Przywracanie wyłączone, Gadżety uszkodzone, AQQ Zamrożone

[Lisek34]

Nie mam klucza "L" w "Zone".

 

Wiele aplikacji przestało działać, mimo że Malwarebytes nic nie wykrył. Ostatnio miałem na Pendrive Sality.aa ale Kaspersky i USB Security udusili go. Teraz jestem bezradny. Nie mam klucza [unicode] "L" w "Zone" w rejestrze. Gadżety dziwnie wyglądają, kalendarza nie ma w ogóle. Log z OTL + Extras:

 

http://wklej.org/id/538156/txt/

http://wklej.org/id/538157/txt/

 

Proszę pomóżcie!

[picasso]

Nie pakuj logów do RAR, to utrudnia wgląd błyskawiczny, migruję na wklej.org. Posługujesz się starszym OTL 3.2.22.3, najnowsza wersja dostępna z oficjalnych linków to 3.2.23.0. Nie podałeś obowiązkowego loga z GMER (i nawet nie przygotowałeś systemu do jego uruchomienia = czynna emulacja napędów wirtualnych SPTD).

W podanych logach nie ma żadnych widocznych śladów infekcji. Przenoszę do działu Windows 7.

 

 

Gadżety dziwnie wyglądają, kalendarza nie ma w ogóle.

 

No.... tu może być na odwrót, nie infekcja tylko skomasowanie oprogramowania zabezpieczającego. Działa tu równolegle Norton Internet Security z Kasperskym (plus KeyScrambler), a to czysta zgroza i aż dziw, że system się nie zablokował. Natomiast sam Kaspersky może być przyczyną dla wady gadżetów, gdyż wprowadza osłonę skryptową.

 

SRV - [2011-04-17 02:45:11 | 000,130,008 | R--- | M] (Symantec Corporation) [unknown | Running] -- C:\Program Files\Norton Internet Security\Engine\18.6.0.29\ccSvcHst.exe -- (NIS)
DRV - [2011-05-29 13:46:34 | 001,542,392 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20110529.002\NAVEX15.SYS -- (NAVEX15)
DRV - [2011-05-29 13:46:34 | 000,374,392 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
DRV - [2011-05-29 13:46:34 | 000,086,008 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\VirusDefs\20110529.002\NAVENG.SYS -- (NAVENG)
DRV - [2011-05-27 20:09:48 | 000,126,584 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\SYMEVENT.SYS -- (SymEvent)
DRV - [2011-05-27 20:09:10 | 000,105,592 | ---- | M] (Symantec Corporation) [Kernel | On_Demand | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys -- (EraserUtilRebootDrv)
DRV - [2011-05-18 00:36:02 | 000,802,936 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\BASHDefs\20110518.001\BHDrvx86.sys -- (BHDrvx86)
DRV - [2011-03-31 05:00:09 | 000,516,216 | ---- | M] (Symantec Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\Drivers\NIS\1206000.01D\SRTSP.SYS -- (SRTSP)
DRV - [2011-03-31 05:00:09 | 000,050,168 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\system32\drivers\NIS\1206000.01D\SRTSPX.SYS -- (SRTSPX) Symantec Real Time Storage Protection (PEL)
DRV - [2011-03-22 02:39:49 | 000,296,568 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\System32\Drivers\NIS\1206000.01D\SYMNETS.SYS -- (SymNetS)
DRV - [2011-03-15 04:31:23 | 000,744,568 | ---- | M] (Symantec Corporation) [File_System | Boot | Running] -- C:\Windows\system32\drivers\NIS\1206000.01D\SYMEFA.SYS -- (SymEFA)
DRV - [2011-03-14 20:58:33 | 000,353,912 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_18.1.0.37\Definitions\IPSDefs\20110527.001\IDSvix86.sys -- (IDSVix86)
DRV - [2011-03-05 19:42:04 | 000,488,536 | ---- | M] (Kaspersky Lab) [File_System | System | Running] -- C:\Windows\System32\drivers\klif.sys -- (KLIF)
DRV - [2011-01-27 08:47:10 | 000,340,088 | ---- | M] (Symantec Corporation) [Kernel | Boot | Running] -- C:\Windows\system32\drivers\NIS\1206000.01D\SYMDS.SYS -- (SymDS)
DRV - [2011-01-27 07:07:05 | 000,136,312 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Windows\system32\drivers\NIS\1206000.01D\Ironx86.SYS -- (SymIRON)
DRV - [2010-06-09 17:43:52 | 000,011,352 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\Windows\System32\drivers\kl2.sys -- (kl2)
DRV - [2010-06-09 17:43:50 | 000,132,184 | ---- | M] (Kaspersky Lab ZAO) [Kernel | Boot | Running] -- C:\Windows\system32\DRIVERS\kl1.sys -- (KL1)
DRV - [2010-04-22 19:07:34 | 000,022,104 | ---- | M] (Kaspersky Lab ZAO) [Kernel | System | Running] -- C:\Windows\System32\drivers\klim6.sys -- (KLIM6)
DRV - [2009-11-02 20:27:16 | 000,019,984 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\klmouflt.sys -- (klmouflt)
 
O20 - AppInit_DLLs: (C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll) -  File not found

Dodatkowo, stosowano tu Sunrise Seven i odbyły się sztuczne dla systemu modyfikacje:

 

[2011-05-21 09:33:58 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer_.exe.Back.4.12784139119454
[2011-05-21 09:32:00 | 000,000,963 | ---- | M] () -- C:\Users\Public\Desktop\Sunrise Seven.lnk

Z takimi to nigdy nic nie wiadomo ....

 

 

---

Rozpocznij tu od odchudzenia systemu.

 

1. Kaspersky wygląda na niepełnie odinstalowanego, brak wejścia w spisie programów i zdekompletowany wygląd w logu. Skorzystaj z awaryjnego deinstalatora firmowego Kaspersky Remover.

 

2. Ze względu na to, że jest tu odpadkowy Kaspersky posiłkując się tutorialem (KLIK) w CMD zastartowanym jako Administrator przerejestruj pliki skryptowe komendami:

 

regsvr32 vbscript.dll

regsvr32 jscript.dll

regsvr32 scrrun.dll

regsvr32 msxml3.dll

 

3. Dodatkowo odinstaluj śmieci sponsoringowe DAEMON Tools Toolbar + QuickStores-Toolbar. Ten drugi jest także jako rozszerzenie Firefox i również stamtąd go odmontuj.

 

Zresetuj system i podaj wyniki, czy jest jakaś poprawa oraz nowy log z OTL. Rozpisz też co rozumiesz pod pojęciem "Przywracanie wyłączone" - jakiś błąd?

 

 

 

 

.

[Lisek34]

Niestety, robiłem log z GMER ale nie wiem przez co zawiesił się system. Czekałem pół godziny i nic. Musiałem wcisnąć "Reset". I teraz jak nigdy na pulpicie pokazały się ukryte pliki!

 

A gadżety tak jak dawniej:

 

Logi:

Extras.txt

OTL.txt

Log GMER utworzony przy starcie programu.

 

1. Zrobione.

 

2. Zrobione.

 

3. Zrobione [Revo Uninstaller].

 

Przywracanie Systemu - Gdy je włącze, ono się wyłącza przy kolejnym uruchomieniu. Miałem ponad 20 punktów przywracania, ale nagle bum - nie ma nic.

[picasso]

Na razie drobnostkami w logu nie będziemy się zajmować (np. QuickStores-Toolbar nadal jest w Firefox), nieistotne w kontekście problemu.

 

 

1. Podaj dostosowany skan z OTL. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, zaś w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones
HKEY_CLASSES_ROOT\CLSID\{B54F3741-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3742-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{B54F3743-5B07-11cf-A4B0-00AA004A55E8}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{cc5bbec3-db4a-4bed-828d-08d78ee3e1ed}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c260-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c261-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
HKEY_CLASSES_ROOT\CLSID\{f414c262-6ac0-11cf-b6d1-00aa00bbbb58}\InprocServer32
/md5start
jscript.*
msxml3.*
scrrun.*
vbscript.*
/md5stop

Klik w Skanuj i przedstaw log.

 

2. Wykonaj komendę sfc /scannow i przefiltruj wyniki do wglądu: KLIK.

 

3. Załącz pełne Dzienniki zdarzeń do analizy: KLIK.

 

 

 

.

[Lisek34]

Problem rozwiązany. Odinstalowałem Internet Explorer 9 zgodnie z radami Microsoft'u. I wszystko hula jak ta lala, AQQ działa, TuneUP normalny, gadżety nareszcie!

 

Dziękuje za pomoc.