:\Windows\system32\drivers\BAPIDRV.SYS
RemoveDirectory: C:\Windows\system32\drivers\BAPIDRV64.SYS
RemoveDirectory: C:\Windows\system32\drivers\bcfilter.sys
RemoveDirectory: C:\Windows\system32\drivers\bcfsrm.sys
RemoveDirectory: C:\Windows\system32\drivers\bcftdi.sys
RemoveDirectory: C:\Windows\system32\drivers\bc_hash_f.sys
RemoveDirectory: C:\Windows\system32\drivers\bc_ip_f.sys
RemoveDirectory: C:\Windows\system32\drivers\bc_ngn.sys
RemoveDirectory: C:\Windows\system32\drivers\bc_pat_f.sys
RemoveDirectory: C:\Windows\system32\drivers\bc_prt_f.sys
RemoveDirectory: C:\Windows\system32\drivers\bc_tdi_f.sys
RemoveDirectory: C:\Windows\system32\drivers\BdAgent.sys
RemoveDirectory: C:\Windows\system32\drivers\bdelam.sys
RemoveDirectory: C:\Windows\system32\drivers\bdfndisf.sys
RemoveDirectory: C:\Windows\system32\drivers\BdfNdisf6.sys
RemoveDirectory: C:\Windows\system32\drivers\bdfsfltr.sys
RemoveDirectory: C:\Windows\system32\drivers\BdNet.sys
RemoveDirectory: C:\Windows\system32\drivers\bdsandbox.sys
RemoveDirectory: C:\Windows\system32\drivers\bdsflt.sys
RemoveDirectory: C:\Windows\system32\drivers\bdsnm.sys
RemoveDirectory: C:\Windows\system32\drivers\BdSpy.sys
RemoveDirectory: C:\Windows\system32\drivers\bdvedisk.sys
RemoveDirectory: C:\Windows\system32\drivers\Bfilter.sys
RemoveDirectory: C:\Windows\system32\drivers\Bfmon.sys
RemoveDirectory: C:\Windows\system32\drivers\Bhbase.sys
RemoveDirectory: C:\Windows\system32\drivers\Bprotect.sys
RemoveDirectory: C:\Windows\system32\drivers\catflt.sys
RemoveDirectory: C:\Windows\system32\drivers\CdmDrvNt.sys
RemoveDirectory: C:\Windows\system32\drivers\cfwids.sys
RemoveDirectory: C:\Windows\system32\drivers\cmderd.sys
RemoveDirectory: C:\Windows\system32\drivers\cmdguard.sys
RemoveDirectory: C:\Windows\system32\drivers\cmdhlp.sys
RemoveDirectory: C:\Windows\system32\drivers\COMFiltr.sys
RemoveDirectory: C:\Windows\system32\drivers\DrWebLwf.sys
RemoveDirectory: C:\Windows\system32\drivers\dsaflt.sys
RemoveDirectory: C:\Windows\system32\drivers\dsaflt64.sys
RemoveDirectory: C:\Windows\system32\drivers\dwprot.sys
RemoveDirectory: C:\Windows\system32\drivers\dw_wfp.sys
RemoveDirectory: C:\Windows\system32\drivers\eamon.sys
RemoveDirectory: C:\Windows\system32\drivers\eamonm.sys
RemoveDirectory: C:\Windows\system32\drivers\econceal.sys
RemoveDirectory: C:\Windows\system32\drivers\edevmon.sys
RemoveDirectory: C:\Windows\system32\drivers\efimon.sys
RemoveDirectory: C:\Windows\system32\drivers\ehdrv.sys
RemoveDirectory: C:\Windows\system32\drivers\EMLTDI.SYS
RemoveDirectory: C:\Windows\system32\drivers\epfw.sys
RemoveDirectory: C:\Windows\system32\drivers\EpfwLWF.sys
RemoveDirectory: C:\Windows\system32\drivers\epfwndis.sys
RemoveDirectory: C:\Windows\system32\drivers\epfwtdi.sys
RemoveDirectory: C:\Windows\system32\drivers\epfwwfp.sys
RemoveDirectory: C:\Windows\system32\drivers\epfwwfpr.sys
RemoveDirectory: C:\Windows\system32\drivers\fnetm64.sys
RemoveDirectory: C:\Windows\system32\drivers\fnetmon.sys
RemoveDirectory: C:\Windows\system32\drivers\FPAV_RTP.sys
RemoveDirectory: C:\Windows\system32\drivers\fsbts.sys
RemoveDirectory: C:\Windows\system32\drivers\fwcore.sys
RemoveDirectory: C:\Windows\system32\drivers\GDBehave.sys
RemoveDirectory: C:\Windows\system32\drivers\gddcd64.sys
RemoveDirectory: C:\Windows\system32\drivers\gddcv64.sys
RemoveDirectory: C:\Windows\system32\drivers\GDNdisIc.sys
RemoveDirectory: C:\Windows\system32\drivers\GDTdiIcpt.sys
RemoveDirectory: C:\Windows\system32\drivers\gdwfpcd32.sys
RemoveDirectory: C:\Windows\system32\drivers\gdwfpcd64.sys
RemoveDirectory: C:\Windows\system32\drivers\gfiark.sys
RemoveDirectory: C:\Windows\system32\drivers\gfiutil.sys
RemoveDirectory: C:\Windows\system32\drivers\ggc.sys
RemoveDirectory: C:\Windows\system32\drivers\gzflt.sys
RemoveDirectory: C:\Windows\system32\drivers\HipShieldK.sys
RemoveDirectory: C:\Windows\system32\drivers\HookCentre.sys
RemoveDirectory: C:\Windows\system32\drivers\HookHelp.sys
RemoveDirectory: C:\Windows\system32\drivers\hookport.sys
RemoveDirectory: C:\Windows\system32\drivers\Hooksys.sys
RemoveDirectory: C:\Windows\system32\drivers\HookTdi.sys
RemoveDirectory: C:\Windows\system32\drivers\hvm.sys
RemoveDirectory: C:\Windows\system32\drivers\idsflt.sys
RemoveDirectory: C:\Windows\system32\drivers\idsflt64.sys
RemoveDirectory: C:\Windows\system32\drivers\inspect.sys
RemoveDirectory: C:\Windows\system32\drivers\K7FWFilt.sys
RemoveDirectory: C:\Windows\system32\drivers\K7FWHlpr.sys
RemoveDirectory: C:\Windows\system32\drivers\K7Sentry.sys
RemoveDirectory: C:\Windows\system32\drivers\K7TdiHlp.sys
RemoveDirectory: C:\Windows\system32\drivers\kl1.sys
RemoveDirectory: C:\Windows\system32\drivers\kl2.sys
RemoveDirectory: C:\Windows\system32\drivers\klelam.sys
RemoveDirectory: C:\Windows\system32\drivers\klflt.sys
RemoveDirectory: C:\Windows\system32\drivers\klhk.sys
RemoveDirectory: C:\Windows\system32\drivers\klif.sys
RemoveDirectory: C:\Windows\system32\drivers\klim5.sys
RemoveDirectory: C:\Windows\system32\drivers\klim6.sys
RemoveDirectory: C:\Windows\system32\drivers\klpd.sys
RemoveDirectory: C:\Windows\system32\drivers\kltdi.sys
RemoveDirectory: C:\Windows\system32\drivers\klwfp.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxAgent.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxAMRT.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxCF.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxCfg.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxFile.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxFilter.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxFw.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxSbx.sys
RemoveDirectory: C:\Windows\system32\drivers\KmxStart.sys
RemoveDirectory: C:\Windows\system32\drivers\kneps.sys
RemoveDirectory: C:\Windows\system32\drivers\kvnet.sys
RemoveDirectory: C:\Windows\system32\drivers\kwflower.sys
RemoveDirectory: C:\Windows\system32\drivers\kwfupper.sys
RemoveDirectory: C:\Windows\system32\drivers\llio.sys
RemoveDirectory: C:\Windows\system32\drivers\McPvDrv.sys
RemoveDirectory: C:\Windows\system32\drivers\mfeapfk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfeavfk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfebopk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfeclnrk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfeelamk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfefirek.sys
RemoveDirectory: C:\Windows\system32\drivers\mfehidk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfencbdc.sys
RemoveDirectory: C:\Windows\system32\drivers\mfencrk.sys
RemoveDirectory: C:\Windows\system32\drivers\mfewfpk.sys
RemoveDirectory: C:\Windows\system32\drivers\MiniIcpt.sys
RemoveDirectory: C:\Windows\system32\drivers\MOBK.sys
RemoveDirectory: C:\Windows\system32\drivers\mscank.sys
RemoveDirectory: C:\Windows\system32\drivers\mwfsmflt.sys
RemoveDirectory: C:\Windows\system32\drivers\n64i1644.sys
RemoveDirectory: C:\Windows\system32\drivers\netfilter.sys
RemoveDirectory: C:\Windows\system32\drivers\NETFLTDI.SYS
RemoveDirectory: C:\Windows\system32\drivers\neti1644.sys
RemoveDirectory: C:\Windows\system32\drivers\NETTDI64.SYS
RemoveDirectory: C:\Windows\system32\drivers\nnetsec.sys
RemoveDirectory: C:\Windows\system32\drivers\nnetsecl.sys
RemoveDirectory: C:\Windows\system32\drivers\nnetsecl64.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSAlpc.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSHttp.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSHttps.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSIds.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSNAHS.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSNAHSL.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSpicc.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSpihs.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSPihsw.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSPop3.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSProt.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSPrv.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSSmtp.sys
RemoveDirectory: C:\Windows\system32\drivers\NNSStrm.sys
RemoveDirectory: C:\Windows\system32\drivers\NNStlsc.sys
RemoveDirectory: C:\Windows\system32\drivers\npf.sys
RemoveDirectory: C:\Windows\system32\drivers\NSKernel.sys
