Nie włącza się menadżera zadań+wieczna aktualizacja systemu

[andig]

Witam,
na początku wyskakiwał monit, że komp ma wirusy i by kupić antywira ( jeszcze czego ). Zaktualizowałem system, monit zniknął, ale 2 poniższe problem pozostały:
a) nie mogę uruchomić menadżera zadań - klikam i nic się nie dzieje, wpisanie taskmgr w uruchom oczywiście też nic nie daje,
b) wiecznie mam do zainstalowania aktualizację do .NET Framework 3.5.1 mimo, że zainstalowałem już wersje 4... Poza tym, mam do zainstalowania pakiet redystrybucji programu M$ Visual C++ mimo, że go nie instalowałem ( dodatkowo wszystko co mogło mieć z tym wspólnego usunąłem poprzez dodaj/usuń programy ) oraz M$ Silverlight.

Odpaliłem NOD32, znalazł coś w .../Angela/AppDate/Local/Temp. Usunąłem, ale problem nie zniknął.

Logi:
http://www.wklej.org/id/548109/
http://www.wklej.org/id/548111/
http://www.wklej.org/id/548113/
http://www.wklej.org/id/548115/

Dodano 18.06.2011 09:17:58:
Rozumiem, że logi są czyste, skoro nikt nie może mi pomóc ...

[wojtas]

jak analizuje logi to pisze o stanie ich. jak nic nie napisałem , logiczne jest że jeszcze nie obejrzałem ich...

do odinstalowania : uTorrentBar, Conduit Engine

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej całą zawartość tej strony:

http://www.wklej.org/id/548687/


Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

[andig]

jak analizuje logi to pisze o stanie ich. jak nic nie napisałem , logiczne jest że jeszcze nie obejrzałem ich...

do odinstalowania : uTorrentBar, Conduit Engine

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej całą zawartość tej strony:

http://www.wklej.org/id/548687/

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

"jak analizuje logi to pisze o stanie ich." - ooo... nie wiedziałem o tym, nie zauważyłem tego i nawet nie wiem, gdzie to jest napisane, ale na drugi raz lepiej będę się przyglądać .

"jak nic nie napisałem , logiczne jest że jeszcze nie obejrzałem ich..." - Rzadko tu jestem, to też nie przyzwyczajony jestem, że zawsze ktoś odpisuje. Uznałem, że skoro temat ma jeden dzień, to został już zapomniany w czeluściach forum i logi umieściłem na innym forum. Przyzwyczajanie do chamstwa w internecie, wzięły niestety górę nad rozsądkiem.

Problem rozwiązał program Malwarebytes-AntiMalware. Teraz wygląda, że jest ok, aczkolwiek i tak temu pozorowi nie ufam xD.

Usunąłem też, ten uTorrentBar, Nod'a i avasta i wykonałem ten skrypt: http://www.wklej.org/id/548403/ . Co dziwne nie ma pozycji Conduit Engine w spisie programów do usunięcia w widoku panelu sterowania.

Nowy wynik z OTL:
http://www.wklej.org/id/548510/

Malwarebytes' Anti-Malware:

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Wersja bazy: 6886

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

2011-06-18 14:58:40
mbam-log-2011-06-18 (14-58-40).txt

Typ skanowania: Pe≥ne skanowanie (C:\|D:\|E:\|Q:\|)
Przeskanowano obiektůw: 286139
Up≥ynÍ≥o: 34 minut(y), 15 sekund(y)

Zainfekowanych procesůw w pamiÍci: 0
Zainfekowanych modu≥ůw w pamiÍci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartoúci rejestru: 1
Zainfekowane informacje rejestru systemowego: 1
Zainfekowanych folderůw: 0
Zainfekowanych plikůw: 5

Zainfekowanych procesůw w pamiÍci:
(Nie znaleziono zagroŅeŮ)

Zainfekowanych modu≥ůw w pamiÍci:
(Nie znaleziono zagroŅeŮ)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagroŅeŮ)

Zainfekowanych wartoúci rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\System Smart Security (Rogue.SystemSmartSecurity) -> Value: System Smart Security -> Quarantined and deleted successfully.

Zainfekowane informacje rejestru systemowego:
HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=2330&q={searchTerms}) Good: (http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}) -> Quarantined and deleted successfully.

Zainfekowanych folderůw:
(Nie znaleziono zagroŅeŮ)

Zainfekowanych plikůw:
c:\Users\Angela\Desktop\eset nod32 5\eset nod32 5\eset=tnod-1.4.0.15\tnod-1.4.0.15-setup.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
c:\Users\Angela\Desktop\eset nod32 antivirus v4.2.71.2 pl[64.32]\eset.key.finder.v8\eset nod32 & smart security key finder v8 final.exe (Riskware.KG) -> Quarantined and deleted successfully.
c:\Users\Angela\AppData\Roaming\microsoft\internet explorer\quick launch\system smart security.lnk (Rogue.SystemSmartSecurity) -> Quarantined and deleted successfully.
c:\Users\Angela\AppData\Roaming\microsoft\Windows\start menu\Programs\system smart security.lnk (Rogue.SystemSmartSecurity) -> Quarantined and deleted successfully.
c:\Users\Angela\AppData\Roaming\microsoft\Windows\start menu\system smart security.lnk (Rogue.SystemSmartSecurity) -> Quarantined and deleted successfully.


