Sirefef, GAC_32/64, zablokowany firewall i AV

olek_st · 28 Maj 2012 21:05

Dr. WEB Cureit wykrył tylko:

Pierwsza weryfikacja integralności (/verifyonly) http://wklejto.pl/126119

Reset winsock tak samo jak poprzednio:

Wykonałem naprawę usług zgodnie z instrukcją.

I jeszcze raz weryfikacje integralności, tym razem /scannow http://wklejto.pl/126134

Scaliłem plik fix.reg do naprawy Windows Defender’a

Jak restartowałem system po SFC, po wpisaniu hasła użytkownika, kilka minut widniał napis “Przygotowywanie pulpitu” po czym uruchomił się system bez mojego pulpitu i z komunikatem że odnosi się do nieistniejących plików lub coś w tym stylu. Ponowne uruchomienie systemu udało się bez problemu jednak miałem wrażenie, że po kilku minutach pulpit i w ogóle cały explorer załadował się jeszcze raz (opornie).

Do tej pory jak cokolwiek próbowałem zrobić z Firewall’em to wyskakiwał mi błąd 0x80070424

Po ostatnich zmianach, gdy cokolwiek chce zmienić w ustawieniach zapory, przez chwilę kursor wskazuję, że komputer jest zajęty a potem nic się nie dzieje.

Regularnie po starcie systemu mój trial Malwarebytes wyłapuje jakieś trojany (bitminery, bicminery) najczęściej w c:/windows/intaller choć ostatnio był trojan.fakealert w folderze z zainstalowanym programem Solid Edge.

spandaupol · 29 Maj 2012 12:15

Pokaż raport z Malwarbytes na forum.

Teraz proszę ponownie wykonać

Napisz czy komenda wykonała się teraz pomyślnie. Jeśli tak to pokaż nowy raport OTL.txt na forum

olek_st · 29 Maj 2012 13:21

Reset winsock udany - http://wklejto.pl/126182

Raport Malwarebytes wieczorem.

spandaupol · 29 Maj 2012 13:41

Usuniemy pozostałości po narzędziach i zobaczymy jak mają się naprawiane usługi.

W okno Własne opcje skanowania / skrypt w OTL wklej:

:OTL O3:64bit: - HKLM…\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM…\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2231508068-1694400185-1694210061-1001…\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3:64bit: - HKU\S-1-5-21-2231508068-1694400185-1694210061-1001…\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O4 - Startup: C:\Users\Olek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup_uninst_01034400.lnk = C:\Users\Olek\AppData\Local\Temp_uninst_01034400.bat () O4 - Startup: C:\Users\Olek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup_uninst_20197946.lnk = C:\Users\Olek\AppData\Local\Temp_uninst_20197946.bat () [2012-05-21 20:32:30 | 000,460,888 | ---- | C] (Kaspersky Lab ZAO) – C:\windows\SysNative\drivers\01034400.sys [2012-05-21 20:07:07 | 004,501,170 | R— | C] (Swearware) – C:\Users\Olek\Desktop\ComboFix.exe [2012-05-21 16:58:39 | 000,000,000 | —D | C] – C:\ProgramData\Kaspersky Lab [2012-05-21 06:04:44 | 000,000,000 | —D | C] – C:\FRST [2012-05-20 11:32:01 | 000,000,000 | --SD | C] – C:\32788R22FWJFW [2012-05-28 00:32:57 | 000,000,000 | —D | C] – C:\Users\Olek\DoctorWeb :Commands [emptytemp]

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie pobierz AdwCleaner [Instrukcja](http://www.fixitpc.pl/topic/8-dezynfekcja-zbior-narzedzi-usuwajacych/page p 54015#entry54015) Zamknij wszystkie przeglądarki i użyj narzędzia z opcji Delete pokaż raport na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum.

Dodatkowo proszę o nowy raport Farbar Service Scanner http://download.bleepingcomputer.com/farbar/FSS.exe (zaznacz wszystkie opcje)

olek_st · 29 Maj 2012 18:43

Malwarebytes nic nie wykrył. Wrzucam za to listę plików w kwarantannie:

Usuwanie OTL http://www.wklejto.pl/126200

AdwCleaner http://wklejto.pl/126202

Skan OTL http://www.wklejto.pl/126204

Skan FSS http://www.wklejto.pl/126205

I jeszcze zrzut po uruchomieniu systemu. W sumie 3 razy tak miałem:

spandaupol · 30 Maj 2012 07:23

Opróżnij kwarantanne Malwarebytes i wykonaj ponownie pełny skan, raport pokaż na forum spróbuje napisać skrypt usuwający te katalogi w których znajduje się infekcja, bo jest to coś w tym stylu http://www.wklej.org/id/761272/

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Jeśli chodzi o screena. Uruchom OTL klikasz Nic W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Skanuj pokaż raport na forum

Coś chyba zrobiłeś nie tak w odniesieniu do klucza.

Czy na pewno nadałeś odpowiednie uprawnienia, powtórz ten proces http://www.fixitpc.pl/topic/6855-rekons … u-windows/