RemoveDirectory: C:\Windows\system32\drivers\NSNetmon.sys
RemoveDirectory: C:\Windows\system32\drivers\nvcv64mf.sys
RemoveDirectory: C:\Windows\system32\drivers\OADriver.sys
RemoveDirectory: C:\Windows\system32\drivers\oahlp32.sys
RemoveDirectory: C:\Windows\system32\drivers\OAmon.sys
RemoveDirectory: C:\Windows\system32\drivers\OAnet.sys
RemoveDirectory: C:\Windows\system32\drivers\pavboot.sys
RemoveDirectory: C:\Windows\system32\drivers\pavboot64.sys
RemoveDirectory: C:\Windows\system32\drivers\PavProc.sys
RemoveDirectory: C:\Windows\system32\drivers\PCTBD64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctBTFix64.sys
RemoveDirectory: C:\Windows\system32\drivers\PCTCore64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctDS64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctEFA64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctgntdi64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctplsg64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctplsm64.sys
RemoveDirectory: C:\Windows\system32\drivers\PCTSD64.sys
RemoveDirectory: C:\Windows\system32\drivers\pctwfpfilter64.sys
RemoveDirectory: C:\Windows\system32\drivers\PktIcpt.sys
RemoveDirectory: C:\Windows\system32\drivers\PROCEXP152.SYS
RemoveDirectory: C:\Windows\system32\drivers\protreg.sys
RemoveDirectory: C:\Windows\system32\drivers\PSINAflt.sys
RemoveDirectory: C:\Windows\system32\drivers\PSINFile.sys
RemoveDirectory: C:\Windows\system32\drivers\PSINKNC.sys
RemoveDirectory: C:\Windows\system32\drivers\PSINProc.sys
RemoveDirectory: C:\Windows\system32\drivers\PSINProt.sys
RemoveDirectory: C:\Windows\system32\drivers\PSINReg.sys
RemoveDirectory: C:\Windows\system32\drivers\PSKMAD.sys
RemoveDirectory: C:\Windows\system32\drivers\qutmdrv.sys
RemoveDirectory: C:\Windows\system32\drivers\qutmipc.sys
RemoveDirectory: C:\Windows\system32\drivers\SandBox.sys
RemoveDirectory: C:\Windows\system32\drivers\SandBox64.sys
RemoveDirectory: C:\Windows\system32\drivers\savonaccess.sys
RemoveDirectory: C:\Windows\system32\drivers\savonaccesscontrol.sys
RemoveDirectory: C:\Windows\system32\drivers\savonaccessfilter.sys
RemoveDirectory: C:\Windows\system32\drivers\sbaphd.sys
RemoveDirectory: C:\Windows\system32\drivers\sbapifs.sys
RemoveDirectory: C:\Windows\system32\drivers\SbFw.sys
RemoveDirectory: C:\Windows\system32\drivers\SbFwIm.sys
RemoveDirectory: C:\Windows\system32\drivers\sbhips.sys
RemoveDirectory: C:\Windows\system32\drivers\sbtis.sys
RemoveDirectory: C:\Windows\system32\drivers\sbwtis.sys
RemoveDirectory: C:\Windows\system32\drivers\scfdriver.sys
RemoveDirectory: C:\Windows\system32\drivers\scfndis.sys
RemoveDirectory: C:\Windows\system32\drivers\ShldFlt.sys
RemoveDirectory: C:\Windows\system32\drivers\ShlDrv51.sys
RemoveDirectory: C:\Windows\system32\drivers\skmscan.sys
RemoveDirectory: C:\Windows\system32\drivers\SophosBootDriver.sys
RemoveDirectory: C:\Windows\system32\drivers\spiderg3.sys
RemoveDirectory: C:\Windows\system32\drivers\ssmdrv.sys
RemoveDirectory: C:\Windows\system32\drivers\SYMEVENT.SYS
RemoveDirectory: C:\Windows\system32\drivers\SYMEVENT64x86.SYS
RemoveDirectory: C:\Windows\system32\drivers\SysPlant.sys
RemoveDirectory: C:\Windows\system32\drivers\tdifw.sys
RemoveDirectory: C:\Windows\system32\drivers\tdi_nf.sys
RemoveDirectory: C:\Windows\system32\drivers\Teefer.sys
RemoveDirectory: C:\Windows\system32\drivers\tmactmon.sys
RemoveDirectory: C:\Windows\system32\drivers\tmcomm.sys
RemoveDirectory: C:\Windows\system32\drivers\TMEBC32.sys
RemoveDirectory: C:\Windows\system32\drivers\TMEBC64.sys
RemoveDirectory: C:\Windows\system32\drivers\tmeevw.sys
RemoveDirectory: C:\Windows\system32\drivers\tmevtmgr.sys
RemoveDirectory: C:\Windows\system32\drivers\tmnciesc.sys
RemoveDirectory: C:\Windows\system32\drivers\tmusa.sys
RemoveDirectory: C:\Windows\system32\drivers\tpdevflt.sys
RemoveDirectory: C:\Windows\system32\drivers\tpsec.sys
RemoveDirectory: C:\Windows\system32\drivers\Trufos.sys
RemoveDirectory: C:\Windows\system32\drivers\TS4nt.sys
RemoveDirectory: C:\Windows\system32\drivers\v3engine.sys
RemoveDirectory: C:\Windows\system32\drivers\VBEngNT.sys
RemoveDirectory: C:\Windows\system32\drivers\vsdatant.sys
RemoveDirectory: C:\Windows\system32\drivers\webssx.sys
RemoveDirectory: C:\Windows\system32\drivers\WGX64.SYS
RemoveDirectory: C:\Windows\system32\drivers\wnmflt.sys
RemoveDirectory: C:\Windows\system32\drivers\wnmflt64.sys
RemoveDirectory: C:\Windows\system32\drivers\WRkrn.sys
RemoveDirectory: C:\Windows\system32\drivers\wsnf.sys
RemoveDirectory: C:\Windows\system32\drivers\wstif.sys
Unlock: C:\Program Files\Microsoft Security Client
Unlock: C:\Program Files\NortonInstaller
Unlock: C:\Program Files\Trend Micro Installer
Unlock: C:\Program Files\Windows Defender
Unlock: C:\ProgramData\ESET
Unlock: C:\ProgramData\NortonInstaller
Unlock: C:\ProgramData\Trend Micro Installer
Unlock: C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps
Unlock: C:\Users\Sylwester Sobkowiak\AppData\Roaming\IObit Apps
C:\Program Files\AlphaChessHistory.dat
C:\Program Files\Common Files\Softwin
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\GamingWonderlandEI
C:\Program Files\GUM2809.tmp
C:\Program Files\GUMC6A8.tmp
C:\Program Files\GUTC6E8.tmp
C:\Program Files\Kroll Ontrack
C:\Program Files\Mozilla Firefox
C:\Program Files\Nitro PDF
C:\Program Files\NortonInstaller
C:\Program Files\RealPopup
C:\Program Files\Softwin
C:\Program Files\Temp
C:\Program Files\Tor
C:\Program Files\Trend Micro Installer
C:\ProgramData\HitmanPro
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\ProgramData\Symantec
C:\ProgramData\Trend Micro Installer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AlphaChess 3.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClamWin Antivirus
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Uninstaller.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Update.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader.lnk
C:\Users\Sylwester Sobkowiak\AppData\Local\IObit Apps
C:\Users\Sylwester Sobkowiak\AppData\Local\Mozilla
C:\Users\Sylwester Sobkowiak\AppData\Local\nsg6B92.tmp
C:\Users\Sylwester Sobkowiak\AppData\Local\nsy3E40.tmp
C:\Users\Sylwester Sobkowiak\AppData\Local\Seven Zip
C:\Users\Sylwester Sobkowiak\AppData\Local\WindowsUpdate
C:\Users\Sylwester Sobkowiak\AppData\Roaming\CEZEO software
C:\Users\Sylwester Sobkowiak\AppData\Roaming\cwbritga
C:\Users\Sylwester Sobkowiak\AppData\Roaming\FLVPlayerPackages
C:\Users\Sylwester Sobkowiak\AppData\Roaming\FunmoodsChat
C:\Users\Sylwester Sobkowiak\AppData\Roaming\IObit Apps
C:\Users\Sylwester Sobkowiak\AppData\Roaming\Mozilla
C:\Users\Sylwester Sobkowiak\AppData\Roaming\NIWHJ
C:\Users\Sylwester Sobkowiak\AppData\Roaming\o1o1aFVzWL0
C:\Users\Sylwester Sobkowiak\AppData\Roaming\PrimoPDF
C:\Users\Sylwester Sobkowiak\AppData\Roaming\PrimoPDFSet.xml
C:\Users\Sylwester Sobkowiak\AppData\Roaming\QuickMessenger
C:\Users\Sylwester Sobkowiak\AppData\Roaming\TeamViewer
C:\Users\Sylwester Sobkowiak\AppData\Roaming\WWXWQSSS
C:\Users\Sylwester Sobkowiak\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player FLV Player.lnk
C:\Users\Sylwester Sobkowiak\AppData\Roaming\Microsoft\Windows\Start Menu\FLV Player Uninstall FLV Player.lnk
C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\Windows\system32\drivers\01E8782C.sys
C:\Windows\system32\drivers\058074E8.sys
C:\Windows\system32\drivers\0B584EBA.sys
C:\Windows\system32\drivers\46145E6A.sys
C:\Windows\system32\drivers\47957877.sys
C:\Windows\system32\drivers\5C017815.sys
C:\Windows\system32\drivers\5F9974D1.sys
C:\Windows\system32\drivers\etc\hosts.old
CMD: attrib -r -s -h "C:\Program Files\Microsoft Security Client"
CMD: attrib -r -s -h "C:\Program Files\Windows Defender"
CMD: del /q "C:\Program Files\Microsoft Security Client"
CMD: del /q "C:\Program Files\Windows Defender"
Reg: reg delete "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GamingWonderland Search Scope Monitor" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealPopup" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Robot Boom Search Scope Monitor" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg query HKCU\Software
Reg: reg query HKLM\SOFTWARE
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender" /s
CMD: dir /a "C:\Users\Iga\AppData\Local"
CMD: dir /a "C:\Users\Iga\AppData\LocalLow"
CMD: dir /a "C:\Users\Iga\AppData\Roaming"

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. Sprawdź czy jesteś w stanie odinstalować ESET Remote Administrator Console. Na razie nie próbuj instalować ESET.

[Shajro]

Witam, przepraszam że tak późno odpisuje, w firmie jestem raz w tygodniu. Załączam fixlog oraz zrzut z odinstalowywania ESET Remot Admin Console, niestety sypie błędem podczas próby odinstalowania

Fixlog.txt

[picasso]

Pomyliłeś się przy wklejaniu Fixlist do Notatnika i przekleiłeś również moje wypowiedzi z posta... To się oczywiście nie wykonało, ale reszta zadań jak burza. Teraz trzeba się zająć wykańczaniem martwego ESET oraz rekonstrukcją zdewastowanego Windows Defender. Na razie ponowna instalacja ESET nie wchodzi w grę, musimy wykonać naprawy w pierwszej kolejności. Kolejna porcja czynności:

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER:

 

sfc /scannow

 

Gdy komenda ukończy działanie:

 

2. Uruchom Zoek. W oknie wklej:

 

ESET Remote Administrator Console;u

 

Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

 

3. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim:

 

Unlock: C:\Users\Iga\AppData\Local\IObit Apps


Unlock: C:\Users\Iga\AppData\Roaming\IObit Apps

C:\Users\Iga\AppData\Local\IObit Apps

C:\Users\Iga\AppData\Roaming\IObit Apps

RemoveDirectory: C:\Program Files\ESET

RemoveDirectory: C:\ProgramData\ESET

DeleteKey: HKCU\Software\AlphaChess

DeleteKey: HKCU\Software\GMPlayer

DeleteKey: HKCU\Software\Lavalys

DeleteKey: HKCU\Software\MimarSinan

DeleteKey: HKCU\Software\Reg

DeleteKey: HKCU\Software\roxio

DeleteKey: HKCU\Software\Safer Networking Limited

DeleteKey: HKCU\Software\SimonTatham

DeleteKey: HKCU\Software\SOFTWIN

DeleteKey: HKCU\Software\Sys

DeleteKey: HKCU\Software\TeamViewer

DeleteKey: HKCU\Software\WhiteSmoke Writer V8

DeleteKey: HKLM\SOFTWARE\781

DeleteKey: HKLM\SOFTWARE\activePDF

DeleteKey: HKLM\SOFTWARE\AdwCleaner

DeleteKey: HKLM\SOFTWARE\Audible

DeleteKey: HKLM\SOFTWARE\ESET

DeleteKey: HKLM\SOFTWARE\Foolish IT

DeleteKey: HKLM\SOFTWARE\GamingWonderlandEI

DeleteKey: HKLM\SOFTWARE\Ge-Force-nv

DeleteKey: HKLM\SOFTWARE\GoHD-nv

DeleteKey: HKLM\SOFTWARE\HitmanPro

DeleteKey: HKLM\SOFTWARE\MimarSinan

DeleteKey: HKLM\SOFTWARE\OldTimer Tools

DeleteKey: HKLM\SOFTWARE\Ontrack

DeleteKey: HKLM\SOFTWARE\Reg

DeleteKey: HKLM\SOFTWARE\Runtime Software

DeleteKey: HKLM\SOFTWARE\Safer Networking Limited

DeleteKey: HKLM\SOFTWARE\Sense-nv

DeleteKey: HKLM\SOFTWARE\Siber Systems

DeleteKey: HKLM\SOFTWARE\SOFTWIN

DeleteKey: HKLM\SOFTWARE\Symantec

DeleteKey: HKLM\SOFTWARE\TeamViewer

DeleteKey: HKLM\SOFTWARE\Windows Defender

Reg: reg query HKCU\Software\AppDataLow /s

Reg: reg query HKLM\SOFTWARE\AppDataLow /s

Reg: reg query HKLM\SOFTWARE\Windows /s

CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut).

[Shajro]

Witam. Załączam pliki zgodnie z prośbą. Niechcący odpalilem FRST na pustym pliku fixlog, ale wydaje mi się że nie ma to znaczenia dla pozostałych operacji. Komenda sfc /scannow wykonała się poprawnie, po skończeniu pokazała się informacja że szczegóły co do naprawianych plików znajdują się w katalogu systemowy, jednak sam log zajmuje 30 mb. Jeżeli jest potrzebny mogę wrzucić go na serwer zewnętrzny np dropbox.
Pozdrawiam

Fixlog.txt

FRST.txt

zoek-results.txt

[picasso]

Komenda sfc /scannow wykonała się poprawnie, po skończeniu pokazała się informacja że szczegóły co do naprawianych plików znajdują się w katalogu systemowy, jednak sam log zajmuje 30 mb. Jeżeli jest potrzebny mogę wrzucić go na serwer zewnętrzny np dropbox.

Nie ma potrzeby dostarczać wyników, gdyż one już są wydrukowane w pliku Fixlog. Odpowiada za to ostatnia komenda skrypcie, czyli CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log.

 

Podsumowanie ostatniej puli akcji: Zoek usunął dane rejestracji MSI opornego szczątka ESET, Fix FRST skasował zadane elementy, a SFC odtworzył zlikwidowany przez malware folder Windows Defender:

 

2015-01-22 10:02:25, Info CSI 00000234 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MpEvMsg.dll.mui" from store

2015-01-22 10:02:25, Info CSI 00000235 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:30{15}]"MsMpRes.dll.mui" from store

2015-01-22 10:02:25, Info CSI 00000236 [sR] Repairing corrupted file [ml:520{260},l:86{43}]"\??\C:\Program Files\Windows Defender\pl-PL"\[l:32{16}]"MpAsDesc.dll.mui" from store

2015-01-22 10:02:25, Info CSI 0000023a [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpRes.dll" from store

