Zainfekowany system windows/ nie można otworzyć Windows defender

[Seat]

Witam,

 

problem polega na tym, że gdy chcę otworzyć zaporę systemową otrzymuję komunikat:

 

Zapora systemu Windows:

Z powodu niezidentyfikowanego problemu system Windows nie może wyświetlić ustawień Zapory systemu Windows.

 

Podobny problem mam w przypadku uruchomienia (a właściwie nie uruchomienia) Windows Defender:

 

Windows Defender:

Nie można zainicjować aplikacji: 0x80070006. Nieprawidłowe dojście.

 

Tuż po uruchomieniu systemu Windows wyskakuje dymek, że system zablokował niektóre programy startowe. Gdy próbuję wybrać opcję pokaż zablokowane programy startowe wyskakuje identyczny błąd jak w przypadku Windows Defender (w/w).

 

Poszukiwałem w internecie podobnych problemów i akurat trafiłem na to forum, gdzie ktoś miał kiedyś podobny jak nie identyczny problem -> http://www.fixitpc.p...wac-aplikacji/.

 

Posiadam program Malwarebytes, który wykrywa mi co chwilę proces RootKit.0Acces.H. W zakładce kwarantanna mam 3 obiekty takie w lokalizacjach:

 

C:\Windows\System32\TMHIDSRV.dll

C:\Windows\System32\CBN.dll

C:\Windows\System32\lvhidsvc.dll

 

wykonałem skanowanie i oto log (chyba): http://wklej.org/id/773063/

 

Logi z OTL: http://wklej.org/id/773044/ oraz http://wklej.org/id/773045/

 

Log z GMER : http://wklej.org/id/773118/

 

Jak sądzę po temacie do którego podrzuciłem link to jakiś zeroAcces, ale jak i co robić nie mam pojęcia dlatego bardzo proszę o pomoc.

[picasso]

Owszem, mamy tu infekcję rootkitem ZeroAccess, wygląda na to, że w starszej wersji (aktualnie na forum już nowsze warianty). Twój wariant: infekuje pliki systemowe, przekierowuje Winsock, tworzy link symboliczny (to co notuje GMER: C:\Windows\$NtUninstallKB49824$), dorabia sfałszowane usługi poboczne (to jest to co widzi skaner MBAM). Na widziany tu zestaw należy wytoczyć mocniejsze działa:

 

1. Uruchom zgodnie ze wskazówkami ComboFix. Gdy program ukończy działanie:

 

2. Wygeneruj nowe logi z OTL + GMER + Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz oczywiście log stworzony przez ComboFix.

 

 

 

.

[Seat]

Mógłbym prosić o poradę jak trwale usunąć anty wirusa? Gdy odpalam ComboFix wykrywa mi, że mam wyłączyć ochronę i anty spyware z avg chociaż usunąłem go z dysku.

 

@edit link w opisie "procedur" instalacji tego programu "How To Temporarily Disable Security Programs" nie działa

[picasso]

Mógłbym prosić o poradę jak trwale usunąć anty wirusa? Gdy odpalam ComboFix wykrywa mi, że mam wyłączyć ochronę i anty spyware z avg chociaż usunąłem go z dysku.

 

W moim opisie ComboFix w ustępie właściwego uruchomienia punkt 5. Detekcja osłon rezydentnych wyjaśnia co to oznacza i w spoilerze jest przekierowanie do instrukcji czyszczenia danych antywirusa z WMI. Ale tym się teraz nie zajmuj, to jest tylko rekord we WMI, który nie przeszkadza, potem to skorygujemy, tu trzeba szybko działać pod kątem usuwania infekcji ZeroAccess.

 

 

 

.

[Seat]

Czyli po prostu odpalić program i olać ten komunikat o anty wirusie ? ok

 

edit/ Dziwna sprawa przez przypadek usunąłem plik ComboFixa który pobrałem i teraz próbuję od nowa pobrać jednak wyskakuje mi komunikat że nie mam uprawnień do zapisywania pliku w tej lokalizacji (w żadnej się nie da ) ;/

[picasso]

Czyli po prostu odpalić program i olać ten komunikat o anty wirusie ?

 

Tak, gdyż ta konkretna pozostałość po AVG to nie jest obiekt czynny w rozumieniu osłony. Jak mówię, czyszczenie tego potem.

 

 

Dziwna sprawa przez przypadek usunąłem plik ComboFixa który pobrałem i teraz próbuję od nowa pobrać jednak wyskakuje mi komunikat że nie mam uprawnień do zapisywania pliku w tej lokalizacji (w żadnej się nie da )

 

Wejdź w Tryb awaryjny z obsługą sieci i spróbuj go pobrać na Pulpit (a nie w inne miejsca), zapisując pod zmienioną nazwą np. svchost.exe.

 

 

 

.

[Seat]

Już niemal godzinę mi to sprawdza (Skanowanie w poszukiwaniu zainfekowanych plików...) i działa mi Internet Explorer czy wszystko ok ? Ile to może jeszcze potrwać ?

[picasso]

Nie można przewidzieć ile potrwa skanowanie ComboFix, a już tym bardziej potwierdzić czy jest OK. Trudno mi ocenić tę godzinę, ale dzwoni, że rootkit go zablokował i sobie tak powisi do uśmiechniętej śmieci. Poczekaj jeszcze trochę, jeśli nadal to samo, wymuś reset i trzeba od nowa zrobić wszystkie logi z OTL + GMER, by sprawdzić co się stało.

 

 

 

.

[Seat]

Ok nie ma sprawy i jeszcze pytanko czy jak będę znów robić logi to zawsze uruchamiać winde w trybie awaryjnym? Czy normalnie można ?

[picasso]

Preferuję logi z trybu normalnego (o ile będzie możliwe ich utworzenie), awaryjny może zaciemnić sprawę nie pokazując czegoś co po prostu nie ładuje się w awaryjnym.

[Seat]

A więc tak jak mówiłeś nic się nie zmieniło więc zresetowałem komputer i zebrałem logi od nowa oto one:

 

- http://wklej.org/id/773332/ OTL

- http://wklej.org/id/773443/ GMER

 

Ponadto kilka nowości:

 

- przy uruchomieniu od razu system uraczył mnie komunikatem, że plik settings.ini jest używany przez inny proces

- co chwile wyskakuje komunikat o awarii kosza na dysku c ( czy chcę go opróżnic)

- podczas skanowania zarówno OTL jak i GMER pojawił się dymek, że otl.exe jest uszkodzony (Ibilpcbx.exe <gmer> jest uszkodzony) i nie nadaje się do odczytu uruchom program

CHKDSK

 

Mam nadzieję, że choć trochę coś się rozjaśni i jestem zdeterminowany żeby się pozbyć tego ustrojstwa ;p

[picasso]

Jak mówiłam, nici z interesu. Zaś w kwestii "rozjaśniania" = od początku już wiem gdzie jakie modyfikacje zrobiła infekcja. ComboFix tu został użyty tylko dlatego, by ułatwić sprawę i zrobić automatyczne usuwanie. Niestety nie daje rady, należy zmienić narzędzie, a i może się skończyć na bardziej pracochłonnym ręcznym usuwaniu.

 

1. Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, nie zmieniaj domyślnie przypisanych akcji tylko zatwierdź leczenie i zresetuj system.

 

2. Wykonaj nowe logi z OTL + GMER oraz dołącz log z usuwania zrobiony przez Kasperskiego (na dysku C:\).

 

 

 

.

[Seat]

Wykryło 2 rzeczy akcji nie zmieniałem

 

tdsskiller -> http://wklej.org/id/773586/

gmer -> http://wklej.org/id/773569/

OTL -> http://wklej.org/id/773584/ & http://wklej.org/id/773585/

[picasso]

Kaspersky wykrył wszystkie podstawowe komponenty infekcji: zainfekowany sterownik systemowy, łącze symboliczne oraz podrobioną usług wtórną. Dał radę. W GMER ustąpiły modyfikacje (ale widać tam jakieś nowe multi-wystąpienia "Process (*** hidden *** )", których nie można podpasować), w OTL nie widać już czynnego modułu przekierowania Winsock. Zostało do korekty sporo rzeczy: reset uszkodzonego Winsock, ogólna weryfikacja poprawności plików, wykończenie innych obiektów infekcji na dysku i w rejestrze oraz rozprawienie się z adware.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\ProgramData\GkCuTbve.exe
C:\Windows\System32\dds_trash_log.cmd
C:\Windows\Tasks\At*.job
C:\Windows\$NtUninstallKB49824$
netsh winsock reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{D8DC9EAE-BE30-47C5-889F-063B3E6C9034}C:\windows\temp\temp25.exe"=-
"UDP Query User{ABBF0C1C-E0FF-4704-9F33-C09CACF3D0BA}C:\windows\temp\temp25.exe"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3E89BD78-C20E-4BA0-983E-51F5F1FA192C}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{3E89BD78-C20E-4BA0-983E-51F5F1FA192C}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\{3E89BD78-C20E-4BA0-983E-51F5F1FA192C}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{3E89BD78-C20E-4BA0-983E-51F5F1FA192C}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:OTL
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zebrbus.dll -- (wanatw)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\jukebox3.dll -- (USBAAPL)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mcstrm.dll -- (SWNC5E00)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ScanUSBEMPIA.dll -- (spsslm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\avsvcmonitor.dll -- (Slntamr)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sparrow.dll -- (se58nd5)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sp_rssrv.dll -- (SE2Cbus)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\T6963C.dll -- (scramby)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tomcatcws3.dll -- (s3twistr)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ctxhttp.dll -- (psadd)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cxlpt.dll -- (prtg4service)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\slservice.dll -- (nvsmu)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lvhidsvc.dll -- (NVR0FLASHDev)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\bc_prt_f.dll -- (nv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vstor2-ws60.dll -- (ntrtscan)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdlncbas.dll -- (NPDriver)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CBN.dll -- (mnmsrvc)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\TMHIDSRV.dll -- (HWSCtrl)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ultra.dll -- (ESMCR)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\acnusvc.dll -- (dxdebug)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ppmoucls.dll -- (caili)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vvdsvc.dll -- (automate6)
NetSvcs: wanatw - File not found
NetSvcs: USBAAPL - File not found
NetSvcs: SWNC5E00 - File not found
NetSvcs: spsslm - File not found
NetSvcs: Slntamr - File not found
NetSvcs: se58nd5 - File not found
NetSvcs: SE2Cbus - File not found
NetSvcs: scramby - File not found
NetSvcs: s3twistr - File not found
NetSvcs: psadd - File not found
NetSvcs: prtg4service - File not found
NetSvcs: nvsmu - File not found
NetSvcs: NVR0FLASHDev - File not found
NetSvcs: nv - File not found
NetSvcs: ntrtscan - File not found
NetSvcs: NPDriver - File not found
NetSvcs: mnmsrvc - File not found
NetSvcs: HWSCtrl - File not found
NetSvcs: ESMCR - File not found
NetSvcs: dxdebug - File not found
NetSvcs: caili - File not found
NetSvcs: automate6 - File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Admin\AppData\Local\Temp\ALSysIO.sys -- (ALSysIO)
DRV - File not found [Kernel | Auto | Stopped] --  -- (adfs)
DRV - File not found [File_System | Boot | Stopped] -- system32\drivers\59386777.sys -- (01997622)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami.

 

2. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

3. Odbuduj skasowany plik HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

127.0.0.1       localhost

::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

4. Odinstaluj adware: Babylon toolbar on IE, uTorrentControl2 Toolbar, Deinstalator Strony V9, vShare.tv plugin 1.3 (tak, wtyczka vShare wprowadziła przekierowania na startsearch). Popraw przez AdwCleaner z opcji Delete.

 

5. Wygeneruj nowe logi OTL + GMER oraz Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. Dołącz log z usuwania OTL z punktu 1, log z wynikami filtrowania komendy SFC oraz log wygenerowany przez AdwCleaner.

 

 

 

 

.

[Seat]

Ad. 1 -> otrzymałem taki log http://wklej.org/id/773627/

Ad. 2 -> zrobiłem sfc, potem automatycznie przefiltrowałem i otrzymałem takie coś -> http://wklej.org/id/773630/

Ad. 3 odznaczyłem co napisałaś, otworzyłem notatnik wkleiłem to i kiedy próbuję zapisać obojętnie czy w tym katalogu czy gdzie indziej wyskakuje błąd, że nie mam do tego uprawnień co robić ?

 

/edit uruchomić tryb awaryjny i z poziomu tego trybu zrobić czynności od pkt 3 ? Chyba tak da radę?

 

Próbuję zapisać go ale co rusz biorę wszystkie pliki i zapisz jako to hosts to zapisuje mi hosts.txt uparcie....

[picasso]

Skrypt pomyślnie przetworzony. Skan SFC nie widzi nic groźnego, zwraca nie powiązany "błąd", który nawet takowym nie jest. Oczekuję na wykonanie reszty zadań:

 

 

Ad. 3 odznaczyłem co napisałaś, otworzyłem notatnik wkleiłem to i kiedy próbuję zapisać obojętnie czy w tym katalogu czy gdzie indziej wyskakuje błąd, że nie mam do tego uprawnień co robić ?

 

Oczywiście, lokalizacja chroniona. Podana instrukcja nie mówi o zapisie tego pliku bezpośrednio w tym katalogu. Plik w domyśle miałeś zapisać sobie w podręcznym miejscu (np. na Pulpicie) i dopiero po tym przenieść do tego folderu (wtedy zgłosiłby się dialog UAC podnoszący uprawnienia). Próbujesz zapisać wprost w tym katalogu, a by to było możliwe, inna instrukcja byłaby podana: Notatnik z prawokliku Uruchomić jako Administrator.

 

Wspominasz jednak o "zapisać ... czy gdzie indziej" = konkretnie gdzie / jakie inne ścieżki zwracają Odmowę dostępu?

 

 

Próbuję zapisać go ale co rusz biorę wszystkie pliki i zapisz jako to hosts to zapisuje mi hosts.txt uparcie....

 

Więc po zapisaniu pliku po prostu zmień mu nazwę ręcznie usuwając kropkę i rozszerzenie.

 

 

.

[Seat]

Ok wszystko pomyślnie tylko nie mogę usunąć tego Deinstalator Strony V9 nawet adwcleanerem (wywaliło błąd, że plik mógł być wcześniej usunięty i czy mimo to chce usunąć, a potem że nie mam uprawnień do tego)

[picasso]

nie mogę usunąć tego Deinstalator Strony V9nawet adwcleanerem

 

AdwCleaner = Z tego co wiem on w ogóle nie usuwa nic związanego z v9, był tu uruchamiany pod kątem innych adware. Martwym wpisem zajmę się potem.

 

 

.

[Seat]

Pewnie to trochę potrwa o ile konieczny jest GMER

 

no więc zbierając do kupy:

OTL http://wklej.org/id/773627/, http://wklej.org/id/773666/, http://wklej.org/id/773667/

GMER http://wklej.org/id/773663/

adwCleaner http://wklej.org/id/773643/

Farbar Service Scanner http://wklej.org/id/773729/

 

Wspominasz jednak o "zapisać ... czy gdzie indziej" = konkretnie gdzie / jakie inne ścieżki zwracają Odmowę dostępu?

Wszystkie. Nie mogę zarówno zapisywać plików pobieranych z internetu na pulpit, a Windows proponuje zapisać je w folderze Admin lecz też bezskutecznie. Wszystko co zapisuje muszę robić w trybie awaryjnym.

[picasso]

Mamy chyba problem. GMER nie zmienia zdania i widzi jakieś tajemnicze wielokrotne instancje "Process (*** hidden *** )". Nie wiadomo skąd to pochodzi. Reszta zadań wykonana. Wymagana będzie rekonstrukcja Zapory systemu Windows skasowanej przez ZeroAccess (ale to zadam na samym końcu), drobne poprawki po niedokładnie usuniętych paskach oraz korekta tego:

 

DRV - File not found [File_System | System | Stopped] -- system32\drivers\tskB1F0.tmp -- (DfsC)

 

To robota TDSSKiller, leczył ten sterownik Windows i "przesuwał" tymczasowo ścieżkę na własny proces. Widziałam to już wcześniej, ale zrzuciłam na karb robienia OTL zaraz po operacji z TDSSKiller. Sytuacja nie wróciła jednak do normy i sterownik należy przekierować z powrotem na ścieżkę systemową.

 

 

1. Otwórz Google Chrome i w Opcjach wejdź do zarządzania wyszukiwarkami. Przestaw domyślną wyszukiwarkę z bieżącego Conduit na coś innego np. Google, a po przestawieniu domyślnej wyszukiwarki Conduit usuń z listy.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DfsC]
"ImagePath"=hex(2):"System32\Drivers\dfsc.sys"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\V9Software]
 
:OTL
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
[2012-05-30 13:52:12 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\1f5ivr6z.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2011-05-29 20:14:20 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Users\Admin\AppData\Roaming\mozilla\Firefox\Profiles\1f5ivr6z.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad}-trash
[2009-12-03 10:54:24 | 000,002,476 | ---- | M] () -- C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\1f5ivr6z.default\searchplugins\BearShareWebSearch.xml

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu. Przekopiuj log z wynikami przetwarzania skryptu np. na Pulpit (później do wglądu). Przez SHIFT+DEL skasuj kwarantannę C:\_OTL, by nie była wykrywana w skanie.

 

3. Przeprowadź pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie obszary, to znacznie wydłuży skan. Przedstaw wynikowy raport z rekordami typu "Detected..." (inne rodzaje wyników mnie nie interesują).

 

 

 

.

[Seat]

Skanowanie w toku - rozumiem, że w przypadku wykrycia wybierać domyślne akcje (?)

Niestety chcąc przestawić domyślną wyszukiwarkę w ustawieniach Chroma tuż po zamknięciu przeglądarki i ponownym otwarciu ustawień mimo dokonanych zmian nadal widnieje Conduit jako domyślna wyszukiwarka.

[picasso]

Skanowanie w toku - rozumiem, że w przypadku wykrycia wybierać domyślne akcje (?)

 

Tak.

 

 

Niestety chcąc przestawić domyślną wyszukiwarkę w ustawieniach Chroma tuż po zamknięciu przeglądarki i ponownym otwarciu ustawień mimo dokonanych zmian nadal widnieje Conduit jako domyślna wyszukiwarka.

 

Może to wariacja problemu z "Odmową dostępu", który to problem nie jest jeszcze zdiagnozowany. Spróbuj z poziomu Trybu awaryjnego, a jeśli się nie uda, porzuć to na razie = nie jest to aż tak istotne na tym etapie leczenia.

 

 

.

[Seat]

Oto detected threats: http://wklej.org/id/773900/

 

/ Tuż przed zrestartowaniem chyba pousuwał niektóre rzeczy bo mam w opcjach jeszcze Disinfect active threats: complete, z kolei w zakładce detected theats dostępna jest opcja disinfect all

[picasso]

Wyniki nieistotne: te z katalogu kwarantanny C:\TDSSKiller_Quarantine (zapomniałam Cię poinstruować byś go też wywalił) + detekcja DivxUpdate jako adware. Reszta to szczątki po naszym "przyjacielu". Coś mało wyników, nie wyjaśniają wcale tych adnotacji o ukrytym procesie w GMER. Poza tym, jest tu problem "Odmowy dostępu" z poziomu Trybu normalnego. Przeprowadź następujące operacje:

 

1. Odinstaluj MBAM, by się się upewnić, że nie tworzy tu problemu w Trybie normalnym.

 

2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzń. Zweryfikuj czy na liście "Sterowniki niezgodne z Plug and Play" występują urządzenia z wykrzyknikami. Jeśli takie są, odinstaluj i restart systemu.

 

3. Zrekonstruuj uszkodzoną Zaporę wg kroków: KLIK. Konkretnie: odtwarzasz całą usługę MpsSvc (import rejestru REG + uprawnienia SetACL) + uprawnienia usługi SharedAccess.

 

4. Zresetuj system i wygeneruj nowe logi: OTL, GMER i Farbar Service Scanner. Wyraźnie się wypowiedz czy nadal są "Odmowy dostępu" w Trybie normalnym.

 

 

 

.

[Seat]

Skasowałem MBAM, niestety nie znalazłem nic na liście co by miało jakikolwiek wykrzyknik. Co do rekonstrukcji firewalla chyba się wszystko udało gdyż po wejściu w panel sterowania da się zmieniać opcje z zaporą (usługa Windows Defender nadal nie działa). Nadal brak jest dostępu w przypadku zapisu plików pobierania itp. Po kliknięciu prawym na pulpicie jedyną opcją jest stworzenie folderu z takim wizerunkiem administratora. Cóż nie działa też parę rzeczy typu WMP, Catalyst Control Center (błąd) i przy starcie nadal błąd jako settings.ini jest używany przez inny proces. Zaczynam się obawiać, że jedynym wyjściem będzie przeinstalowanie systemu Ale jeszcze gotów jestem "powalczyć". Najdziwniejsze, że tych procesów hidden jest więcej teraz niż poprzednio

 

LOGI:

GMER - > http://wklej.org/id/773949/

OTL - > http://wklej.org/id/773954/ & http://wklej.org/id/773955/

FSS - > http://wklej.org/id/773957/