Zablokowanie dostępu do niektórych elementów systemu oraz do opcji ,,uruchom jako administrator"


(Dr Comet) #1

Witam.

 

Niedawno kupiłem komputer od znajomego i dopiero po jakimś czasie zdałem sobie sprawę, że system jest przez coś blokowany (podejrzewam infekcję ZeroAccess). Niektóre programy są jakby blokowane, np przy esecie, hamachi oraz STOPzilli wywalało błąd, że z powodu braku pliku .DLL, program nie może zakończyc instalacji. Co więcej, nie mam dostępu do opcji uruchamiania jako administrator. W ogóle, kiedy wejdę we właściwosci jakiegoś pliku, a konkretnie w zgodność, to w zgodności systemowej mam tylko ,,uruchom w zgodności z poprzednimi wersjami windowsa", natomiast dalsze opcje takie jak uruchom w 256 kolorach itp są nieaktywne łącznie z opcją uruchamiaj jako administrator. Już od rana się z tym męczę, generalnie komputer ładnie zasyfiony... Malwarebytes Anti-Malware wykrył 218 wirusów, następnie przeskanowałem SpyHunterem, który po prawie 3 godzinach skanowania wywalił mi raport o znalezieniu 630 wirusów, głównie typu cookie Spyware. No tych akurat już usunąć nie mogłem z powodu braku licencji na ten program. Ale w związku z powyższym mam podejrzenia, że gdzieś się właśnie ukrywa ZeroAccess.

 

Tutaj przedstawiam log z OTL http://wklej.org/id/1626892/

Tutaj natomiast z FSS http://wklej.org/id/1626913/

 

Chyba, że ktos ma jeszcze inny pomysł co moze być nie tak, wtedy również chętnie wysłucham.

 

Pozdrawiam,

Dr Comet


(Atis) #2

W jakim celu instalujesz podejrzane programy typu SpyHunter, YAC, Stopzilla?

W panelu sterowania odinstaluj:

YAC(Yet Another Cleaner!)

SensePlus

SpyHunter 4

YouTube Accelerator

Nowy log obowiązkowy - Farbar Recovery Scan Tool


(rgabrysiak) #3

Dr Comet na forum piszemy w języku polskim, czyli korzystamy z polskich znaków diakrytycznych (ą, ć, ę, ł, ń, ó, ś, ź, ż).


(Dr Comet) #4

@rgabrysiak, mam angielskiego win 7 i nie mam tutaj polskich znaków a nie jestem zbyt ogarnięty jeśli chodzi o tą wersję systemu i nie bardzo wiem jak to przestawić. Do tej pory korzystałem przez lata z xp a w 7 po prostu sie gubię…

 

@Atis, jeśli chodzi o YAC, to był już tutaj zainstalowany i zostałem poinstruowany, by go nie kasować. Natomiast jeśli chodzi o Spy Huntera, to został on polecony na jakimś forum razem ze STOPzillą. YouTube Accelerator usiłowałem już wcześniej skasować przez panel, ale po wybraniu opcji usuwania, nic się po prostu nie działo, więc ręcznie skasowałem pliki, chociaż z tego co widzę, najwyraźniej to nie wystarcza… YAC usunięty, z YTA jeszcze pokombinuję, natomiast przy SensePlus podczas próby usunięcia wywala mi błąd: You do not have sufficient access to uninstall SensePlus. Please contact your system administrator.

 

Tutaj jest skan z FRST: http://wklej.org/id/1627040/

A tutaj jeszcze z opcji Addition: http://wklej.org/id/1627041/ oraz Shortcut: http://wklej.org/id/1627042/


(Atis) #5

Nie wiem kto poleca takie programy, ale nigdy już nie stosuj się do rad tych osób.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [AsioReg] => REGSVR32.EXE /S CTASIO.DLL
HKLM\...\Run: [AsioThk32Reg] => %SYSTEMROOT%\SYSWOW64\REGSVR32.EXE /S %SYSTEMROOT%\SYSWOW64\CTASIO.DLL
HKLM-x32\...\Run: [AsioReg] => REGSVR32 /S CTASIO.DLL
IFEO\Acrobat.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\acrodist.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\dtlite.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\formscentralforacrobat.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
IFEO\sptdinst-x64.exe: [Debugger] "D:\Program Files (x86)\TuneUp Utilities 2014\TUAutoReactivator64.exe"
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1422537165&from=zbd1&uid=395049983_1052514_62935805&q={searchTerms}
SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1422537165&from=zbd1&uid=395049983_1052514_62935805&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=395049983_1052514_62935805&ts=1422848136&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=395049983_1052514_62935805&ts=1422848136&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=395049983_1052514_62935805&ts=1422848136&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.mystartsearch.com/web/?utm_source=b&utm_medium=smt&utm_campaign=install_ie&utm_content=ds&from=smt&uid=395049983_1052514_62935805&ts=1422848136&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1003 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1422537165&from=zbd1&uid=395049983_1052514_62935805&q={searchTerms}
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File
R2 SpyHunter 4 Service; D:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [1025920 2015-02-06] (Enigma Software Group USA, LLC.)
S3 gupdate; "D:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "D:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S2 SPBIUpd; D:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X]
S4 YouTubeAcceleratorService; D:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe -start -scm [X]
R3 esgiguard; D:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [15920 2015-02-06] (Enigma Software Group USA, LLC.)
S3 EsgScanner; D:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-02-06] ()
S3 EagleX64; \??\D:\Windows\system32\drivers\EagleX64.sys [X]
S3 SPBIUpdd; \??\D:\Program Files\Common Files\ShopperPro\spbiw.sys [X]
S2 SPDRIVER_1489.0.0.0; \??\D:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\D:\Windows\xhunter1.sys [X]
2015-02-06 19:10 - 2015-02-06 19:10 - 00139128 _____ () D:\Users\Daras\Downloads\{SpyHunter_4_Crack_Keygen_Setup}.exe
2015-02-06 19:04 - 2015-02-06 19:04 - 01717503 _____ () D:\Users\Daras\Downloads\SpyHunter-4.1.11.0-+-Crack.rar
2015-02-06 18:49 - 2015-02-06 18:52 - 44409924 _____ () D:\Users\Daras\Downloads\SpyHunter 4.17.6.4336 (FULL + Patch).zip
2015-02-06 16:09 - 2015-02-06 16:09 - 00003326 _____ () D:\Windows\System32\Tasks\SpyHunter4Startup
2015-02-06 16:09 - 2015-02-06 16:09 - 00001105 _____ () D:\Users\Daras\Desktop\SpyHunter.lnk
2015-02-06 16:09 - 2015-02-06 16:09 - 00000000 ____ D () D:\Users\Daras\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter
2015-02-06 16:09 - 2015-02-06 16:09 - 00000000 ____ D () D:\Users\Daras\AppData\Roaming\Enigma Software Group
2015-02-06 16:08 - 2015-02-06 16:09 - 00000000 ____ D () D:\sh4ldr
2015-02-06 16:06 - 2015-02-06 16:06 - 00022704 _____ () D:\Windows\system32\Drivers\EsgScanner.sys
2015-02-06 16:06 - 2015-02-06 16:06 - 00000000 ____ D () D:\Program Files\Enigma Software Group
\2015-02-02 23:19 - 2015-02-03 00:09 - 00000000 ____ D () D:\Program Files (x86)\SensePlus
2015-02-02 19:43 - 2015-02-02 19:43 - 00000000 ____ D () D:\ProgramData\GOOBZO
2015-02-02 04:36 - 2015-02-03 00:09 - 00000000 ____ D () D:\ProgramData\YTAHelper
2015-01-19 19:17 - 2014-12-22 17:04 - 00000000 ____ D () D:\Users\Daras\AppData\Local\Loc.Mail.Bron.Tok
2014-12-22 17:15 - 2014-12-22 17:15 - 0019047 _____ () D:\Users\Daras\AppData\Local\JunkAtx18.bin
2014-12-22 17:04 - 2014-12-22 17:04 - 0000051 _____ () D:\Users\Daras\AppData\Local\Kosong.Bron.Tok.txt
Task: {21F54B01-E2EE-4FA9-B481-B7B74A3B73A9} - System32\Tasks\UNELEVATE_27186 => D:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.exe <==== ATTENTION
Task: {22F2ABE9-0B2E-4BEE-AD79-A4BD3A1DFA08} - \SPBIW_UpdateTask_Time_323038363939373332342d2d37505a2a6c55326c342341 No Task File <==== ATTENTION
Task: {2D1A1E6B-A166-4E37-9023-801237277397} - System32\Tasks\SpyHunter4Startup => D:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-02-06] (Enigma Software Group USA, LLC.)
Task: {37A92304-F131-412D-9D25-108A5992D6A3} - System32\Tasks\{C2F3068A-53D1-48CF-AFBF-381755CB1CF5} => pcalua.exe -a D:\Users\Daras\Desktop\Driver_MF823\Data\Setup.exe -d D:\Users\Daras\Desktop\Driver_MF823\Data
Task: {4598D7DA-4C8F-4BEC-B756-C1DE8CF120C8} - System32\Tasks\YTAUpdate_logon => D:\Program <==== ATTENTION
Task: {5229B3FB-4D24-4B6A-991F-CC49435781FF} - \ShopperPro No Task File <==== ATTENTION
Task: {607723C3-D657-4623-8FBF-5DA7898D9602} - System32\Tasks\UNELEVATE_28146 => D:\Program Files (x86)\ShopperPro\JSDriver\1489.0.0.0\jsdrv.exe <==== ATTENTION
Task: {6446D087-14B2-4BD1-AFC0-27547A6F9055} - System32\Tasks\YTAHelper => D:\Program Files (x86)\YTAHelper\YTAHelper.exe <==== ATTENTION
Task: {76E908DD-7DC0-458F-8244-3A9E8B18C601} - System32\Tasks\{27AAB935-C977-4C05-8E08-33E5A402EEE6} => pcalua.exe -a G:\Data\Setup.exe -d g:\Data\
Task: {80B81B3B-44AE-4786-935A-852432FE03B8} - System32\Tasks\Microsoft\b7ff8aa08f3f162527fb32f4057bc942 => D:\Users\Daras\AppData\Roaming\DownloadManager\Loader.exe [2015-02-06] (SOFTWARE AGILITY LIMITED) <==== ATTENTION
Task: {B1A781FD-FD6B-4C9F-A774-D195B3EB4314} - System32\Tasks\Maxthon Update => D:\Program Files (x86)\Maxthon\Bin\Maxthon.exe
Task: {B7C91E51-D6B5-484B-AA3F-7C2918A15D80} - \SPDriver No Task File <==== ATTENTION
Task: {BF1AE382-69E8-4ADA-969D-545EF256E19C} - System32\Tasks\YTAUpdate => D:\Program <==== ATTENTION
Task: {DE3836D4-64F1-4A96-8231-B8C0275E06C6} - \ShopperProJSUpd No Task File <==== ATTENTION
CMD: netsh winsock reset
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Dr Comet) #6

Fixlog: http://wklej.org/id/1627092/

FRST: http://wklej.org/id/1627096/

 

A jeśli chodzi o YouTube Accelerator, to w folderze zostały pliki, których nie mogę usunąć, bo jakiś program z nich korzysta. Te pliki to: engine.dll, helper.dll, ipc.dll, xmldb.dll oraz ytals.dll


(Atis) #7

Odinstaluj ManageEngine EventLog Analyzer 10.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1003 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://www.v9.com/web?type=ds&ts=1422537165&from=zbd1&uid=395049983_1052514_62935805&q={searchTerms}
2015-02-06 19:10 - 2015-02-06 19:10 - 00000000 ____ D () D:\Users\Daras\AppData\Roaming\DownloadManager
2015-02-02 23:19 - 2015-02-03 00:09 - 00000000 ____ D () D:\Program Files (x86)\SensePlus
2015-02-02 04:36 - 2015-02-02 23:16 - 00000000 ____ D () D:\Program Files (x86)\YouTube Accelerator
2015-02-02 04:36 - 2015-02-02 04:36 - 00001176 _____ () D:\Users\UpdatusUser\Desktop\YouTube Accelerator.lnk
2015-02-02 04:36 - 2015-02-02 04:36 - 00001176 _____ () D:\Users\Guest\Desktop\YouTube Accelerator.lnk
2015-02-02 04:36 - 2015-02-02 04:36 - 00000000 ____ D () D:\Users\Public\Documents\YTAHelper
2015-02-02 04:36 - 2015-02-02 04:36 - 00000000 ____ D () D:\Users\Public\Documents\ShopperPro
2015-02-02 04:36 - 2015-02-02 04:36 - 00000000 ____ D () D:\Users\Public\Documents\GOOBZO
2015-01-19 20:34 - 2015-01-19 20:34 - 00000000 ____ D () D:\ProgramData\Doctor Web
2015-01-19 20:33 - 2015-01-19 20:51 - 00000000 ____ D () D:\Users\Daras\Doctor Web
2015-02-02 19:07 - 2014-10-18 12:46 - 00000000 ____ D () D:\ProgramData\TEMP
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Dr Comet) #8

AdwCleaner: http://wklej.org/id/1627128/

Fixlog: http://wklej.org/id/1627139/

FRST: http://wklej.org/id/1627143/

 

I jeszcze od razu spytam o jedną rzecz. Otóż jakiś czas temu po wyczyszczeniu przeze mnie folderu temp, wraz z uruchomieniem systemu zaczął mi wyskakiwać taki błąd:

Nazwa: D:\Users\Daras\AppData\Local\Temp\lu\1_spp_100007d.exe

Tresc: Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.


(Atis) #9

Przecież ten log jest pusty: http://wklej.org/id/1627143/


(Dr Comet) #10

To prawda, ale taki log otrzymałem…

 

Przeskanowałem po raz drugi i ponownie otrzymałem taki log

 

Przeskanowałem teraz z opcjami w Optional Scan, których przy tych pustych logach zapomniałem zaznaczyć. Teraz otrzymałem taki log: http://wklej.org/id/1627174/


(Atis) #11

Nie widać przyczyny tego błędu.

Błąd może powodować program Logitech SetPoint. Spróbuj reinstalować ten program.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3128852618-132918521-3738393801-1003\...\Run: [BlazeServoTool] => "D:\Program Files (x86)\BlazeVideo\BlazeHDTV 6.0\MediaDetector.exe"
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3128852618-132918521-3738393801-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-02-07 00:32 - 2015-02-07 00:36 - 00000000 ____ D () D:\AdwCleaner
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj Java 7 Update 55 i zainstaluj Java 8 Update 31

Wszystkie programy > Akcesoria > Wiersz polecenia > Kliknij prawym i wybierz Uruchom jako administrator

Wpisz i zatwierdź enterem: chkdsk d: /f

Zatwierdź sprawdzanie przy następnym uruchomieniu komputera.


(Dr Comet) #12
  1. Chcesz ostatni fixlog?

  2. Nie mogę usunąć punktów przywracania. Utknąłem na tym punkcie: W obszarze Ustawienia ochrony kliknij przycisk Konfiguruj.  <- Wszystkie przyciski w tej zakładce są nieaktywne a przy Protection Settings w tabelce Avaiable drivers | Protection, pisze cały czas Searching…

 

Wracajac do tych wykrytych cookie spyware, znasz jakiś program, który pomógłby mi się ich pozbyć?

 

I dziękuje bardzo za szybką i wyczerpującą pomoc, zwłaszcza o późnej godzinie :slight_smile: Odzyskałem możliwość używania uruchom jako administrator, oraz w zgodnosci mam wszystkie opcje dostępne jakie powinny być :slight_smile:


(Atis) #13

Nie zauważyłem, że nie masz żadnych punktów przywracania, więc nie można niczego usunąć.

SpyHunter ma na celu wyłudzenie opłaty za pełną wersję, więc dlatego straszy wymyślonymi wirusami.

Ciasteczka usuń za pomocą CCleaner. Pobierz wersję Slim : https://www.piriform.com/ccleaner/builds

Do skanowania dysku masz zainstalowany Malwarebytes.

Jeżeli zainstalowałeś testową wersję to odinstaluj, a później zainstaluj tylko darmowy skaner.

Użyj mbam-clean.exe: https://helpdesk.malwarebytes.org/hc/en-us/articles/201861636-How-do-I-uninstall-Malwarebytes-Anti-Malware-

Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish


(Dr Comet) #14

Jeśli chodzi o CCleanera, to od dłuższego czasu używam, więc sobie tam ogarnę a co do Malwarebytes Anti-Malware, to mam licencję :wink: Slyszałem, że niektóre antywirusy jak stwierdziłeś mają na celu wyłudzanie pieniędzy i dlatego jakieś zmyślone wirusy mogą wywalać, ale wiesz no, po prostu nic by mnie tu nie zdziwiło, bo przed zakupem nie miałem wglądu do tego komputera a mogło się dziać wszystko, tym bardziej, że miałem przedstawiony tu problem. Błąd też już nie wyskakuje. Usunąłem tego Logitech, bo to bylo do poprzedniej klawiatury i myszy, a ja kupowałem samą skrzynkę :wink: