damascus7 Opublikowano 2 Stycznia 2013 Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 Witam. Od pewnego czasu mam problem z zablokowaniem komputera przez wirus UKASH. Programy antywirusowe i combofix nie do końca mogły sobie z nim poradzić. Aktualnie po uruchomieniu systemu poajwia się komunikat jak poniżej: Proszę o pomoc. Załączone pliki: Extras.Txt OTL.Txt Odnośnik do komentarza
Conor29134 Opublikowano 2 Stycznia 2013 Zgłoś Udostępnij Opublikowano 2 Stycznia 2013 1. Uruchom OTL i w okno Własne opcje skanowania /skrypt Wklej :OTL O4 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002..\Run: [tmdubitkspgfhxk] C:\ProgramData\tmdubitk.exe () O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe () O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe () O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found O4:[b]64bit:[/b] - HKLM..\Run: [XpsPrint] C:\Users\Synek\AppData\Local\Microsoft\Windows\2601\XpsPrint.exe File not found IE - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = file://c:/rapidhacker.dll FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.order.1: "Yahoo" FF - prefs.js..browser.search.param.yahoo-fr: "megaup" FF - prefs.js..browser.search.param.yahoo-fr-cjkt: "megaup" F3:[b]64bit:[/b] - HKU\S-1-5-21-2654622723-2822970650-629815199-1002 WinNT: Load - (C:\Users\Synek\creloca.exe) - File not found F3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002 WinNT: Load - (C:\Users\Synek\creloca.exe) - File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 55938 = C:\PROGRA~3\Local Settings\Temp\msxiwjb.scr @Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5350 [].JPG:VsoSummaryInformation @Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5350 [] - Kopia.JPG:VsoSummaryInformation @Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5325 [].JPG:VsoSummaryInformation @Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5325 [] - Kopia.JPG:VsoSummaryInformation @Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5314 [1024x768].JPG:VsoSummaryInformation @Alternate Data Stream - 85 bytes -> C:\Users\Synek\HPIM5314 [1024x768] - Kopia.JPG:VsoSummaryInformation @Alternate Data Stream - 64 bytes -> C:\Users\Synek\Desktop\Synek 1996r.mp4:TOC.WMV @Alternate Data Stream - 64 bytes -> C:\Users\Synek\Desktop\MVI_5594_MP4_.mp4:TOC.WMV @Alternate Data Stream - 152 bytes -> C:\ProgramData\TEMP:DD4DD9B9 @Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:DFC5A2B2 @Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84 @Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:D1B5B4F1 :Files C:\Windows\bthservsdp.dat C:\ProgramData\tmdubitk.exe C:\ProgramData\rftvsihtkhkffgj C:\Users\Synek\0.354406289400336.exe C:\ProgramData\ras_0oed.pad C:\Users\oem\AppData\Roaming\hellomoto C:\Users\Bartek\AppData\Roaming\hellomoto C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225 C:\Users\Synek\AppData\Local\Microsoft\Windows\2601 C:\Users\oem\AppData\Local\Microsoft\Windows\607 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij Wykonaj skrypt Przeczuwam tu jakąś paskudną infekcje w wykonywalkach strzelam na viruta(to taka moja osobista wycieczka) Proponuje skan : http://support.kaspe...virutkiller.exe http://www.symantec....ps/FixVirut.com (jeżeli coś wykryją skanuj tyle razy aż nic nie znajdą) i na koncu Dr.web cureIT: http://ftp.drweb.com...reit/launch.exe dodatkowo deinstalacja 1 z antywirusów w logu 2 i po tym nowy log z OTL Odnośnik do komentarza
damascus7 Opublikowano 4 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 Dopiero znalazłem czas na reakcję. Więc odinstalowałem oba antywirusy i zainstalowałem 1 innej firmy (wykrył jedynie jakiś crack). Skrypt wykonałem, lecz bez większych rezultatów (po restarcie najpierw zniknał komunikat ale po chwili powrócił ekran Ukash),a po ponownym uruchomieniu znów komunikat z 1 postu). Podane programy nic nie wykrywają! Załączam OTL oraz log z OTL po uruchomieniu systemu (ten z datą i innymi cyframi): OTL.Txt 01042013_152909.txt Odnośnik do komentarza
Conor29134 Opublikowano 4 Stycznia 2013 Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 Z tamtym skryptem do OTL-a to coś skrypt forum źle sformatował. 1. Uruchom OTL i w okno Własne opcje skanowania /skrypt Wklej :OTL O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe () O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found O4:[b]64bit:[/b] - HKLM..\Run: [XpsPrint] C:\Users\Synek\AppData\Local\Microsoft\Windows\2601\XpsPrint.exe () O4 - HKU\S-1-5-21-2654622723-2822970650-629815199-1000..\Run: [start-Up Name] C:\Users\oem\AppData\Roaming\FacebookVideoCall.exe File not found O4 - HKU\S-1-5-21-2654622723-2822970650-629815199-1000..\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found F3:[b]64bit:[/b] - HKU\S-1-5-21-2654622723-2822970650-629815199-1000 WinNT: Load - (C:\Users\oem\bopoRstr.exe) - File not found F3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1000 WinNT: Load - (C:\Users\oem\bopoRstr.exe) - File not found :Files C:\ProgramData\wrhojvpesspwsvr C:\ProgramData\0C1CFB13005842DA004F03212F3B707C C:\ProgramData\hjoaeicbkakljvz C:\Users\Bartek\AppData\Roaming\hellomoto C:\Users\Synek\AppData\Roaming\hellomoto C:\Users\oem\AppData\Local\Microsoft\Windows\607 C:\Users\Synek\AppData\Local\Microsoft\Windows\2601 C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij Wykonaj skrypt 2.Zrób skanowanie Kaspersky-m TDSS Killer(akcje ustaw na skip i podaj log) 3.Widze że masz MBAM-a to zrób nim pełny skan i do kwarantanny to co znajdzie 4.Podaj nowy log z OTL Odnośnik do komentarza
damascus7 Opublikowano 4 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 1. Wykonałem skrypt 2. Kasperksy TDSS Killer wykrył 1 plik (tylko zablokowany SPTD). 3. Malware Bytes wykrył jedynie jakieś śmieci mało istotne typu keygen, patch. 4. Logi w załącznikach Wygląda na to że uporałem się z choroba komputera. Poobserwuję jeszcze co w trawie piszczy. Dziękuję bardzo za okazana pomoc OTL.Txt Odnośnik do komentarza
Conor29134 Opublikowano 4 Stycznia 2013 Zgłoś Udostępnij Opublikowano 4 Stycznia 2013 Niestety to nie koniec siedzi jeszcze 1 smiecik i nie chce wyleźć: C:\Windows\SysNative\startup.exe pobierz system look x64 uruchom i w okienko wklej: :filefind startup.exe kliknij look i podaj raport EDIT Uruchom OTL i w okno Własne opcje skanowania /skrypt Wklej :reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wwancfg"=- "WinSys2"=- "WinSCard"=- [HKEY_USERS\S-1-5-21-2654622723-2822970650-629815199-1001\Software\Microsoft\Windows\CurrentVersion\Run] "swg"=- :Commands [emptytemp] Kliknij Wykonaj skrypt podaj raport z usuwania powyższym skryptem Odnośnik do komentarza
damascus7 Opublikowano 5 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2013 Czekam na dalsze instrukcje SystemLook 30.07.11 by jpshortstuff Log created at 15:18 on 05/01/2013 by Bartek Administrator - Elevation successful ========== filefind ========== Searching for "startup.exe" C:\Windows\System32\startup.exe --a---- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109 C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe ------- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109 -= EOF =- OTL.Txt 01052013_152134.txt Odnośnik do komentarza
Conor29134 Opublikowano 5 Stycznia 2013 Zgłoś Udostępnij Opublikowano 5 Stycznia 2013 zrobimy jeszcze inaczej bo coś źle chyba robie z importem do rejestru że nie może tego znaleźć a ten plik to świeży chyba jest antywirusy nic w nim nie wykrywają bo znalazłem na wirusotal podobny pliczek z tym samym MD5 ale bardzo nie ładnie to wygląda i na wszelki wypadek trzeba to wyrzucić i niby leży jeszcze w C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe czyli nazwa kojarzy się z nvidia ale wójek google nic nie znajduje na temat tej ścieżki to jednak nie może być od Nvidii 1.Wyłącz AVG i Super anti-spyware 2.Uruchom OTL i w okno Własne opcje skanowania /skrypt Wklej :OTL O4:[b]64bit:[/b] - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found O4:[b]64bit:[/b] - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe () O4:[b]64bit:[/b] - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found :Files C:\Windows\System32\startup.exe C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe :Commands [emptytemp] Kliknij Wykonaj skrypt Podaj z tego raport 3.Uruchom systemlook x64 i w okienko wklej: :filefind startup.exe :regfind WinSCard WinSys2 wwancfg Kliknij look i podaj z tego raport Odnośnik do komentarza
damascus7 Opublikowano 5 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 5 Stycznia 2013 Zrobione! 01052013_175444.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
Conor29134 Opublikowano 5 Stycznia 2013 Zgłoś Udostępnij Opublikowano 5 Stycznia 2013 musimy zmienić sposób usuwania OTL kompletnie se rady nie daje tylko nie wiem czy blitz blank potrafi usuwać w system32 ale zobaczymy Pobierz blitz blank http://download1.ems.../BlitzBlank.exe @EDIT jako że nie za bardzo rozumiem rejestr 64 bitowy to w skrypt poprawiam uwzględniając kasacje z 64bitowych kluczy w karcie script wklej: DeleteRegValue: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\wwancfg HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSys2 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSCard DeleteFile: C:\Windows\System32\startup.exe C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe Kliknij execute NOW zgódź się na restart jeżeli padnie prośba Podaj raport z tego i nowy z system look robiony jak wcześniej @EDIT Proponuje przygotować płytkę z OTLPE bo może się przydać Odnośnik do komentarza
damascus7 Opublikowano 6 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 Po wprowadzeniu tego kodu do skryptu w BlitzBlank wyskakuje błąd: Syntax error in line8 Invalid file path. Ale ścieżka jest przecież poprawna Więc skoro mamy z głowy UKASH to może odpuścimy sobie to ustrojstwo? Sam pewnie sporo nerwów na to poświęciłeś,a przede wszystkim czasu... Efekty już widzę na plus oczywiście za co bardzo bardzo dziękuję! Odnośnik do komentarza
Conor29134 Opublikowano 6 Stycznia 2013 Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 Nic nie będziemy odpuszczać nie zostawie ci połowy infekcji Myślę że przejdziemy do ręcznego usuwania bo przez skrypty to chyba niedam rady za słabo znam system 64-bitowy a viste to kompletnie nie miałem sytcznosci: Startuj w tryb awaryjny Kasacja kluczy: START>w pole szukania wpisz regedit>prawoklik>uruchom jako administrator Przejdź do poniższych kluczy HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\ i poszukaj w niej wartości o nazwie wwancfg WinSys2 WinSCard Jeżeli będą to prawoklik i usuń przejście do kolejnego klucza HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run i poszukaj w niej wartości o nazwie wwancfg WinSys2 WinSCard Jeżeli będą to prawoklik i usuń szukasz pliku startup.exe w poniższych lokalizacjach: C:\Windows\System32 C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4 jeżeli będą to usuń przez shift+del przechodzisz jeszcze do folderu SysWOW64(pewnie tak się nazywa) i w nim szukasz startup.exe usuwasz Pobierz autoruns uruchom pozwól mu przeskanować Z menu wybierz "File" następnie "Save" -> zapisz jako AutoRuns.arn schostuj na speedy.sh i podaj linka i nowy log z systemlook tak jak wcześniej robiony Odnośnik do komentarza
damascus7 Opublikowano 6 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 W rejestrze usunąłem, niestety w C:\Windows były 2 lokalizacje tego pliku i 1 z nich nie mogę usunąć (C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4) - rzekomo brak uprawnień. http://www.speedysha...kQ/AutoRuns.arn SystemLook 30.07.11 by jpshortstuff Log created at 13:34 on 06/01/2013 by Bartek Administrator - Elevation successful ========== filefind ========== Searching for "startup.exe" C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe ------- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109 -= EOF =- Odnośnik do komentarza
Conor29134 Opublikowano 6 Stycznia 2013 Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 przeimij ten plik(startup.exe) na własnosć wedle tej instrukcji: http://www.fixitpc.p...kow-i-folderow/ i spróbuj usunąć ewentualnie start w środowisko linuxowe i próba kasacji z jego poziomu Jeżeli się uda to daj log z systemlook robiony na ponizszych warunkach: :dir C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4 :filefind startup.exe :regfind WinSCard WinSys2 wwancfg Odnośnik do komentarza
damascus7 Opublikowano 6 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 Wygląda na to,że udało się definitywnie pozbyć niechcianych intruzów Gracias amigo!! SystemLook.txt Odnośnik do komentarza
Conor29134 Opublikowano 6 Stycznia 2013 Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 teraz log z OTL i czekaj na picasso/landussa tylko ciekaw jestem czy to nie elementy od sterowników są, jakby były problemy to przeinstaluj sterowniki nvidi jezeli masz ich kartę graficzną ale jak to powiedział pewnien moderator że podobne do infekcji to do usunięcia najlepiej zrób to odrazu tyle roboty a to sterowniki od nvidi mogą być :E Niestety google i tak milczy Odnośnik do komentarza
damascus7 Opublikowano 6 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 6 Stycznia 2013 Sterowniki Nvidii najnowsze poszły w ruch. Skan OTL: OTL.Txt Odnośnik do komentarza
picasso Opublikowano 8 Stycznia 2013 Zgłoś Udostępnij Opublikowano 8 Stycznia 2013 Conor29134 Przekombinowałeś. W spoilerze komentarz. 1. Miotanie się z kluczami 32-bit i 64-bit: @EDIT jako że nie za bardzo rozumiem rejestr 64 bitowy to w skrypt poprawiam uwzględniając kasacje z 64bitowych kluczy To się nie bierz za analizy logów 64-bit, zanim się nie nauczysz (trenując na sobie a nie na innych) i zanim nie zdasz sobie sprawy z kompatybilności określonych narzędzi. Pierwszy z brzegu przykład dualizmu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (klucz 64-bit) HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run (klucz 32-bit) W OTL wyraźnie zaznaczone, że są to 64-bitowe klucze: O4:64bit: - HKLM..\Run: [WinSCard] C:\Users\Bartek\AppData\Local\Microsoft\Windows\2225\WinSCard.exe File not found O4:64bit: - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe () O4:64bit: - HKLM..\Run: [wwancfg] C:\Users\oem\AppData\Local\Microsoft\Windows\607\wwancfg.exe File not found - W BlitzBlank pojechałeś dokładnie na odwrót niż ma być: DeleteRegValue: HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\wwancfgHKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSys2HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\WinSCard Zła lokalizacja. Usuwasz z kluczy 32-bit. Takie pozycje nie istnieją. - Dlaczego OTL nie wykonał pewnych zadań: Po pierwsze: Wstawiłeś w CODE znaczniki BBCode (bold). Po drugie błędy: :reg[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"wwancfg"=-"WinSys2"=-"WinSCard"=- OTL jest programem 32-bit, dlatego import natywnie 64-bitowego klucza przez :Reg się nie wykona (nastąpi redirect na 32-bit klucz w WOW6432Node). OTL się nie nadaje do takich importów kluczy natywnie 64-bitowych. :FilesC:\Windows\System32\startup.exeC:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe To samo co wyżej pod uwagę, czyli bity samego OTL. Dla 32-bitowego OTL nie istnieje katalog C:\Windows\System32. OTL posługuje się sztuczką z aliasem SysNative, by do niego wejść. Czyli C:\Windows\System32 w rzeczywitym systemie = C:\Windows\SysNative w OTL i w skryptach muszą być takie ścieżki a nie system32. Apropos tego: Po wprowadzeniu tego kodu do skryptu w BlitzBlank wyskakuje błąd: Syntax error in line8 Invalid file path. Ale ścieżka jest przecież poprawna To samo co z OTL. Blizblank jest tylko częściowo 64-bitowy i nie rozumie katalogu "system32", za to z SysWOW64 usunie bez problemu. 2. Usunięcie prawidłowego pliku: O4:64bit: - HKLM..\Run: [WinSys2] C:\Windows\SysNative\startup.exe () ========== filefind ========== Searching for "startup.exe"C:\Windows\System32\startup.exe --a---- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109C:\Windows\System32\DriverStore\FileRepository\nv_disp.inf_1cfe16a4\startup.exe ------- 52072 bytes [12:42 14/01/2009] [04:12 09/07/2008] 83D6E0DE6214BA248B3DDA1BDB243109 WinSys2 = ten wpis jest charakterystyczny dla instalacji w brandowaniu MSI. http://forums.wincustomize.com/321363 http://driver.ru/?aid=1034110294917de59a9cb41afa31 Przeczuwam tu jakąś paskudną infekcje w wykonywalkach strzelam na viruta(to taka moja osobista wycieczka) Na jakiej to podstawie? damascus7 Sterowniki Nvidii najnowsze poszły w ruch. Nie został uzupełniony ten wpis. Jak mówię w spoilerze, jest to obiekt MSI nVidia związany z podkręcaniem karty. Co do reszty: - Używałeś ComboFix (brak o tym wzmianek) oraz SpyHunter (program naciągacz, skasuj z dysku). ========== Processes (SafeList) ========== PRC - [2013-01-01 13:33:41 | 032,397,464 | ---- | M] () -- C:\OTL\SpyHunter 4.9.10.3956 Incl.Patch-[Aru]\spyhunterS4.exe - Wymagane poprawki, bo infekcje wcale nie zostały usunięte do końca. W pierwszym OTL polisa HideSCAHealth + wpis VFPlugin + adware w Firefox, w OTL Extras na liście zainstalowanych wpis "Live Security Platinum" oraz autoryzacje trojanów w zaporze i nie było to adresowane. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_USERS\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :OTL O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found. O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: VFPlugin = C:\Users\Synek\AppData\Roaming\92E0C4.exe :Files C:\Program Files (x86)\Mozilla Firefox\extensions\{86009AEF-9162-4EBC-B698-FF71D7B6B049} C:\Program Files (x86)\mozilla firefox\searchplugins\seekservice127.xml C:\Users\Bartek\AppData\Roaming\ProgSense C:\Users\oem\AppData\Roaming\ProgSense C:\Users\Synek\AppData\Roaming\dclogs C:\Users\Synek\AppData\Roaming\Megaupload C:\Users\Synek\AppData\Roaming\MegauploadToolbar C:\Users\Synek\AppData\Roaming\ProgSense C:\found.* netsh firewall reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Zrób nowy log OTL z opcji Skanuj oraz Farbar Service Scanner. . Odnośnik do komentarza
damascus7 Opublikowano 18 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 18 Stycznia 2013 Wreszcie dorwałęm się do komputera po długiej nieobecności. Udało mi się ustalić,że mój brat kiedyś robił coś z Combofixem,ale nic o tym nie wiedziałem. Dodaję pliki po wykonaniu skryptu i skanowaniu. Czekam z niecierpliwością na dalsze wskazówki. PS. Tak poza tym to od bardzo długiego już czasu nie działaja mi aktualizacje automatyczne systemu.... nie mam pomysłu jak to naprawić. FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 (edytowane) Zadania wykonane, więc część końcowa: 1. Drobne poprawki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-C39E-35F1D2A32EC8} - No CLSID value found. O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0 O7 - HKU\S-1-5-21-2654622723-2822970650-629815199-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present [2012-07-11 08:09:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings [2012-07-18 07:41:41 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\PC Tools [2012-07-18 07:38:16 | 000,251,528 | ---- | C] (PC Tools) -- C:\Windows\SysNative\drivers\PCTSD64.sys [2012-07-18 07:38:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Common Files\PC Tools [2012-07-18 07:38:01 | 000,000,000 | ---D | C] -- C:\ProgramData\PC Tools Klik w Wykonaj skrypt. Nie będzie restartu. 2. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj z dysku poniższe foldery. C:\Users\Bartek\Desktop\Stare dane programu Firefox C:\Windows\erdnt 3. W Dzienniku zdarzeń masz błąd WMI numer 10. Instrukcje naprawcze dla Vista: KB950375. 4. Wyczyść foldery Przywracania systemu: KLIK. PS. Tak poza tym to od bardzo długiego już czasu nie działaja mi aktualizacje automatyczne systemu.... nie mam pomysłu jak to naprawić. Jak to konkretnie się objawia, jakie błędy? W logu z Farbar Service Scanner nie widać naruszenia podstawowych usług Windows Update. Natomiast widzę, że używałeś Narzędzie analizy gotowości aktualizacji systemu: [2013-01-06 18:35:53 | 000,000,000 | ---D | C] -- C:\Windows\CheckSur Nie wiadomo co narzędzie robiło, czy coś wykryło czy nie. Wejdź do tego folderu i skopiuj na Pulpit logi narzędzia (checksur.log + checksur.persist.log) i tu dostarcz. . Edytowane 7 Marca 2013 przez picasso 7.03.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi