Brak dostępu do "Mój komputer" i samoczynne dezaktywowanie okien

[dudo]

Witam,

 

postaram się w miarę jasno i zwięźle opisać problemy jakie przyplątały się do mojego systemu. Próbowałem już wielu metod skanowania i czyszczenia - wciąż bezskutecznie (Eset, TDSSKiller, SPTD oraz combofix - niestety dopiero u Was, już po fakcie zostałem oświecony w sprawie tego ostatniego)

 

Pierwszym objawem jest brak dostępu do "Mój komputer" - folder się otwiera, jednak prócz opornie posuwającego się paska postępu nic więcej. Dostęp do dysków można uzyskać poprzez wpisanie ich adresu.

 

Drugim, znacznie bardziej irytującym problemem jest samoczynne dezaktywowanie się aktywnych okien (w momencie pisania tego postu co kilkanaście sekund okno przeglądarki zostaje "w tyle" tak jakby ktoś inny w tym momencie klikał na w inne miejsce. Podczas oglądania filmów w trybie pełnoekranowym co pewien czas pojawia się i po chwili znika pasek zadań. Myślałem że to wina nowej, być może wadliwej, bezprzewodowej myszki, jednak w tym przypadku to nie jej sprawka.

 

Dołączam moje logi z nadzieją, że ktoś znajdzie rozwiązanie problemu.

 

Pozdrawiam

 

KD

Extras.Txt

Gmer.txt

OTL.Txt

[picasso]

Temat zmienia dział. Czynnej infekcji nie widać. Tylko szczątki wyglądające na ingerencję ZeroAccess (co nie powinno mieć związku z problemami = jak mówię szczątki).

 

 

Pierwszym objawem jest brak dostępu do "Mój komputer" - folder się otwiera, jednak prócz opornie posuwającego się paska postępu nic więcej. Dostęp do dysków można uzyskać poprzez wpisanie ich adresu.

 

W raporcie OTL owszem stoi polityka NoDrives o wartości innej niż zero (wyłączone), czyli jest tu wprowadzone ukrywanie dysków:

 

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives =  [binary data]

 

Usuniemy to i zobaczymy co z tego wyniknie.

 

 

Drugim, znacznie bardziej irytującym problemem jest samoczynne dezaktywowanie się aktywnych okien (w momencie pisania tego postu co kilkanaście sekund okno przeglądarki zostaje "w tyle" tak jakby ktoś inny w tym momencie klikał na w inne miejsce. Podczas oglądania filmów w trybie pełnoekranowym co pewien czas pojawia się i po chwili znika pasek zadań. Myślałem że to wina nowej, być może wadliwej, bezprzewodowej myszki, jednak w tym przypadku to nie jej sprawka.

 

Możliwością jest tu aktywność antrywirusa AVG.

 

 

---

Czyli na teraz akcje:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:OTL
IE - HKLM\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = ${SEARCH_URL}{searchTerms}
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://searchab.com/?aff=7&uid=92086699-25b9-11e1-8b8b-00238b3271a6&q={searchTerms}"
IE - HKCU\..\SearchScopes\{C921F378-5199-45FF-BD46-28E8A066C751}: "URL" = "http://isearch.avg.com/search?cid={98CB89BA-2940-4BF7-A843-4C099412AA0D}&mid=f2478606d545370c484e72a1383e97a5-0ca65ec952089f78bfaa53036f3b3d8d917d2b90&lang=pl&ds=AVG&pr=fr&d=2011-12-07 08:32:42&v=10.0.0.7&sap=dsp&q={searchTerms}"
FF - prefs.js..network.proxy.type: 4
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoInternetOpenWith = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives =  [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInternetOpenWith = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\teefer2.dll -- (xaudioservice)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NCPro.dll -- (WLAN_USB)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\w810bus.dll -- (w550mdm)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\id2scaps.dll -- (w200mdm)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Secunia\PSI\sua.exe -- (Secunia Update Agent)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Secunia\PSI\PSIA.exe -- (Secunia PSI Agent)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\USR1806V.dll -- (pwkntmon)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\schscnt.dll -- (ossrv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\slssvc.dll -- (dsproct)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\OneCareMP.dll -- (cwafrmiregistry)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MTDVC2.dll -- (bcftdi)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se2Dnd5.dll -- (bc_ip_f)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\FirePM.dll -- (aswupdsv)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\AsIO.dll -- (ARSVC)
SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SprintRcAppSvc.dll -- ({a7447300-8075-4b0d-83f1-3d75c8ebc623})
SRV - [2012-01-16 15:11:45 | 000,909,152 | ---- | M] () [Disabled | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\10.0.6\ToolbarUpdater.exe -- (vToolbarUpdater)
SRV - [2011-11-10 08:17:31 | 000,167,264 | ---- | M] () [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
DRV - [2010-09-01 03:30:58 | 000,015,544 | ---- | M] (Secunia) [File_System | On_Demand | Stopped] -- C:\Windows\System32\drivers\psi_mf.sys -- (PSI)
DRV - [2010-11-08 16:04:26 | 000,026,112 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tap0901.sys -- (tap0901)
DRV - [2006-10-01 07:37:02 | 000,026,624 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tap0801.sys -- (tap0801)
 
:Files
C:\Program Files\AVG\AVG10
C:\Users\Lolitka\AppData\Roaming\AVG9
C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt.

 

2. Przez Panel sterowania odinstaluj adware vShare.tv plugin 1.3. Powtórz to w Google Chrome w Rozszerzeniach. Wyczyść Firefox ze starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL na warunku dostosowanym: w sekcji Własne opcje skanowania / skrypt wklej słowo netsvcs i klik w Skanuj (a nie Wykonaj skrypt!). Dołącz log utworzony przez AdwCleaner.

 

 

 

 

.

 

[dudo]

Dziękuję za szybką odpowiedź.

Niestety, dostęp do "Mój komputer" wciąż jest nieaktywny, jak o problem z szalejącymi oknami nadal istnieje. Odinstalowałem również AVG, jednak w tym przypadku również brak widocznej poprawy. Dołączam logi z Adw i OLT.

 

 

 

# AdwCleaner v2.105 - Log utworzony 12/01/2013 o 19:11:26

# Aktualizacja 08/01/2013 przez Xplode

# System operacyjny : Windows 7 Ultimate (32 bits)

# Użytkownik : Lolitka - LOLI

# Tryb uruchomienia : Normalny

# Ścieżka : C:\Users\Lolitka\Downloads\AdwCleaner.exe

# Opcja [usuń]

 

***** [usługi] *****

 

 

***** [Pliki / Foldery] *****

 

 

***** [Rejestr] *****

 

 

***** [Przeglądarki Internetowe] *****

 

-\\ Internet Explorer v9.0.8112.16457

 

[OK] Rejestr w porządku.

 

-\\ Mozilla Firefox v13.0 (pl)

 

Plik : C:\Users\Lolitka\AppData\Roaming\Mozilla\Firefox\Profiles\giki2aib.default\prefs.js

 

[OK] Plik w porządku.

 

Plik : C:\Users\Lolitka\AppData\Roaming\Mozilla\Firefox\Profiles\v5c0cxzz.default-1358011718809\prefs.js

 

[OK] Plik w porządku.

 

Plik : C:\Users\Lolitka\AppData\Roaming\Mozilla\Firefox\Profiles\wr4a27tc.default\prefs.js

 

[OK] Plik w porządku.

 

-\\ Google Chrome v23.0.1271.97

 

Plik : C:\Users\Lolitka\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Plik w porządku.

 

*************************

 

AdwCleaner[s2].txt - [1066 octets] - [12/01/2013 19:11:26]

 

########## EOF - C:\AdwCleaner[s2].txt - [1126 octets] ##########

OTL2.Txt

[picasso]

Niestety, dostęp do "Mój komputer" wciąż jest nieaktywny, jak o problem z szalejącymi oknami nadal istnieje.

 

Mozolne otwieranie Mój komputer może także sugerować:

 

1. Próbę wyszukiwania niedostępnych urządzeń.

 

2. Wadliwe rozszerzenie NameSpace dopisane do strefy Komputer. Pod tym kątem dodaj mi wstępny skan. Uruchom SystemLook i w oknie wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace /s

 

Klik w Look.

 

3. Ogólnie wadliwe integracje z powłoką. Tu zwraca moją uwagę ten archaizm Logitecha w procesach:

 

========== Processes (SafeList) ==========
 
PRC - [2005-06-08 13:49:02 | 000,294,912 | ---- | M] (Logitech Inc.) -- C:\Program Files\Logitech\Video\AlbumDB2.exe 

 

To jest prawdopodobnie moduł Logitech Gallery integrowany w powłoce i NameSpace chyba też jest dopisywane. Zobaczymy co wyjdzie ze skanu w punkcie 2. Dodaj mi także log z ShellExView.

 

 

---

W ramach doczyszczania śmieci napraw naruszoną przez ZeroAccess wartość netsvcs + skoryguj domyślne wyszukiwarki IE po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost]
"netsvcs"=hex(7):41,00,65,00,4c,00,6f,00,6f,00,6b,00,75,00,70,00,53,00,76,00,\
  63,00,00,00,43,00,65,00,72,00,74,00,50,00,72,00,6f,00,70,00,53,00,76,00,63,\
  00,00,00,53,00,43,00,50,00,6f,00,6c,00,69,00,63,00,79,00,53,00,76,00,63,00,\
  00,00,6c,00,61,00,6e,00,6d,00,61,00,6e,00,73,00,65,00,72,00,76,00,65,00,72,\
  00,00,00,67,00,70,00,73,00,76,00,63,00,00,00,49,00,4b,00,45,00,45,00,58,00,\
  54,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,46,00,61,\
  00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
  69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
  00,69,00,74,00,79,00,00,00,49,00,61,00,73,00,00,00,49,00,72,00,6d,00,6f,00,\
  6e,00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,\
  00,00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,\
  69,00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,\
  00,74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,\
  73,00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,\
  00,63,00,65,00,73,00,73,00,00,00,53,00,45,00,4e,00,53,00,00,00,53,00,68,00,\
  61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,00,73,00,73,00,00,00,53,00,52,\
  00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,54,00,61,00,70,00,69,00,\
  73,00,72,00,76,00,00,00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,\
  00,6d,00,53,00,70,00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,\
  69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
  00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,\
  44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,4c,00,6f,00,67,\
  00,6f,00,6e,00,48,00,6f,00,75,00,72,00,73,00,00,00,50,00,43,00,41,00,75,00,\
  64,00,69,00,74,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,75,\
  00,70,00,6c,00,6f,00,61,00,64,00,6d,00,67,00,72,00,00,00,69,00,70,00,68,00,\
  6c,00,70,00,73,00,76,00,63,00,00,00,73,00,65,00,63,00,6c,00,6f,00,67,00,6f,\
  00,6e,00,00,00,41,00,70,00,70,00,49,00,6e,00,66,00,6f,00,00,00,6d,00,73,00,\
  69,00,73,00,63,00,73,00,69,00,00,00,4d,00,4d,00,43,00,53,00,53,00,00,00,77,\
  00,65,00,72,00,63,00,70,00,6c,00,73,00,75,00,70,00,70,00,6f,00,72,00,74,00,\
  00,00,45,00,61,00,70,00,48,00,6f,00,73,00,74,00,00,00,50,00,72,00,6f,00,66,\
  00,53,00,76,00,63,00,00,00,73,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,00,\
  00,00,68,00,6b,00,6d,00,73,00,76,00,63,00,00,00,53,00,65,00,73,00,73,00,69,\
  00,6f,00,6e,00,45,00,6e,00,76,00,00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,\
  74,00,00,00,62,00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,54,00,68,00,65,\
  00,6d,00,65,00,73,00,00,00,42,00,44,00,45,00,53,00,56,00,43,00,00,00,41,00,\
  70,00,70,00,4d,00,67,00,6d,00,74,00,00,00,00,00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

Jeszcze w Google Chrome są strony startowe adware, ale to nie takie ważne teraz. Potem drobnostkami się zajmiemy.

 

 

 

.

[dudo]

SystemLook 30.07.11 by jpshortstuff

Log created at 15:22 on 21/01/2013 by Lolitka

Administrator - Elevation successful

========== reg ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace]

(No values found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders]

(No values found)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{35786D3C-B075-49b9-88DD-029876E11C01}]

@="Portable Devices"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{640167b4-59b0-47a6-b335-a6b3c0695aea}]

@="Portable Media Devices"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{9113A02D-00A3-46B9-BC5F-9C04DADDD5D7}]

@="Enhanced Storage Data Source"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\{b155bdf8-02f0-451e-9a26-ae317cfd7779}]

@="nethood delegate folder"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}]

@="My Logitech Pictures"

 

-= EOF =-

 

 

Załączam log z ShellExView

shellex.txt

[picasso]

Jest w NameSpace Mojego komputera Logitech:

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}]
@="My Logitech Pictures"
 
==================================================
Extension Name    : My Logitech Pictures
Disabled          : No
Type              : Shell Folder
Description       : Logitech Namespace2
Version           : 8.4.7.1034
Product Name      : Logitech QuickCam
Company           : Logitech Inc.
My Computer       : Yes
Desktop           : No
Control Panel     : No
My Network Places : No
Entire Network    : No
Remote Computer   : No
Filename          : C:\Program Files\Logitech\Video\Namespc2.dll
CLSID             : {400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}
File Created Time : 2011-09-10 21:21:52
CLSID Modified Time: 2013-01-12 12:17:05
Microsoft         : No
File Extensions   : 
File Attributes   : A
File Size         : 135 168
.NET Extension    : No
==================================================

 

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

regsvr32 /u "C:\Program Files\Logitech\Video\Namespc2.dll"

 

2. Zresetuj system i podaj co widzisz przy otwieraniu Komputera.

 

 

.

[dudo]

2. Zresetuj system i podaj co widzisz przy otwieraniu Komputera.

 

...zadziałało śmiga, aż miło się patrzy dostęp do folderu jest błyskawiczny, ostatnio też nie zauważam problemu z dezaktywowaniem okien, być może Twoja sugestia odnośnie możliwej ingerencji AVG była słuszna. Odinstalowałem go i jest lepiej

 

Dziękuje za poświęcony mi czas oraz rozwiązanie problemu.