2015-01-22 10:02:25, Info CSI 0000023b [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpClient.dll" from store

2015-01-22 10:02:25, Info CSI 0000023c [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpCmdRun.exe" from store

2015-01-22 10:02:25, Info CSI 0000023d [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpAsDesc.dll" from store

2015-01-22 10:02:25, Info CSI 0000023e [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpSvc.dll" from store

2015-01-22 10:02:25, Info CSI 0000023f [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MsMpCom.dll" from store

2015-01-22 10:02:25, Info CSI 00000240 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MsMpLics.dll" from store

2015-01-22 10:02:25, Info CSI 00000241 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MSASCui.exe" from store

2015-01-22 10:02:25, Info CSI 00000242 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpRtMon.dll" from store

2015-01-22 10:02:25, Info CSI 00000243 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpRtPlug.dll" from store

2015-01-22 10:02:25, Info CSI 00000244 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSigDwn.dll" from store

2015-01-22 10:02:25, Info CSI 00000245 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:24{12}]"MpSoftEx.dll" from store

2015-01-22 10:02:25, Info CSI 00000246 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:18{9}]"MpOAV.dll" from store

2015-01-22 10:02:26, Info CSI 00000247 [sR] Repairing corrupted file [ml:520{260},l:74{37}]"\??\C:\Program Files\Windows Defender"\[l:22{11}]"MpEvMsg.dll" from store

 

Idziemy dalej:

 

1. Rekonstrukcja kluczy Windows Defender na poziomie rejestru. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"Group"="COM Infrastructure"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-3068"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security]
"Security"=hex:01,00,14,80,04,01,00,00,10,01,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,d4,00,07,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,\
00,28,00,15,00,00,00,01,06,00,00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,\
e5,55,dc,f4,e2,0e,a7,8b,eb,ca,7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,\
00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Miscellaneous Configuration]
"DeltaUpdateFailure"=dword:00000000
"BddUpdateFailure"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Quarantine]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Real-Time Protection\Checkpoints]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Reporting]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Scan]
"CheckForSignaturesBeforeRunningScan"=dword:00000001
"AutomaticallyCleanAfterScan"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Signature Updates]
"UpdateOnStartUp"=dword:00000000
"EngineVersion"="1.1.11302.0"
"ASSignatureVersion"="1.191.1346.0"
"ASSignatureApplied"=hex:00,db,b2,0d,0d,26,d0,01
"SignatureLocation"="C:\\ProgramData\\Microsoft\\Windows Defender\\Definition Updates\\{642B3344-D4C9-40C1-845C-76C24ABC0E79}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Software Explorers]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Spynet]
"SpyNetReporting"=dword:00000001
"SpyNetReportingLocation"=hex(7):68,00,74,00,74,00,70,00,73,00,3a,00,2f,00,2f,\
00,73,00,70,00,79,00,6e,00,65,00,74,00,32,00,2e,00,6d,00,69,00,63,00,72,00,\
6f,00,73,00,6f,00,66,00,74,00,2e,00,63,00,6f,00,6d,00,2f,00,41,00,6e,00,74,\
00,69,00,4d,00,61,00,6c,00,77,00,61,00,72,00,65,00,53,00,65,00,72,00,76,00,\
69,00,63,00,65,00,73,00,2f,00,32,00,2f,00,53,00,70,00,79,00,6e,00,65,00,74,\
00,52,00,65,00,70,00,6f,00,72,00,74,00,53,00,72,00,76,00,63,00,2e,00,61,00,\
73,00,6d,00,78,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatIDDefaultAction]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatSeverityDefaultAction]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Threats\ThreatTypeDefaultAction]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\UX Configuration]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Windows\CurrentVersion]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Sprawdź czy działa Windows Defender: uruchom go, spróbuj wykonać aktualizację baz. Jeśli Windows Defender nie zadziała, zgłoś się na forum z opisem co widzisz. Jeśli jednak nie będzie z nim już problemu:

 

2. Na wszelki wypadek zastosuj jeszcze narzędzie ESET Uninstaller. Musi ono zostać uruchomione z poziomu Trybu awaryjnego Windows. Narzędzie tworzy log wynikowy - zmień mu nazwę z *.log na *.txt i doczep plik do wglądu.

[Shajro]

Witam, udało się dodać gałęzie rejestru, wygląda na to że Windows Defender zaczął skanować, Skorzystałem z programu ESET Uninstaller, i odinstalowałem wszystkie możliwe opcje. Załączam log.

Pozdrawiam

ESETUninstaller.txt

[picasso]

Wszystko wykonane. Teraz:

 

1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader X (10.1.5), Adobe Shockwave Player 11, Java™ 6 Update 18. Po deinstalacjach popraw jeszcze tzw. "awaryjnymi deinstalatorami" linkowanymi w przyklejonym: KLIK.

 

2. Spróbuj zainstalować ESET. Jeśli coś będzie nie tak podczas instalacji, opisz dokładnie co się dzieje. Jeśli wszystko pójdzie OK, zrób nowy log FRST z opcji Scan (zaznacz pole Addition, by powstały dwa logi).

[Shajro]

Odinstalowałem w/w programy, z tym że ani JavaRa ani wbudowany deinstalator nie potrafią sobie poradzić z Java 6 (teoretycznie dalej jest w systemie). Adobe Air zainstalowalłem w najnowszej wersji. Co do ESET, to zainstalował się, jednak dalej przy instalacji wyświetlają się foldery z rzekomo zainstalowanymi antywirusami.

Addition.txt

FRST.txt

[picasso]

JavaRa ani wbudowany deinstalator nie potrafią sobie poradzić z Java 6 (teoretycznie dalej jest w systemie).

Uruchom Zoek. W oknie wklej:

 

Java™ 6 Update 18;u

 

Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

 

 

Co do ESET, to zainstalował się, jednak dalej przy instalacji wyświetlają się foldery z rzekomo zainstalowanymi antywirusami.

ESET się zainstalował, więc blokada jest pozorna. Jednakże to bardzo dziwne, że on nadal widzi gdzieś "antywirusy", skoro było tu porządne czyszczenie falsyfikatów. Podaj mi skan dodatkowy. Uruchom SystemLook i w oknie wklej:

 

:dir


C:\Windows\Installer /s
 

:filefind

*avira*
 

:folderfind

*avira*
 

:reg

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
 

:regfind

avira

 

Klik w Look i przedstaw wynikowy raport.

[Shajro]

Załączam pliki:

zoek-results.txt

SystemLook.txt

[picasso]

Zoek: ten log nie przedstawia wykonania komendy, którą zadałam. Albo to stary log, albo nie wykonałeś zadania jak należy.

 

SystemLook: a jednak jest masa szczątkowych kluczy "antywirusów" po tych zablokowanych fałszywych usługach jakoby usuwanych na poprzednim forum. FRST ich nie widzi, bo to totalne odpadki nie traktowane już jako usługi (= nie uruchamiają się). Kolejna porcja czynności:

 

Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\360rp
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\a2acc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\a2AntiMalware
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\A2DDA
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\a2injectiondriver
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\a2util
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AAVScan
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AAVService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ABConfSV
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ABFLT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ABMainSV
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ABndisMP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ABWFP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\acssrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AhnActNt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AmFSM
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Amnpardaz Filter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Amsp
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirMailService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirSchedulerService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AntiVirWebService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\APC UPS Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Application Updater
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\apspDriver
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ArcaRemoteService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\aswUpdSv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ASZFltNt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ATamptNt_V3IS80
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avast! Antivirus
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avast! Firewall
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avast! Mail Scanner
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avast! Web Scanner
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avas_service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVBackup
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Avg
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Avgfwfd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avgfws
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVGIDSAgent
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVGIDSDriver
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVGIDSDriverl
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVGIDSShim
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\avgwd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVKProxy
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVKService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVKWCtl
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVP15.0.0
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVTasks2
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\AVUpdate
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BAVSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BcfilterMP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BdApiUtil
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BdCameraProtect
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BdDesktopParental
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\bdftdif
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\bdfwfpf
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\bdfwfpf_pc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\bdselfpr
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Behavior Detection System
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BHDrvx64
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BHDrvx86
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BHipsSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Browser Defender Update Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsBackup
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsBhvScan
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsFileScan
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsFire
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsMailProxy
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsMain
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsScanner
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\BsUpdate
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CAAMSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CaCCProvSP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CAISafe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ccSchedulerSVC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ccSettings_{3AC20362-8119-4C85-8CAC-8FC00AFA6B91}
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ccSet_N360
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ccSet_NIS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\cleanhlp
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\cmdAgent
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\cmdvirth
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Core Mail Protection
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Core Scanning Server
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Core Scanning ServerEx
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CSCrySec
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CSObjectsSrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\CSVirtualDiskDrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Double Anti-Spy Task Manager
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\DrWebAVService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\DrWebEngine
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\DrWebFwSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\DrWebNetFilter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\DrWebWfp
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\dsio
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eac_notifysvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eac_productsvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\econcealMP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EconService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eLoggerSvc6
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EMLSS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EncDisk
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eScan Monitor Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\eScan-trayicos
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\F-Secure Gatekeeper
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\F-Secure HIPS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ffsmon
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\fildds
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\FileMonitor
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\filmfd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\filppd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\FPAVServer
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\fshoster
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\FSMA
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\fsni
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\FSORSPClient
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\fsvista
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\FWService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDBackupSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\gddcd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\gddcv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDFwSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDMnIcpt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDPkIcpt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDScan
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDTdiInterceptor
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GDTunerSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\gdwfpcd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\gfi_lanss11_attservice
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GLogin
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\gozer
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\GuardX
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\HomeNetSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\HyperVM
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\IDriverT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\IDSVia64
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\IDSVix86
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\IMFservice
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ISFWEnt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ISIPSEnt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ISPIBEnt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ISPrxEnt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Jetico Personal Firewall server
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7CrvSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7EmlPxy
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7FWSrvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7PSSrvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7RTScan
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7SpmSrc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\K7TSMngr
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\KerioMailServer
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\khelperDriver
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\LavasoftAdAwareService11
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McAfee SiteAdvisor Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McAPExe
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McComponentHostService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McMPFSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McNaiAnn
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McODS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mcpltsvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McProxy
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McShield
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MeDCoreD_V3IS80
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mfecore
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mfefire
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mfevtp
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Microsoft Antimalware
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mksfwallf
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mksidsa
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mksidsf
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MksMonEn
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MksMonEv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MksMonFd
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mks_services
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MOBKbackup
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MOBKFilter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MpFilter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MSK80Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MsMpSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\MWAgent
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\mwfsmfltr
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\N360
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nanoflt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nanokrn
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NanoServiceMain
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nanosvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NASS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Ndiskio
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NETIMFLT01060034
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NETIMFLT01060039
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NETIMFLT01060044
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NGS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NHS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NIG
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NIS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NisSrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NNetSecC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NNFSVC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Norman NJeeves
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Norman ZANDA
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NovaShieldFilterDriver
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NovaShieldTDIDriver
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NPFSvc32
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NPFSvc32_Data
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NPROSEC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NPROSECSVC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\npsvc32
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nregsec
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nsesvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NTGUARD
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NUAA
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\NvcMFlt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nvcoas
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\nvoy
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\OAcat
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\OADevice
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\oahlpXX
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Online Protection System
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Panda Software Controller
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PAVFNSVR
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PavPrSrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PAVSRV
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PavTPK.sys
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PCTBD
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PCTCore
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\pctDS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\pctEFA
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\pctgntdi
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\pctplsm
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PCTSD
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PROCMON20
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PROCMON23
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ProcObsrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PSHost
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PSIMSVC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PskSvcRetail
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\PSUAService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Quick Update Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\qutmdserv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\RegFilter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\rsdsys
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\RsMgrSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SafeBox
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SAVAdminService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SAVService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SBAMSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SBFWIMCL
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SBFWIMCLMP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SBPIMSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SBSDWSCService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\scan
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ScanWscS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Scheduler
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ScSecSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sdAuxService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sdCoreService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SDScannerService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SDUpdateService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SDWSCService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\semsrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\semwebsrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SepMasterService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ShldDrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Sophos AutoUpdate Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Sophos Client Firewall
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Spyshelter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SpyshelterKb
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ssfwmonsvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sstsmonsvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\StopSign Update Manager
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SvcOnlineArmor
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\swi_service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\swi_update
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SymDS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SymEFA
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SymIRON
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SymNetS
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\tdimapper
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\TfFRegNt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\TfProcNt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\TMEBC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\tmtdi
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\tpmgma_service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\TPPFHOOK
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\TPSrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\TSNxGService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\twssrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\UmxEngine
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\UPDATESRV
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\UrlFilter
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\UTSvcManager3
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\V3 Service
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\V3Flt2K
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\V3Flu2k_V3IS80
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\V3IFt2K
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32dNT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32ECM
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32ifs
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32Ldr
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32mNT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32PP3
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Vba32Prot
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\VbaControlAgent
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\VBCoreNT.0
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\VBFilt
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\viprecomsvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\vsmon
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\VSSERV
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\WinRoute
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\wipesrv
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\WRDRV
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\WRSVC
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ZAPrivacyService
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ZhuDongFangYu
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ZillyaAVAuxSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\ZillyaAVCoreSvc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Znf
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\zsc
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_02610211
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_07143975
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_56632627
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_99170177
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{123AA796-6961-4EE8-8A16-25BF1ADF65A4}GT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{1A1D3262-EA38-4E09-B480-4C4C56F4843C}GT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{2E8CD9F8-615C-4DE8-88D4-CB904B118F81}GT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{9F797875-3E17-4F05-AF13-44C39BC9C2C2}GT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_{B0CB4E30-3BA7-42C8-B355-A89BA6E79C4C}GT
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PEHMABGP
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPDRIVER_1.37.0.1388
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TTNFD
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UGTYIPOC
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

[Shajro]

Przepraszam że dopiero teraz piszę, ale wcześniej niestety nie miałem czasu. Wydawało mi się że wszystko poprawnie zrobiłem, ale może rzeczywiście się pomyliłem, załączam kolejny log:

Fixlog.txt

[picasso]

Nie nie, tu nie chodzi o Twój błąd. Po prostu czyszczenie na tamtym forum było niekompletne, a dane uzyskane przeze mnie były już bardzo mocno przekształcone. Tam wystąpiła taka sytuacja: usuwano te fałszywe usługi, jednakże one nie zostały tak naprawdę usunięte (mogłam się skapować po tych komunikatach "Unlocked successfully" w nowym logu FRST, co wskazywało, że klucze nadal istnieją).

 

Fixlog wykonał co należy. Teraz już moim zdaniem problem detekcji "antywirusów" powinien zostać w pełni rozwiązany, ale przetestuj to reinstalując ESET. Gdy potwierdzisz, zadam czynności końcowe.

[Shajro]

Antywirus przeinstalował się bez problemu, nie wyskoczyło żadne okno

[picasso]

Tak, sprawa jest już w pełni rozwiązana. Na koniec:

 

1. Dokasuj ten klucz starej Java 6. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj:

 

HKEY_COCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-039D-4CA4-87B4-2F83216018FF}

 

2. Usuń pobrany FRST i inne narzędzia. Zastosuj też DelFix, wyczyść foldery Przywracania systemu oraz porównaj co wymaga aktualizacji: KLIK.

 

3. Nie wiem do końca co to za typ infekcji i co ona miała planowane. Na wszelki wypadek zmień wszystkie hasła logowania w serwisach (bank, poczta, serwisy społecznościowe, etc).