(ROOTKIT?) Problemy z Operą: nie działają odnośniki; okno "zapisz jako..." podczas ładowania strony

Pheobe · 4 Czerwca 2013

Tak jak w temacie.

W Operze, po załadowaniu strony, nie można otworzyć żadnego odnośnika (działają jedynie w czasie, kiedy strona się ładuje). nie można także wpisać tekstu w pole np. google translate, czy w pole wiadomości na forach, na poczcie. Dzieje się tak już od kilku dni.

Dziś nad ranem przeglądarka ta przestała w ogóle ładować strony, po wpisaniu/wklejeniu adresu w pasek adresu pojawiało się okienko "zapisz jako". Nawet jak się zapisało stronę po otworzeniu pliku w Operze, ponownie wyświetlało się okienko "zapisz jako..."

Teraz, dodatkowo - po jakimś czasie od włączenia, Opera przestaje w ogóle reagować na polecenia (np. przełączenie zakładki, czy nawet kilknięcie "opcji")

Sprawdziłam inne przeglądarki.

W IE powtarza się problem, że w polach tekstowych nic nie można napisać. Odnośniki normalnie się otwierają.

Firefoxa nie używam.

Chrome tez nie działa prawidłowo. Kiedy wpisuje stronę www lub coś do wyszukania w pasek adresu wyskakuje komunikat:

certyfikat bezpieczeństwa tego serwera został unieważniony

W GMERze wyświetliło się "odnalezione modyfikacje systemu wskazujące na obecność ROOTKITa"

Zawartość loga checkup.txt

Results of screen317's Security Check version 0.99.64

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 10

``````````````Antivirus/Firewall Check:``````````````

Titanium

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

CCleaner

Java 6 Update 37

Java version out of Date!

Adobe Flash Player 11.7.700.202

Adobe Reader 10.1.4 Adobe Reader out of Date!

Google Chrome 27.0.1453.93

Google Chrome 27.0.1453.94

````````Process Check: objlist.exe by Laurent````````

Trend Micro AMSP coreServiceShell.exe

Trend Micro UniClient UiFrmWrk uiWatchDog.exe

Trend Micro AMSP coreFrameworkHost.exe

Trend Micro UniClient UiFrmWrk uiSeAgnt.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

Serdecznie proszę o pomoc. Niedługo się bronie i te problemy bardzo utrudniają mi pisanie pracy inż.

Extras.Txt

OTL.Txt

GMER.txt

picasso · 4 Czerwca 2013

Jest tu rootkit ZeroAccess w wariancie infekującym sterowniki systemowe (wg GMER jest zarażony cdrom.sys) i wprowadzającym liczne "bonusy" (skasowane usługi systemowe, rozwalony Windows Defender na którym jest sztuczka z linkami symbolicznymi). Poza tym, w systemie jest i śmietnik adware, ale to już szczegóły przy punktowanym tu zawodniku. Zanim podam instrukcje usuwania poproszę o dwa dodatkowe raporty:

1. Detekcja linków symbolicznych Windows Defender. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę dir /s "C:\Program Files\Windows Defender" > C:\log.txt i ENTER. Przedstaw wynikowy plik C:\log.txt.

2. Log z Farbar Service Scanner.

.

Pheobe · 4 Czerwca 2013

Brzmi poważnie...

FSS.txt

log.txt

picasso · 4 Czerwca 2013

Brzmi poważnie, bo jest to poważna infekcja, bardzo dużo modyfikacji zaszło w systemie. Usuwanie tego wymaga wielu czynności: usunięcie czynnej infekcji (wyleczenie pliku sterownika cdrom.sys, reset Winsock przekierowanego przez rootkita, dokasowanie innych plików infekcji), rozlinkowanie Windows Defender i reset uprawnień na jego plikach (ZeroAccess kompletnie wymazuje dostęp), naprawa szkód w usługach. Przechodzimy do akcji:

1. Uruchom Kaspersky TDSSKiller. Zostaw wszystkie akcje domyślnie dobrane przez narzędzie. Zresetuj system, by wdrożyć leczenie. Na dysku C powstanie log z wynikami usuwania.

2. Otwórz Notatnik i wklej w nim:

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} /v AutoStart /t REG_SZ /d "" /f
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpAsDesc.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpClient.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCmdRun.exe"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpCommu.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpEvMsg.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpOAV.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpRTP.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MpSvc.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MSASCui.exe"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpCom.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpLics.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\MsMpRes.dll"
fsutil reparsepoint delete "C:\Program Files\Windows Defender\pl-PL"
netsh winsock reset
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Zresetuj system, by reset Winsock wszedł w życie.

3. Uruchom ServicesRepair i po naprawach zresetuj system.

4. Odinstaluj adware. Przez Panel sterowania: Certified Toolbar 1.9, Conduit Engine. W Google Chrome w Rozszerzeniach: Certified Toolbar, GoPhoto.it.

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

6. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner oraz komendę dir zadaną w moim wcześniejszym poście. Dołącz logi utworzone przez TDSSKiller i AdwCleaner.

.

Pheobe · 4 Czerwca 2013

Wykonałam wszystkie polecenia. Załączam logi.

Przepraszam, że tak długo to trwało GMER dużo czasu potrzebował.

AdwCleanerS1.txt

TDSSKiller.2.8.16.0_04.06.2013_14.16.44_log.txt

picasso · 4 Czerwca 2013

Infekcja pomyślnie usunięta. Zostało do zrobienia: skasowanie folderu C:\Windows\$NtUninstallKB62820$ infekcji, reset uprawnień w katalogu Windows Defender, usunięcie Mega Codec Pack (to on był źródłem infekcji = na forum wiele przykładów) oraz poprawki po pracy AdwCleaner. Na teraz pierwsza porcja zadań relatywna do ZeroAccess:

1. Pobierz SetACL (Administrators: Download the EXE version of SetACL). Z folderu 32 bit skopiuj plik SetACL.exe do katalogu C:\Windows. Otwórz Notatnik i wklej w nim:

SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn ace -ace "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464;p:full" -ace "n:Administratorzy;p:read_ex" -ace "n:SYSTEM;p:read_ex" -ace "n:S-1-5-32-545;p:read_ex"
SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn setowner -ownr "n:S-1-5-80-956008885-3418522649-1831038044-1853292631-2271478464"
SetACL -on "C:\Windows\$NtUninstallKB62820$" -ot file -actn setowner -ownr "n:Administratorzy"
SetACL -on "C:\Windows\$NtUninstallKB62820$" -ot file -actn ace -ace "n:Administratorzy;p:full"
rd /s /q C:\Windows\$NtUninstallKB62820$
pause

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Z prawokliku na plik Uruchom jako Administrator.

2. Usuń z dysku poprzedni plik C:\log.txt. Otwórz Notatnik i wklej w nim:

SetACL -on "C:\Program Files\Windows Defender" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpAsDesc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpClient.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpCmdRun.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpCommu.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpEvMsg.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpOAV.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpRTP.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MpSvc.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MSASCui.exe" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpCom.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpLics.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\MsMpRes.dll" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpAsDesc.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MpEvMsg.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

SetACL -on "C:\Program Files\Windows Defender\pl-PL\MsMpRes.dll.mui" -ot file -actn list -lst "f:tab;w:d,o;i:y;s:n" >>C:\log.txt

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako LISTA.BAT

Z prawokliku na plik Uruchom jako Administrator. Przedstaw wynikowy C:\log.txt.

3. Wprawdzie cdrom.sys został wyleczony, ale dodaj jeszcze skan ogólny na poprawność plików systemowych. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę i ENTER:

sfc /scannow

Gdy komenda ukończy i zwróci komunikat inny niż "Nie znaleziono naruszeń integralności", w cmd wklej kolejną i ENTER:

findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt

Otworzy się log z wynikami. Przedstaw go.

.

Pheobe · 4 Czerwca 2013

Załączam log z pkt 2.

W cmdie wyświetliło mi się "Funkcja Ochronna zasobów systemu Windows nie znalazła naruszeń integralności" więc tak jak zaleciłaś nie podjęłam kolejnego kroku

log.txt

Edytowane 4 Czerwca 2013 przez Pheobe

picasso · 4 Czerwca 2013

Reset uprawnień Windows Defender pomyślny. SFC nie widzi problemu. Teraz możemy się zająć pozostałymi rzeczami ("Mega Codec Pack", szczątki adware i Firefox):

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Default_Search_URL"=-
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Search Bar"=-
"Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896"
"Start Default_Page_URL"=-
"Start Page"="about:blank"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"=-
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{3CA4BD99-C8BF-48EB-B37A-021B64C29A3C}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EB14A2B1-C571-4C76-B1C7-C2306C1AEBA4}]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{3CA4BD99-C8BF-48EB-B37A-021B64C29A3C}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ABBYY Screenshot Reader Bonus"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0MediaIconsOerlay]
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mega Codec Pack

C:\Program Files\Mega Codec Pack

C:\Program Files\Mozilla Firefox

C:\Users\Paulina\AppData\Roaming\Mozilla

C:\Windows\System32\SupportTool.exe.bat

C:\Windows\¨ú¤

:Services

XDva401

catchme

:Commands

[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Pakiet "Mega Codec Pack" usuwam w brutalny sposób, to może zostawić uszkodzone rejestracje kodeków. Uruchom Codec Tweak Tool i zastosuj funkcję Fixes.

4. Zrób nowy log OTL z opcji Skanuj (bez Extras).

.

Pheobe · 4 Czerwca 2013

Zrobione...

Z Chrome nic już się nie dzieje.

Tylko Opera wciąż odmawia posłuszeństwa (przy ładowaniu strony - nie otwiera się tylko wyświetla okienko "zapisz jako...")

OTL.Txt

plik wyświetlony po restarcie komutera z punktu 2.txt

picasso · 4 Czerwca 2013

Wszystko zrobione. Zanim zadam jednak końcowe czynności:

Tylko Opera wciąż odmawia posłuszeństwa (przy ładowaniu strony - nie otwiera się tylko wyświetla okienko "zapisz jako...")

Niestety OTL nie skanuje preferencji Opery, dlatego nie jestem w stanie stwierdzić co w niej jest zainstalowane. Tylko tyle wiem, że są tu zainstalowane ogólnie wersje:

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Opera 11.11.2109" = Opera 11.11
"Opera 12.15.1748" = Opera 12.15

Proponuję przeinstalować Operę na czysto:

1. W Operze wyeksportuj zakładki. Przez Panel sterowania odinstaluj obie zakreślone wyżej pozycje.

2. Na wszelki wypadek skrypt usuwający potencjalne szczątki. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Program Files\Opera
C:\Users\Paulina\AppData\Local\Opera
C:\Users\Paulina\AppData\Roaming\Opera
C:\Users\Gość\AppData\Local\Opera
C:\Users\Gość\AppData\Roaming\Opera
C:\Windows\operaprefs.ini

:Reg
[-HKEY_CURRENT_USER\Software\Opera Software]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Opera Software]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Clients\Mail\Opera]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Clients\News\Opera]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Opera]

:Commands
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Przedstaw log z wynikami usuwania.

3. Zainstaluj najnowszą Operę, zaimportuj zakładki i podaj co się dzieje.

.

Pheobe · 4 Czerwca 2013

Opera wydaje się w porządku. Wszystko się otwiera. Zakładki działają, poczta też...

Pliczek z logiem z usuwania poniżej

LOGzwynikamiusuwania.txt

picasso · 4 Czerwca 2013

OK. Przechodzimy dalej do końcowych porządków:

1. W systemie jest bardzo stary sterownik ASPI:

DRV - [2002-07-17 16:20:32 | 000,084,832 | ---- | M] (Adaptec) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ASPI32.SYS -- (ASPI)

Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywane ukrytych urządzeń. To ujawni listę "Sterowników niezgodnych z Plug and Play". Na tej liście wyszukaj ASPI i odinstaluj. Zresetuj system, dokasuj ręcznie z dysku powiązany plik (o ile będzie).

2. Na wszelki wypadek sprawdź czy nie ma jakiś śmieci w Harmonogramie zadań Windows (OTL tego nie weryfikuje). Uruchom Autoruns i wejdź do karty Scheduled Tasks. Usuń tam wszystko co będzie mieć stan "not found".

3. Sprzątanie po narzędziach. Przez SHIFT+DEL skasuj wszystkie pliki korekcyjne stworzone ręcznie przy usuwaniu oraz:

C:\CC Support
C:\TDSSKiller_Quarantine
C:\Windows\erdnt
C:\Windows\SetACL.exe

W AdwCleaner uruchom Odinstaluj. W OTL uruchom Sprzątanie (to skasuje też szczątki po nieudolnej próbie uruchomienia ComboFix).

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Zainstaluj Malwarebytes Anti-Malware. Przy instalacji padnie pytanie o typ wersji i wybierz darmową. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

.

Pheobe · 4 Czerwca 2013

Nie mogę odszukać tego sterownika ASPI. Otworzyłam Menedżer urządzeń jako administrator i zaznaczyłam pokaż ukryte urządzenia.

Załączam zrzuty z ekranu.

picasso · 4 Czerwca 2013

Rzeczywiście, nie ma tego. W punkcie 2 w Autoruns będzie dodatkowe zadanie, w karcie Drivers skasuj sterownik ASPI, po tym ręcznie usuń z dysku plik C:\Windows\System32\drivers\ASPI32.SYS.

.

Pheobe · 4 Czerwca 2013

Wszystko zrobione. Trochę długo Malwarebytes Anti-Malware skanował, ale za to znalazł rootkita i trojana.

Przesyłam loga

MBAM-log-2013-06-04 (22-19-30).txt

picasso · 4 Czerwca 2013

Wyniki MBAM są nieistotne, to są wyniki z Kosza systemowego, a konkretnie skasowane komponenty TDSSKiller. Ja wyraźnie mówiłam, by usuwać obiekty utworzone przez narzędzia metodą SHIFT+DEL (omija Kosz). Po prostu opróżnij Kosz. I możemy już kończyć:

1. Wykonaj aktualizacje programów. Konkretnie chodzi mi o te wersje punktowane raportem OTL:

========== HKEY_LOCAL_MACHINE Uninstall List ========== 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java 6 Update 37

"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish

"Microsoft SQL Server 10" = Microsoft SQL Server 2008 R2
 

CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll

Usuń starą Java i Adobe Reader na korzyść najnowszych, zaktualizuj Silverlight w Google Chrome, oraz zainstaluj pakiet SP dla Microsoft SQL Server 2008 R2 (KB2527041).

2. Prewencyjnie zmień hasła logowania w serwisach.

PS. I jeszcze mam dodatkową uwagę na temat Gadu-Gadu 10. Program jest już stary, wiele serwisów w nim zintegrowanych nie działa, a forma straszy po nocach (więcej reklam niż funkcji rzeczywistych). Zainteresuj się albo najnowszym GG11 (jest lepsze niż GG10, jest mniej reklam i nowe funkcje), albo alternatywnymi programami (polecany tu WTW, Kadu, Miranda NG, AQQ). Wszystkie opisy w tym temacie: KLIK.

.

Pheobe · 4 Czerwca 2013

Zainstalowałam nową Jave, Adobe i już działam przy instalacji SP2 do SQLu. Silverlight twierdzi, że nie ma nowych aktualizacji.

Bardzo dawno nie używałam Gadu-Gadu, zastanawiam się, czy całkiem nie skasować tego komunikatora. W praktyce wystarcza mi skype i facebook. Ale fajnie, że do tego nawiązałaś. Zastanowię się jeszcze nad tym WTW.

Dziękuję Ci ślicznie, za pomoc i za to że poświęciłaś tyle czasu. Bez Twojej pomocy długo bym się z tym męczyła i ostatecznie prawdopodobnie bym sformatowała dysk.

Bardzo logicznie wszystko wytłumaczyłaś, że nawet taki laik jak ja wszystko zrozumiał. Całe forum zresztą jest bardzo przystępnie zrobione, wszystkie programy są opisane, niesposób się zgubić. Godne uznania jest to co tu robicie.

Pozdrawiam.

picasso · 4 Czerwca 2013

Silverlight twierdzi, że nie ma nowych aktualizacji.

Wiem, że ogólnie była instalowana najnowsza wersja, gdyż czyszczony uprzednio klucz Firefox pokazywał:

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)

Ale problem tu w tym, że konfiguracja Google Chrome pokazuje, iż przeglądarka odwołuje się do starej wersji:

CHR - plugin: Silverlight Plug-In (Enabled) = c:\Program Files\Microsoft Silverlight\4.1.10111.0\npctrl.dll

Czy stronę pobierania Silverlight otwierałaś z poziomu przeglądarki Google Chrome czy np. Opery? Podaj mi co aktualnie widzi Goole Chrome w opcjach. W pasku adresów przeglądarki wklep chrome://plugins, jaką wersję Silverlight tam widać?

Całe forum zresztą jest bardzo przystępnie zrobione, wszystkie programy są opisane, niesposób się zgubić. Godne uznania jest to co tu robicie.

Dzięki za miłe słowa.

.

Pheobe · 5 Czerwca 2013

W zakładce wtyczek w Chrome wcale nie wyświetla się Silverlight. Nie bardzo wiedziałam, co z tym zrobić więc weszłam przez Chrome na stronkę z najnowszą wersją i ją ściągnęłam. Kiedy chciałam zainstalować wyświetliło się "ta sama wersja jest już zainstalowana" więc instalacji zaniechałam. Nie wiem, czemu w Chrome nie pokazuje się ta wtyczka nawet w starszej wersji.

picasso · 5 Czerwca 2013

Pokaż mi plik Preferences Google Chrome, może ten wpis już zniknął, a jeśli nie, to zedytuję plik i wytnę starą odpadkową wtyczkę z konfiguracji. Zamknij Google Chrome, otwórz eksplorator Windows, w pasku adresów wklep poniższą ścieżkę i ENTER:

C:\Users\Paulina\AppData\Local\Google\Chrome\User Data\Default

W środku jest plik Preferences. Skopiuj go na Pulpit, shostuj gdzieś i podaj link.

.

Pheobe · 5 Czerwca 2013

Proszę bardzo: https://hotfile.com/dl/225726530/443714a/Preferences.html

picasso · 5 Czerwca 2013

Tego już nie ma w pliku Preferences, Google Chrome musiało to w jakiś sposób samodzielnie wywalić:

   },
   "plugins": {
      "enabled_internal_pdf3": true,
      "enabled_nacl": true,
      "last_internal_directory": "C:\\Program Files\\Google\\Chrome\\Application\\27.0.1453.94",
      "migrated_to_pepper_flash": true,
      "plugins_list": [ {
         "enabled": true,
         "name": "Shockwave Flash",
         "path": "C:\\Program Files\\Google\\Chrome\\Application\\27.0.1453.94\\PepperFlash\\pepflashplayer.dll",
         "version": "11.7.700.203"
      }, {
         "enabled": true,
         "name": "Chrome Remote Desktop Viewer",
         "path": "internal-remoting-viewer",
         "version": ""
      }, {
         "enabled": true,
         "name": "Native Client",
         "path": "C:\\Program Files\\Google\\Chrome\\Application\\27.0.1453.94\\ppGoogleNaClPluginChrome.dll",
         "version": ""
      }, {
         "enabled": false,
         "name": "Chrome PDF Viewer",
         "path": "C:\\Program Files\\Google\\Chrome\\Application\\27.0.1453.94\\pdf.dll",
         "version": ""
      }, {
         "enabled": true,
         "name": "Adobe Acrobat",
         "path": "C:\\Program Files\\Adobe\\Reader 11.0\\Reader\\Browser\\nppdf32.dll",
         "version": "11.0.02.0"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin2.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin3.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin4.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin5.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin6.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "QuickTime Plug-in 7.6.9",
         "path": "C:\\Program Files\\QuickTime\\plugins\\npqtplugin7.dll",
         "version": "7.6.9 (1680.9)"
      }, {
         "enabled": true,
         "name": "Java Platform SE 7 U21",
         "path": "C:\\Program Files\\Java\\jre7\\bin\\plugin2\\npjp2.dll",
         "version": "10.21.2.11"
      }, {
         "enabled": true,
         "name": "Shockwave Flash",
         "path": "C:\\Windows\\system32\\Macromed\\Flash\\NPSWF32_11_7_700_202.dll",
         "version": "11,7,700,202"
      }, {
         "enabled": true,
         "name": "Java Deployment Toolkit 7.0.210.11",
         "path": "C:\\Windows\\system32\\npDeployJava1.dll",
         "version": "10.21.2.11"
      }, {
         "enabled": true,
         "name": "Adobe Flash Player"
      }, {
         "enabled": true,
         "name": "Adobe Reader"
      }, {
         "enabled": false,
         "name": "Chrome PDF Viewer"
      }, {
         "enabled": true,
         "name": "Chrome Remote Desktop Viewer"
      }, {
         "enabled": true,
         "name": "Java"
      }, {
         "enabled": true,
         "name": "Native Client"
      }, {
         "enabled": true,
         "name": "QuickTime Player"
      } ],

Myślę, że w kwestii Silverlight jest OK i nie ma się czym zajmować.

Pheobe · 5 Czerwca 2013

To super Jeszcze raz dziękuje za pomoc.

Żałuje, że wcześniej tu nie trafiłam.

Pozdrawiam

Zaloguj się

(ROOTKIT?) Problemy z Operą: nie działają odnośniki; okno "zapisz jako..." podczas ładowania strony

Rekomendowane odpowiedzi

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników