PC świeżo po formacie partycji systemowej (druga nie ruszana). Wystąpiło kilka problemów przy instalacji sterowników, ale jakoś dałem radę. Przy próbie edycji rejestru wywala komunikat o tym, ze administrator zablokował taką możliwość. Próbowałem dwóch sposobów jak to pokonać, i nie pomogły. Pozostaje infekcja. Załączam OTL + FRST.
Przeskanuj programem Malwarebytes Anti-Malware http://data-cdn.mbamupdates.com/v2/mbam/consumer/data/mbam-setup-2.0.2.1012.exe
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
Język PL > Settings > General Settings > Language > Polish
Pokaż nowe logi z FRST.
Tak.Otwórz Notatnik i wklej:
HKLM\...\Winlogon: [Shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x] ()
Winlogon\Notify\WgaLogon: WgaLogon.dll [X]
HKU\S-1-5-21-527237240-1682526488-1801674531-1004\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\smss.exe [42713 2010-11-04] ()
HKU\S-1-5-21-527237240-1682526488-1801674531-1004\...\Policies\system: [DisableRegistryTools] 1
S3 igfx; system32\DRIVERS\igdkmd32.sys [X]
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
2014-07-22 20:29 - 2014-07-22 20:29 - 00012393 _____ () C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin
2014-07-22 20:28 - 2014-07-22 20:28 - 00000000 ____ D () C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-22
2014-07-22 19:12 - 2014-07-22 19:12 - 00012393 _____ () C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
CMD: del /f /s /q %TEMP%\*.*
Hosts:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom FRST i kliknij w Fix
Usuń.Wykonaj w trybie awaryjnym.Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:
:OTL
O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()
O4 - HKU\S-1-5-21-527237240-1682526488-1801674531-1004..\Run: [Tok-Cirrhatus] C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - C:\WINDOWS\eksplorasi.exe ()
O20 - Winlogon\Notify\RailNotification: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2014-07-23 15:03:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-23
[2014-07-23 15:10:32 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2004-07-29 00:13:40 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\winlogon.exe
[2004-07-29 00:13:40 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\smss.exe
[2004-07-29 00:13:40 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\services.exe
[2004-07-29 00:13:40 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\lsass.exe
[2004-07-29 00:13:40 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
[2004-07-29 00:13:40 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\bielec\Ustawienia lokalne\Dane aplikacji\csrss.exe
:Commands
[emptytemp]
[resethosts]
Kliknij Wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Skasuj folder C:\FRST
W OTL użyj opcji Sprzątanie.
Dziękuje bardzo za pomoc.