psyhospider Opublikowano 28 Września 2014 Zgłoś Udostępnij Opublikowano 28 Września 2014 Witam serdecznie Występuje u mnie taki problem że nie mogę włączyć Windows Defender ani zainstalować żadnego antywirusa. Od początku nie działa także aplikacja metro. Komputer niestety nie posiada instalki windowsa więc nie mogę przywrócić systemu.Bardzo proszę o pomoc. OTL.Txt Extras.Txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Rucek Opublikowano 28 Września 2014 Zgłoś Udostępnij Opublikowano 28 Września 2014 Sprobuj jeszcze zrobic log GMER. Może sie przydac. Tutaj masz instrukcje: https://www.fixitpc.pl/topic/60-diagnostyka-infekcje-typu-rootkit/?do=findComment&comment=318 Odnośnik do komentarza
psyhospider Opublikowano 28 Września 2014 Autor Zgłoś Udostępnij Opublikowano 28 Września 2014 Próbowałem, niestety GMER po kilku sekundach przestaje działać, dlatego go nie zamieściłem. Odnośnik do komentarza
Rucek Opublikowano 28 Września 2014 Zgłoś Udostępnij Opublikowano 28 Września 2014 zapoznawałeś się z tym: https://www.fixitpc.pl/forum-38/announcement-2-ważne-oprogramowanie-emulujące-napędy/? przeczytaj, mozliwe ze to jest przyczyną, dodatkowo jeszcze w trybie awaryjnym spróbuj odpalić gmera Odnośnik do komentarza
psyhospider Opublikowano 28 Września 2014 Autor Zgłoś Udostępnij Opublikowano 28 Września 2014 Udało się wielkie dzięki za pomoc. gmer.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 GMER i tak zrobiony w złych warunkach, widać w nim aktywność DAEMON Tools Lite. Jeśli chodzi o problem zasadniczy, to w systemie są ślady infekcji trojanem MSIL/Injector, który blokuje skanery i Przywracanie systemu, wyłącza Harmonogram zadań oraz resetuje uprawnienia różnych obiektów. Tu infekcja zdaje się być w formie szczątkowej, ale blokady się ostały. Prócz tego są różne ślady adware. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware SiteFinder. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib) S3 ESETOlmarikOlmascoCleaner; C:\Windows\system32\Drivers\ESETOlmarikOlmascoCleaner.sys [157384 2014-07-30] () HKU\S-1-5-21-3227529036-3496675472-4090108443-1001\...\Winlogon: [shell] explorer.exe, AppInit_DLLs: °L7 => °L7 File Not Found AppInit_DLLs-x32: ŘŢâö => "ŘŢâö" File Not Found IFEO\AvastSvc.exe: [Debugger] nqij.exe IFEO\AvastUI.exe: [Debugger] nqij.exe IFEO\avcenter.exe: [Debugger] nqij.exe IFEO\avconfig.exe: [Debugger] nqij.exe IFEO\avgcsrvx.exe: [Debugger] nqij.exe IFEO\avgidsagent.exe: [Debugger] nqij.exe IFEO\avgnt.exe: [Debugger] nqij.exe IFEO\avgrsx.exe: [Debugger] nqij.exe IFEO\avguard.exe: [Debugger] nqij.exe IFEO\avgui.exe: [Debugger] nqij.exe IFEO\avgwdsvc.exe: [Debugger] nqij.exe IFEO\avp.exe: [Debugger] nqij.exe IFEO\avscan.exe: [Debugger] nqij.exe IFEO\bdagent.exe: [Debugger] nqij.exe IFEO\blindman.exe: [Debugger] nqij.exe IFEO\ccuac.exe: [Debugger] nqij.exe IFEO\ComboFix.exe: [Debugger] nqij.exe IFEO\egui.exe: [Debugger] nqij.exe IFEO\hijackthis.exe: [Debugger] nqij.exe IFEO\instup.exe: [Debugger] nqij.exe IFEO\keyscrambler.exe: [Debugger] nqij.exe IFEO\mbam.exe: [Debugger] nqij.exe IFEO\mbamgui.exe: [Debugger] nqij.exe IFEO\mbampt.exe: [Debugger] nqij.exe IFEO\mbamscheduler.exe: [Debugger] nqij.exe IFEO\mbamservice.exe: [Debugger] nqij.exe IFEO\MpCmdRun.exe: [Debugger] nqij.exe IFEO\MSASCui.exe: [Debugger] nqij.exe IFEO\MsMpEng.exe: [Debugger] nqij.exe IFEO\msseces.exe: [Debugger] nqij.exe IFEO\rstrui.exe: [Debugger] nqij.exe IFEO\SDFiles.exe: [Debugger] nqij.exe IFEO\SDMain.exe: [Debugger] nqij.exe IFEO\SDWinSec.exe: [Debugger] nqij.exe IFEO\spybotsd.exe: [Debugger] nqij.exe IFEO\wireshark.exe: [Debugger] nqij.exe IFEO\zlclient.exe: [Debugger] nqij.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.3.0.12 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.3.0.12 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 - DefaultScope value is missing. BHO: No Name -> {D35A64A0-B744-A172-0061-26EC45627EB4} -> No File BHO-x32: No Name -> {D35A64A0-B744-A172-0061-26EC45627EB4} -> No File FF NewTab: chrome://quick_start/content/index.html CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CustomCLSID: HKU\S-1-5-21-3227529036-3496675472-4090108443-1001_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Komputronik\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ESETOlmarikOlmascoCleaner => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ESETOlmarikOlmascoCleaner.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ESETOlmarikOlmascoCleaner => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ESETOlmarikOlmascoCleaner.sys => ""="Driver" Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v cssrrs /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v cssrrs /f Reg: reg query "HKCU\Software\Microsoft\Windows Script" /s Reg: reg query "HKCU\Software\Microsoft\Windows Script Host" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Schedule /s C:\ProgramData\TEMP C:\Users\Komputronik\AppData\Roaming\msconfig.ini C:\Users\Komputronik\AppData\Roaming\3909 C:\Users\Komputronik\AppData\Roaming\AVG C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys C:\Windows\system32\Drivers\ESETOlmarikOlmascoCleaner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Podane tu logi pochodzą z konta Adam. Jest tu jednak więcej niż jedno konto: ========================= Accounts: ========================== Adam (S-1-5-21-3227529036-3496675472-4090108443 - Administrator - Enabled) Agnieszka (S-1-5-21-3227529036-3496675472-4090108443-1002 - Limited - Enabled) => C:\Users\Agnieszka Gosia (S-1-5-21-3227529036-3496675472-4090108443-1003 - Limited - Enabled) => C:\Users\Gosia Proszę po kolei zaloguj się na każde (restart komputera > logujesz się na wybrane a nie przez opcję przełączania użytkowników), na każdym uruchamiasz FRST ale nie przez opcję "Uruchom jako Administrator" tylko po prostu przez dwuklik i robisz nowe logi z opcji Scan (pole Addition ma być zaznaczone). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
psyhospider Opublikowano 29 Września 2014 Autor Zgłoś Udostępnij Opublikowano 29 Września 2014 Oto pliki,tylko fixlog.txt zniknął. Pliku nie kasowałem a nigdzie go nie ma. Defender działa, także aplikacja metro. Był w koszu na innym koncie. Przepraszam, już dodaję źle zrozumiałem. FRST(aga).txt FRST(gosia).txt Fixlog.txt Addition(gosia).txt Addition(aga).txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 Poprawki, które wykonujesz będąc zalogowanym na danym koncie: ADAM: 1. Otwórz Notatnik i wklej w nim: URLSearchHook: HKLM-x32 - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} Reg: reg delete "HKCU\Software\Microsoft\Windows Script Host" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go zanim kolejne działania poniżej go nadpiszą. 2. Dodatkowo, zrób mi jeszcze log z programu UserProfilesView. AGNIESZKA 1. Firefox jest mocno zanieczyszczony adware. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj odpadek Norton Identity Protection. 3. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.3.0.12 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). GOSIA 1. Firefox również zanieczyszczony adware. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware save net, SNT, YoutubeAdblocker. 3. Otwórz Notatnik i wklej w nim: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.3.0.12 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). . Odnośnik do komentarza
psyhospider Opublikowano 29 Września 2014 Autor Zgłoś Udostępnij Opublikowano 29 Września 2014 Wszystko zrobiłem, w Chromie tych adware nie było, jednak Chrome zostanie odinstalowany. Fixlog(aga).txt Fixlog(gosia).txt Fixlog.txt FRST(aga).txt FRST(gosia).txt logUPV.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2014 Zgłoś Udostępnij Opublikowano 29 Września 2014 Wszystko zrobiłem, w Chromie tych adware nie było, jednak Chrome zostanie odinstalowany. Na koncie Gosia nadal widać adware w Google Chrome. Skoro Chrome zostanie odinstalowany, to doczyścisz ręcznie. Wszystkie operacje z poziomu konta Adam: 1. Odinstaluj Google Chrome, bo to globalna instalacja. Przy deinstalacji potwierdź usuwanie danych użytkownika. Po tym sprawdź czy zostały poniższe katalogi na dysku i te przez SHIFT+DEL skasuj: C:\Users\Agnieszka\AppData\Local\Google C:\Users\Gosia\AppData\Local\Google C:\Users\Komputronik\AppData\Local\Google 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Users\Agnieszka\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Gosia\Desktop\Stare dane programu Firefox DeleteQuarantine: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Dostarcz wynikowy fixlog.txt. 3. Jeszcze poproszę po raz kolejny o log FRST z Adama. Pobierz nową wersję FRST, następnie uruchom FRST, zaznacz pole Addition i tylko ten log Addition mi dostarcz. . Odnośnik do komentarza
psyhospider Opublikowano 29 Września 2014 Autor Zgłoś Udostępnij Opublikowano 29 Września 2014 Wszystko zrobione, podczas uruchomienia FRST windows próbował zablokować program. I jeszcze jedna prośba, komputer jest w miarę nowy (z jakiej firmy to już wiadomo), ma ok 5 miesięcy. Od pierwszego dnia były z nim problemy. Co mogło być przyczyną? Nieudolna instalacja windows? Aplikacje metro uruchomiły się pierwszy raz po Twojej interwencji, windows defender także nie działał i nawet nie wiem co jeszcze. Fixlog.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 30 Września 2014 Zgłoś Udostępnij Opublikowano 30 Września 2014 Wszystko wygląda na przetworzone. Kroki końcowe z poziomu konta Adam: 1. Ręcznie usuń pobrane narzędzia z folderu D:\Nowy folder. Popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj Java 7 Update 55 (wersja 32-bit) do najnowszej wersji. I jeszcze jedna prośba, komputer jest w miarę nowy (z jakiej firmy to już wiadomo), ma ok 5 miesięcy. Od pierwszego dnia były z nim problemy. Co mogło być przyczyną? Nieudolna instalacja windows? Aplikacje metro uruchomiły się pierwszy raz po Twojej interwencji, windows defender także nie działał i nawet nie wiem co jeszcze. vs. Jeśli chodzi o problem zasadniczy, to w systemie są ślady infekcji trojanem MSIL/Injector, który blokuje skanery i Przywracanie systemu, wyłącza Harmonogram zadań oraz resetuje uprawnienia różnych obiektów. Tu infekcja zdaje się być w formie szczątkowej, ale blokady się ostały. Prócz tego są różne ślady adware. Windows Defender i multum innych skanerów jawnie blokowane przez wpisy infekcji MSIL/Injector (cała litania IFEO w początkowym logu FRST). Problem Metro niejasny, ale były czynne obiekty adware i całkiem możliwe, że to miało powiązanie. Operacje zalecone pod kątem usuwania wymienianych elementów pomogły na wszystkie usterki, więc to była przyczyna problemów. Nabyta przyczyna. Tu czas nie jest żadnym wyznacznikiem, system można załatwić zaledwie kilka minut od postawienia, jeśli się uruchomi niepożądany pobrany ręcznie instalator. MSIL/Injector to głównie infekcja charakterystyczna dla cracków. Adware weszło zaś tymi metodami: KLIK. . Odnośnik do komentarza
psyhospider Opublikowano 30 Września 2014 Autor Zgłoś Udostępnij Opublikowano 30 Września 2014 Dziękuję serdecznie za pomoc. Ostatnie kroki zostały wykonane. Odnośnik do komentarza
Rekomendowane odpowiedzi