Znikająca Avira w czasie skanu

[arthy]

Objawy:

1.a. Avira w czasie skanu coś wykrywa, ale przed zakończeniem skanowania wyłącza się samoistnie.

b. Nie da się zaktualizować (An error occurred during the file download).

c. Zaczął się pojawiać komunikat o podejrzanej próbie dostępu do rejestru (Untitled1.jpg).

d. Chciałem dać Disable Real-Time Protection przed użyciem GMERa, ale wywaliło komunikato błędzie (Untitled2.jpg).

2. Próby uruchomienia programu Malwarebytes' Anti-Malware kończą się również podobnym komunikatem o błędzie (Untitled.jpg).

3. Po starcie systemu, równocześnie z innymi objawami, zaczął się pojawiać komunikat o błędzie ze skrótem internetowym (Untitled.jpg).

4. Temperatura komputera po starcie, od 2 lat wynosiła 30 stopni, teraz 38-39.

5. Występuje błąd podczas aktualizacji Windosa (Cumulative Security Update for Internet Explorer 11 for Windows 7 for x64-based Systems (KB2909921)), inne aktualizacje w tym samym czasie zakończyły się pomyślnie).
 

Ad-Aware (Full Scan) i tdsskiller (ze wszystkimi parametram włączonymi) nic nie znalazły.

Próba skasowania sptd w rejestrze zakonczyła się pomyślnie, nie wiem dlaczego nie wywaliło mi komunikatu "błąd przy usuwaniu klucza" (Untitled2.jpg).

Próba uruchomienia SecurityCheck (Run as Administrator) skónczyła się komunikatem o błędzie (Untitled3.jpg).

FRST.txt

Addition.txt

OTL.Txt

Extras.Txt

GMER 2.1.19357.txt

[picasso]

Próba skasowania sptd w rejestrze zakonczyła się pomyślnie, nie wiem dlaczego nie wywaliło mi komunikatu "błąd przy usuwaniu klucza" (Untitled2.jpg).

Najwyraźniej usuwałeś SPTD już po skanie FRST, gdyż w FRST sterownik SPTD jest w formie czynnej:

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [564824 2013-06-15] (Duplex Secure Ltd.)

U3 aqfbvqac; C:\Windows\System32\Drivers\aqfbvqac.sys [0 ] (Advanced Micro Devices)

 

Jest tu poważna infekcja, która blokuje uruchamianie programów zabezpieczających i je uszkadza oraz próbuje resetować uprawnienia obiektów, które się uruchamia / dotyka. Infekcja prawdpodobnie nabyta przez crack. Co pobierałeś i uruchamiałeś ostatnio z tej kategorii? Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

() C:\ProgramData\NTKernel\nt32.exe
(Microsoft Corporation) C:\Windows\SysWOW64\WScript.exe
C:\ProgramData\load32.exe
C:\ProgramData\392817338.vbs
C:\ProgramData\{$5365-6581-2698-7441-1850$}
C:\ProgramData\NTKernel
C:\Program Files (x86)\Mobogenie
C:\Users\Artur Machnicki\Documents\315load32.exe
C:\Users\Artur Machnicki\AppData\Local\genienext
C:\Users\Artur Machnicki\AppData\Local\Mobogenie
C:\Users\Artur Machnicki\AppData\Roaming\ATI
C:\Users\Artur Machnicki\AppData\Roaming\system.ini
HKLM\...\Run: [sBRegRebootCleaner] - "C:\Program Files (x86)\Ad-Aware Antivirus\SBRC.exe"
HKLM-x32\...\Run: [Ad-Aware Browsing Protection] - C:\ProgramData\Ad-Aware Browsing Protection\adawarebp.exe [0 2014-02-10] ()
HKLM-x32\...\Run: [Ad-Aware Antivirus] - "C:\Program Files (x86)\Ad-Aware Antivirus\AdAwareLauncher" --windows-run
HKLM-x32\...\Run: [iSaverCtrl] - "C:\Program Files (x86)\iSaver\iSaverCtrl.exe" --startup
HKLM-x32\...\Run: [mobilegeni daemon] - C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [NT Kernel Service] - C:\ProgramData\NTKernel\nt32.exe -rundll32 /SYSTEM32 "C:\Windows\System32\taskmgr.exe" "C:\Program Files\Microsoft\Windows"
HKU\S-1-5-21-1555391868-1872542918-1764165259-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\NTKernel\nt32.exe 
HKU\S-1-5-21-1555391868-1872542918-1764165259-1000\...\Winlogon: [shell] explorer.exe,"C:\ProgramData\load32.exe" [319488 2014-02-09] () 
IFEO\AvastSvc.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\AvastUI.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgcsrvx.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgidsagent.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgrsx.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgwdsvc.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avp.exe: [Debugger] euaie.exe
IFEO\bdagent.exe: [Debugger] euaie.exe
IFEO\ccuac.exe: [Debugger] euaie.exe
IFEO\ComboFix.exe: [Debugger] euaie.exe
IFEO\egui.exe: [Debugger] euaie.exe
IFEO\hijackthis.exe: [Debugger] euaie.exe
IFEO\instup.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\keyscrambler.exe: [Debugger] euaie.exe
IFEO\mbam.exe: [Debugger] euaie.exe
IFEO\mbamgui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\mbampt.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\mbamscheduler.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\mbamservice.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\MpCmdRun.exe: [Debugger] euaie.exe
IFEO\MSASCui.exe: [Debugger] euaie.exe
IFEO\MsMpEng.exe: [Debugger] euaie.exe
IFEO\msseces.exe: [Debugger] euaie.exe
IFEO\rstrui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\spybotsd.exe: [Debugger] euaie.exe
IFEO\wireshark.exe: [Debugger] euaie.exe
IFEO\zlclient.exe: [Debugger] euaie.exe
Startup: C:\Users\Artur Machnicki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Update.Microsoft.com.url ()
Startup: C:\Users\Artur Machnicki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows.ini.url ()
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=ST1000DM003-9YN162_Z1D0JDRF____Z1D0JDRF&ts=1361878551
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v9.com/?utm_source=b&utm_medium=fft-1&from=fft-1&uid=ST1000DM003-9YN162_Z1D0JDRF____Z1D0JDRF&ts=1361878551
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.v9.com/web/?q={searchTerms}
SearchScopes: HKCU - {B0ADBAC7-AE88-4EDF-AB11-41397ADE9100} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=e2419489-7227-409f-9c5e-095c90e69efa&apn_sauid=739310FC-BE88-4516-8212-0C0D0DDDC73A
FF SearchEngineOrder.1: Ask.com
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\61482591.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\61482591.sys => ""="Driver"
File: C:\Windows\system32\vbscript.dll
File: C:\Windows\SysWOW64\vbscript.dll
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Script Host" /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Przejdź w Tryb normalny Windows. Zrób nowe skany FRST (bez Addition) i GMER. Dołącz też plik fixlog.txt.

 

 

 

.

[picasso]

Uwaga: nie wykonuj podanych wyżej instrukcji, a jeśli je przetworzyłeś, to bootuj do WinRE, by zrobić nowy raport z FRST: KLIK.

 

Znalazłam instalator tej infekcji i przećwiczyłam jej usuwanie. Jest gorzej niż sądziłam. Infekcja resetuje uprawnienia obiektów które się próbuje dotykać. Fiks FRST wykonuje się pozornie na poziomie kluczy Image File Execution Options, a w rzeczywistości cały klucz jest kompletnie blokowany. Po restarcie nie można już wejść do Windows. I trzeba bootować do RE, by ręcznie resetować uprawnienia.

 

 

 

.

[arthy]

No i niestety tak się stało.

Ale po kolei. Po pierwszym moim poście w czasie wyłączania systemu przy ekranie "shutting down" pojawil się blue screen, później jednak system wystartował normalnie. Na nieszczęście zastosowałem się do podanych instrukcji po przejściu w safe mode, po tym, każdy restart skutkuje blue screenem, który po kilku sekundach znika (jakieś procenty lecą na dole strony dumping physical memory to disk) i pojawia się wybór startu normalnego, albo launch startup repair, co bym nie zrobił jest restart, blue screen i tak w kółko.

Czy da sie się tu coś jescze uratować?

 

p.s.

Do mnie trzeba dość łopatologicznie, część rzeczy, które wyżej napisałaś nie rozumiem, przewyższają moją wiedzę (np. co to znaczy bootuj do WinRE).

[picasso]

Przecież podałam Ci link jak masz uruchomić FRST z poziomu środowiska zewnętrznego WinRE: KLIK. Masz wejść w link, przeczytać instrukcję i ją wdrożyć dostarczając wynikowy log. Otrzymam raport i przejdę do dzieła rekonstrukcji uprawnień. Wiem co należy zrobić, gdyż dziś całą noc spędziłam na testach.

 

 

 

.

[arthy]

Mój błąd, musiałem się przesiąść na laptopa, na którym niewiele widzę. Na razie mam problem z dostępem do WinRE, bo F8 nie działa, a start z płyty instalacyjnej skutuje ostatecznie komunikatem "this version of system recovery options is not compatibile with the version of windows you are trying to repair.(..)" co dla mnie laika jest dość dziwne zwłaszcza, że to płyta, z której był instalowany ten windows. Na razie jestem na etapie tworzenia windows recovery disk, ale jak widać strasznie wolno to idzie.

[arthy]

Pradopodobnie udało mi się zrobić log, ale nie odybyło się to dokładnie jak w opisie. Iso z WinRE z podanego tu źródła nie wiem dlaczego, ale nie mogłem nagrać na płytę. Ściągnięte z innego miejsca nagrało się bez problemu. Przy uruchomieniu frst64 nie wiem czemu nie pojawiła się EULA (frst64 oczywiście ściągnięty ze źródła podanego tu na forum). Ponadto na screenach w tutorialu w frst są opcje scan, fix itd, u mnie było jeszcze na dole 9 pól do odfajkowania, oczywiście nic nie ruszałem, zostawiłem tak jak było.

FRST.txt

[picasso]

Przy uruchomieniu frst64 nie wiem czemu nie pojawiła się EULA (frst64 oczywiście ściągnięty ze źródła podanego tu na forum). Ponadto na screenach w tutorialu w frst są opcje scan, fix itd, u mnie było jeszcze na dole 9 pól do odfajkowania, oczywiście nic nie ruszałem, zostawiłem tak jak było.

- EULA brak, bo FRST był już wcześniej uruchamiany spod Windows.

- Opcje są inne, bo pisałam instrukcję w momencie, gdy narzędzie nie działało jeszcze spod Windows. Po wprowadzeniu obsługi spod Windows opcje narzędzia są takie same w obu środowiskach, ale część i tak nie działa w WinRE (opcje Internet i Addition).

 

 

Pierwszy krok to będzie sprawdzenie i nałożenie wymazanych uprawnień. Widzę, że w użyciu jest pendrive F: i to na nim będą zapisywane wymagane narzędzia:

 

Running from F:\
 

==================== Drives ================================
 

Drive f: (KINGSTON) (Removable) (Total:29.81 GB) (Free:11.25 GB) FAT32

 

 

Przeprowadź następujące działania:

 

1. Pobierz SetACL: KLIK (na samym spodzie strony "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows."). Rozpakuj i z folderu 64-bit przenieś plik SetACL.exe wprost na pendrive, czyli spod WinRE ma być dostępna ścieżka F:\SetACL.exe.

 

2. Otwórz Notatnik i wklej w nim:

 

C:\NTKernel
C:\ProgramData\load32.vbs
HKLM-x32\...\Run: [NT Kernel Service] - C:\NTKernel\nt32.exe -rundll32 /SYSTEM32 "C:\Windows\System32\taskmgr.exe" "C:\Program Files\Microsoft\Windows"
Unlock: C:\Users\Artur Machnicki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\Users\Artur Machnicki\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows.ini.url
Unlock: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
IFEO\AvastSvc.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\AvastUI.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgcsrvx.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgidsagent.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgrsx.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avgwdsvc.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\avp.exe: [Debugger] euaie.exe
IFEO\bdagent.exe: [Debugger] euaie.exe
IFEO\ccuac.exe: [Debugger] euaie.exe
IFEO\ComboFix.exe: [Debugger] euaie.exe
IFEO\egui.exe: [Debugger] euaie.exe
IFEO\hijackthis.exe: [Debugger] euaie.exe
IFEO\instup.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\keyscrambler.exe: [Debugger] euaie.exe
IFEO\mbam.exe: [Debugger] euaie.exe
IFEO\mbamgui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\mbampt.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\mbamscheduler.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\mbamservice.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\MpCmdRun.exe: [Debugger] euaie.exe
IFEO\MSASCui.exe: [Debugger] euaie.exe
IFEO\MsMpEng.exe: [Debugger] euaie.exe
IFEO\msseces.exe: [Debugger] euaie.exe
IFEO\rstrui.exe: [Debugger] C:\Users\Artur Machnicki\Documents\315load32.exe
IFEO\spybotsd.exe: [Debugger] euaie.exe
IFEO\wireshark.exe: [Debugger] euaie.exe
IFEO\zlclient.exe: [Debugger] euaie.exe
Reg: reg add HKLM\SYSTEM\ControlSet001\Services\Schedule /v Start /t REG_DWORD /d 0x2 /f
CMD: reg load HKU\Temp "C:\Users\Artur Machnicki\NTUSER.DAT"
CMD: reg query "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
CMD: reg query "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Windows"
CMD: F:\SetACL.exe -on "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" -ot reg -actn setprot -op "dacl:np"
CMD: F:\SetACL.exe -on "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Windows" -ot reg -actn setprot -op "dacl:np"
CMD: reg query "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Winlogon"
CMD: reg query "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Windows"
CMD: reg delete "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f
CMD: reg add "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "" /f
CMD: reg unload HKU\Temp

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść na pendrive tam gdzie siedzi FRST. Czyli spod WinRE ma być dostępna ścieżka F:\fixlist.txt.

 

3. Zbootuj do WinRE, uruchom FRST i kliknij w Fix. Na pendrive F:\ powstanie plik fixlog.txt.

 

4. Nie wchodź jeszcze do Windows. Zrób nowy skan FRST spod WinRE. Dołącz też wynikowy plik fixlog.txt.

 

 

 

.

[arthy]

Nie wiem jakim cudem pendrive zmienił się z f:\ na g:\ (nie dotykam komutera bez Twoich wytycznych:), ale nieopatrznie i tak zrobiłem fix, a domyślam się, że skrypt musi ulec zmianie o ile nie popsułem czegość jeszcze bardziej.

Fixlog.txt

[picasso]

1. Skoro pendrive jest pod G, to zrób nowy poprawkowy fiks o zawartości:

 

CMD: reg load HKU\Temp "C:\Users\Artur Machnicki\NTUSER.DAT"
CMD: G:\SetACL.exe -on "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" -ot reg -actn setprot -op "dacl:np"
CMD: G:\SetACL.exe -on "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Windows" -ot reg -actn setprot -op "dacl:np"
CMD: reg delete "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Shell /f
CMD: reg add "HKU\Temp\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v Load /t REG_SZ /d "" /f
CMD: reg unload HKU\Temp

 

Przedstaw wynikowy fixlog.txt.

 

2. Zrób nowy skan FRST (nie wchodź jeszcze do Windows).

 

 

 

.

[arthy]

znów nie mogłem postąpić wg instrukcji, ponieważ pendrive wrócił na f:\ więc uruchomiłem fix ze skryptem przeznaczonym na pena pod f:\ (oczywiście nie wiem czy dobrze zrobiłem).

Fixlog.txt

FRST.txt

[picasso]

arthy, postępowanie jest błędne, nie uruchamia się starych przeterminowanych skryptów nie pasujących do sytuacji (mówią o tym nawet zasady działu). Został podany konkretny drugi skrypt adresujący zmiany zaszłe po uruchomieniu poprzedniego skryptu. Skoro pendrive został przemapowany na inną literę wystarczyło w skrypcie wymienić literkę G:\SetACL.exe na F:\SetACL.exe.

 

Zadania wykonane. Teraz:

 

1. Zaloguj się normalnie do Windows. Odinstaluj programy Avira i Ad-aware (potem jeden z nich zostanie przeinstalowany).

 

2. Pobierz najnowszy FRST i zrób nowe logi. Pole Addition ma być zaznaczone, by powstały dwa logi.

 

 

 

.

[arthy]

Ad-Aware wywalił jakiś błąd przy uninstall (untitled1.jpg), dotknięcie katalogu z Ad-Aware również dało komunikat błędu (untitled.jpg). Logi tak czy tak porobiłem.

FRST.txt

Addition.txt

[picasso]

Infekcja wyczyściła uprawnienia folderu C:\Program files (x86)\Ad-Aware Antivirus.

 

1. Uruchom GrantPerms x64 i w oknie wklej:

 

C:\Program files (x86)\Ad-Aware Antivirus

 

Klik w Unlock.

 

2. Ponów próbę deinstalacji Ad-Aware. Jeśli się uda, zrób nowy log z FRST.

 

 

.

[arthy]

Nie zadziałało, pojawia się ten sam błąd przy próbie deinstalacji Ad-Aware

[arthy]

Chyba jednak się udało, ale pewnych wydarzeń nie rozumiem. W katalogu Ad-Aware były3 katalogi i 3 pliki, potem zrobiło się tego więcej w jakiś dla mnie magiczny sposób, samoistnie pojawił się też skrót do Ad-Aware na pulpicie, spróbowałem po tym jeszcze raz odinstalować i się udało (chyba).

FRST.txt

Addition.txt

[picasso]

W katalogu Ad-Aware były3 katalogi i 3 pliki, potem zrobiło się tego więcej w jakiś dla mnie magiczny sposób, samoistnie pojawił się też skrót do Ad-Aware na pulpicie, spróbowałem po tym jeszcze raz odinstalować i się udało (chyba).

Brak widoczności plików nie oznacza, że ich nie ma. Pliki mogły być zablokowane przez uprawnienia. Zadałam GrantPerms, on mógł uwidocznić pliki. Być może dodatkowo Ad-adware się reinstalowało samoczynnie po odblokowaniu dostępu.

 

Wg ostatnich raportów wynika jednak, że Ad-aware nie zostało zbyt dokładnie odinstalowane. Poprawki na szczątki programowe:

 

1. Otwórz Notatnik i wklej w nim:

 

BHO-x32: No Name - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No File
Toolbar: HKLM-x32 - No Name - {6c97a91e-4524-4019-86af-2aa2d567bf5c} - No File
S3 gfiark; C:\Windows\System32\drivers\gfiark.sys [39504 2013-04-11] (ThreatTrack Security)
R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [14456 2013-05-28] (GFI Software)
S3 Lavasoft Kernexplorer; C:\Program Files (x86)\Lavasoft\Ad-Aware\KernExplorer64.sys [17152 2012-02-29] ()
S1 SBRE; \??\C:\Windows\system32\drivers\SBREdrv.sys [X]
Task: {B22A9922-3460-48A6-9031-4B7EC3FE614B} - System32\Tasks\RegAce Scheduled Scan - Artur Machnicki => C:\Program Files (x86)\RegAce System Suite\RegAce.exe
Task: {C2867CAA-C07B-4477-BD42-2B41A1DADD3F} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
Task: C:\Windows\Tasks\RegAce Scheduled Scan - Artur Machnicki.job => C:\Program Files (x86)\RegAce System Suite\RegAce.exe
C:\Program Files (x86)\Avira
C:\Program Files (x86)\Lavasoft
C:\ProgramData\Avira
C:\Users\Artur Machnicki\AppData\Local\AviraResume
C:\Windows\System32\drivers\gfiark.sys
C:\Windows\System32\drivers\gfibto.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[arthy]

zrobione

Fixlog.txt

FRST.txt

[picasso]

Skrypt został pomyślnie przetworzony. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Następnie przez SHIFT+DEL skasuj cały folder C:\FRST.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zainstaluj wybranego antywirusa (jednego!) i zrób za jego pomocą pełny skan systemu. Zgłoś się tu z wynikami akcji.

 

 

.

[arthy]

1. Użyłem Malwarebytes' Anti-Malware - coś znalazł (załączony log).

2. Użyłem również tdsskiller - nic nie znalazl.

3. Wcześniej używałem Ad-Aware i Avira, chciałem się Ciebie poradzić, który z nich zainstalować, czy może w ogóle jakiś inny program, co polecasz?

4. Czemu nie mogę usunąć katalogu, którego program wcześniej odinstalowałem? (Untitled)

5. Chciałem zainstalować Malwarebytes Anti-Rootkit (MBAR), na początku pojawia się komunikat (Untitled1), którą opcję należy wybrać?

 

Wiem, że robię offtop, ale chyba nie ma sensu dla takich krótkich pytań zakładać nowych tematów

mbam-log-2014-02-22 (15-51-19).txt

[picasso]

Wiem, że robię offtop, ale chyba nie ma sensu dla takich krótkich pytań zakładać nowych tematów

Skądże znowu. Te pytania są wynikiem leczenia po infekcji i wręcz nie powinny znaleźć się w osobnych tematach.

 

 

Użyłem również tdsskiller - nic nie znalazl.

Już był tu oceniany GMER, więc nawet nie podawałam, by skorzystać z TDSSKiller (nic nie powinien wykryć).

 

 

Użyłem Malwarebytes' Anti-Malware - coś znalazł (załączony log).

Program wykrył raczej oczywistą rzecz, tzn. "kombinację" łamiącą aktywację Windows 7.

 

 

Czemu nie mogę usunąć katalogu, którego program wcześniej odinstalowałem? (Untitled)

To prawdopodobnie skutki po infekcji (wyczyszczone uprawnienia folderu). Posłuż się ponownie GrantPerms, wklej w nim ścieżkę do tego folderu i klik w Unlock.

 

 

Chciałem zainstalować Malwarebytes Anti-Rootkit (MBAR), na początku pojawia się komunikat (Untitled1), którą opcję należy wybrać?

Wybierz "No". Raportowana modyfikacja AppInit_DLLs jest w porządku, zawiera odnośniki do poprawnych aplikacji Lucidlogix i nVidia:

 

AppInit_DLLs: C:\Windows\system32\appinit_dll.dll,C:\Windows\system32\nvinitx.dll => C:\Windows\system32\nvinitx.dll [168616 2013-11-23] (NVIDIA Corporation)

AppInit_DLLs-x32: C:\Windows\SysWOW64\appinit_dll.dll, => C:\Windows\SysWOW64\appinit_dll.dll [411936 2012-04-22] (Lucidlogix Inc.)

 

Wcześniej używałem Ad-Aware i Avira, chciałem się Ciebie poradzić, który z nich zainstalować, czy może w ogóle jakiś inny program, co polecasz?

Jeśli chodzi o wcześniejsze połączenie, to były to dwa antywirusy, czego nie powinno się robić (obciążenie systemu i konflikty). Ad-aware tylko formalnie zachowało historyczną nazwę sugerującą inny typ zadań. Avira mnie nieco odstręcza ze względu na bezczelne wykorzystanie przymusowego sponsora "Ask" pod przykrywką opcji osłony sieci Web (by pozyskać tę funkcję, należy wyrazić zgodę na rekonfigurację przeglądarek).

Ogólnie jednak, cokolwiek dobierzesz z puli popularnych antywirusów będzie OK.

 

 

 

 

.

[arthy]

Jeśli chodzi o ten katalog, którego nie mogę usunąć to dalej jest tak samo (Untitled).

Program mbar-1.07.0.1009 nic nie wykrył (ja nie rozróżniam, które tego typu programy pokrywają się funkcjami)

Zainstalowałem jednak Avirę (też nic wykryła) i w związku z tym mam kolejne pytania. Czemu opcja firewall jest nieaktywna? Fix problem odsyła do ustawień windowsa, a tam po kliku w recommended settings wyskakuje błąd (Untitled1). Co się dzieje, co z tym zrobić?

[picasso]

Jeśli chodzi o ten katalog, którego nie mogę usunąć to dalej jest tak samo (Untitled).

GrantPerms był zastartowany kontekstową opcją "Uruchom jako Administrator"? Czy w tym zablokowanym folderze są jakieś pod-składniki? Jeśli tak, to w oknie GrantPerms wklej także ścieżki składników.

 

 

Czemu opcja firewall jest nieaktywna? Fix problem odsyła do ustawień windowsa, a tam po kliku w recommended settings wyskakuje błąd (Untitled1). Co się dzieje, co z tym zrobić?

Błąd sugeruje albo wyłączoną usługę Zapory, albo brak uprawnień specjalnych kont systemowych w tym miejscu. Wstępnie podaj log z Farbar Service Scanner.

 

 

 

.

[arthy]

Katalog ma jeden podkatalog, w którym jest jeden plik (Untitled).

 

FSS.txt

[picasso]

1. Wg raportu FSS masz rozwalony układ usług Windows: zdewastowane usługi Zapory systemu Windows i powiązanego Podstawowego aparatu filtrowania, Centrum zabezpieczeń, Windows Defender i Pomoc IP. Zastosuj ServicesRepair, zresetuj system i zrób nowy log z Farbar Service Scanner.

 

2. Jeśli chodzi o zablokowany folder, wklej do GrantPerms poniższą strukturę:

 

C:\Program Files (x86)\Tweaking.com Windows Repair (All in One)\Logs\Repair_Windows_Firewall.txt
C:\Program Files (x86)\Tweaking.com Windows Repair (All in One)\Logs
C:\Program Files (x86)\Tweaking.com Windows Repair (All in One)

 

 

.