Prawdopodobnie się wściekniesz, że nie potrzebnie poświęciłeś czas i zbesztasz mnie z błotem, co będzie jak najbardziej uzasadnione i zrozumiałe. Zostaje mi tylko przeprosić cię i podziękować za pomoc, której użyczyłeś, tudzież której również może jeszcze użyczysz.

[wojtas]

każdy ma życie prywatne, tym bardziej że w tym dziale praktycznie siedzę sam , czasami nie odpisuje 1 czy 2 dni , ale staram się to nadrobić..

po raporcie z Mbama sądzę że to nie on był wybawcą z tej infekcji. skrypt tu wziął górę , lecz Mbam też usunął malware

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found
O4:64bit: - HKLM..\Run: [Setwallpaper] File not found
O4 - HKLM..\Run: [avast5] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2011-06-13 20:14:28 | 000,000,000 | -HSD | C] -- C:\Users\Angela\AppData\Roaming\System Smart Security
[2011-06-13 20:10:25 | 000,000,000 | -HSD | C] -- C:\ProgramData\SSOKZPS
[2011-06-13 20:10:03 | 000,000,000 | -HSD | C] -- C:\ProgramData\dfb0b2
@Alternate Data Stream - 135 bytes -> C:\ProgramData\Temp:4CF61E54
@Alternate Data Stream - 132 bytes -> C:\ProgramData\Temp:2F370DA6
@Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:115CEE00
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:A724744F
@Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:AB689DEA

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

potem:

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie ) ( szczególnie zwróć uwagę na autostart )
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )
* Skasuj stan przywracania systemu


Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)

zainstaluj także antywirusa jakiegoś

[andig]

"Kliknij wykonaj skrypt. I potwierdź reset komputera ." - done.
"*Uruchom OTL z opcji sprzątanie." - done.
"* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie ) ( szczególnie zwróć uwagę na autostart )" - nie miałem co wywalać .
Mam chyba jakieś automatycznie wyłączone wpisy. Nie wiem, czemu, ani ( w większości ) co one robią.
Adobe Reader Speed Lanucher
ADSMTray
Asus Screen Saver Protector
CyberLink MediaLibrary Service

"* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie )" - done.

Kod: Zaznacz wszystko

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Wersja bazy: 6894

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

2011-06-19 16:31:36
mbam-log-2011-06-19 (16-31-36).txt

Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|)
Przeskanowano obiektów: 293723
Upłynęło: 53 minut(y), 2 sekund(y)

Zainfekowanych procesów w pamięci: 0
Zainfekowanych modułów w pamięci: 0
Zainfekowanych kluczy rejestru: 0
Zainfekowanych wartości rejestru: 0
Zainfekowane informacje rejestru systemowego: 0
Zainfekowanych folderów: 0
Zainfekowanych plików: 0

Zainfekowanych procesów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych modułów w pamięci:
(Nie znaleziono zagrożeń)

Zainfekowanych kluczy rejestru:
(Nie znaleziono zagrożeń)

Zainfekowanych wartości rejestru:
(Nie znaleziono zagrożeń)

Zainfekowane informacje rejestru systemowego:
(Nie znaleziono zagrożeń)

Zainfekowanych folderów:
(Nie znaleziono zagrożeń)

Zainfekowanych plików:
(Nie znaleziono zagrożeń)


"* Skasuj stan przywracania systemu" - done.
">>> Adobe Reader (bez Free McAfee® Security Scan Plus)" - done.
"zainstaluj także antywirusa jakiegoś" - done. Nod32 śmiga, aż miło.

Pytanko - zostawiać tego Malwarebytes Anti-Malware, czy lepiej odinstalować ??

OTL po skrypcie:

Kod: Zaznacz wszystko

All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC}\ not found.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Setwallpaper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\avast5 deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
C:\Users\Angela\AppData\Roaming\System Smart Security folder moved successfully.
C:\ProgramData\SSOKZPS folder moved successfully.
C:\ProgramData\dfb0b2\SSSSys folder moved successfully.
C:\ProgramData\dfb0b2\Quarantine Items folder moved successfully.
C:\ProgramData\dfb0b2\BackUp folder moved successfully.
C:\ProgramData\dfb0b2 folder moved successfully.
ADS C:\ProgramData\Temp:4CF61E54 deleted successfully.
ADS C:\ProgramData\Temp:2F370DA6 deleted successfully.
ADS C:\ProgramData\Temp:115CEE00 deleted successfully.
ADS C:\ProgramData\Temp:A724744F deleted successfully.
ADS C:\ProgramData\Temp:AB689DEA deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Angela
->Temp folder emptied: 5298403 bytes
->Temporary Internet Files folder emptied: 2138373 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 10720941 bytes
->Flash cache emptied: 638 bytes

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1823368 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 19,00 mb


[EMPTYFLASH]

User: All Users

User: Angela
->Flash cache emptied: 0 bytes

User: Default

User: Default User

User: Public

Total Flash Files Cleaned = 0,00 mb


OTL by OldTimer - Version 3.2.24.0 log created on 06192011_152658

Files\Folders moved on Reboot...
C:\Users\Angela\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...


[wojtas]

sądzę że te wpisy możesz odhaczyć :

Adobe Reader Speed Lanucher
ADSMTray
Asus Screen Saver Protector
CyberLink MediaLibrary Service

jeśli będzie problem z działaniem kompa po prostu zaznaczysz jeszcze raz..

Malwarebytes zostaw skanuj sobie co jakiś czas , oczywiście robiąc przed tym aktualizacje pozdrawiam xD

[andig]

Tak też zrobię.
Dzięki za pomoc i pozdrawiam .