Brak uprawnień administratora.

[jan111]

Witam,

proszę o sprawdzenie logów, powodem jest brak uprawnień administratora (Windows 7 x64 Ultimate aktualizowany).

Polecenie net user w terminalu zawiesza konsolę (Dostępne tylko dla zarejestrowanych użytkowników) . Objawia to się tym, że nie mogę zaktualizować, usunąć danych aplikacji (teamspeak, glary utilities). Ostatnio komputer muli (Dostępne tylko dla zarejestrowanych użytkowników). Nie wykonywałem żadnych skanów, zrobiłem od razu logi (wg. zaleceń). Podejrzewam infekcję (zostawiłem bratu komputer na użytkowniku standardowym na tydzień, niby nic się nie da zrobić, a gg dał radę zainstalować :C).
Logi:
1. OTL Dostępne tylko dla zarejestrowanych użytkowników (extras) Dostępne tylko dla zarejestrowanych użytkowników (otl)
2. RSIT Dostępne tylko dla zarejestrowanych użytkowników
3. Silent Runners Dostępne tylko dla zarejestrowanych użytkowników
4. GMER Dostępne tylko dla zarejestrowanych użytkowników
5. MBRCheck Dostępne tylko dla zarejestrowanych użytkowników
6. TDSS Killer Dostępne tylko dla zarejestrowanych użytkowników

Proszę o pomoc, z góry dzięki.

[kominekl]

"Glary Utilities 3" = Glary Utilities 3 (v3.6.0.125)
"ASIO4ALL" = ASIO4ALL
"Secunia PSI" = Secunia PSI (3.0.0.7009)
"OnlineArmor_is1" = Online Armor 6.0
"{BC30E5E7-047D-4232-A7E8-F2CB7CC7B2E0}_is1" = Emsisoft Anti-Malware
"MCShield" = MCShield ::Anti-Malware Tool::
"VMware_Player" = VMware Player
"{3F3FB10C-7175-4D38-9335-3488B89C12AF}" = OkayFreedom
"Mz7Optimizer_is1" = Mz 7 Optimizer
"WhoCrashed_is1" = WhoCrashed 4.01
"{1F7019BB-1C9A-4E54-9B59-1744629E63B1}" = EMET 4.0

Odinstaluj. Poza tym użyj Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.00000&barid={21A0E7FA-6A48-11E2-A94D-5404A6F239E5}
IE - HKU\S-1-5-21-62964626-822834701-3138343334-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{21A0E7FA-6A48-11E2-A94D-5404A6F239E5}
IE - HKU\S-1-5-21-62964626-822834701-3138343334-1000\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-62964626-822834701-3138343334-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-62964626-822834701-3138343334-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&crg=3.1010000.00000&barid={21A0E7FA-6A48-11E2-A94D-5404A6F239E5}
IE - HKU\S-1-5-21-62964626-822834701-3138343334-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-62964626-822834701-3138343334-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKU\S-1-5-19..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-20..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun File not found
O4 - HKU\S-1-5-21-62964626-822834701-3138343334-1000..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\Systemowe\DAEMON Tools Lite\DTLite.exe" -autorun File not found
O4 - HKU\S-1-5-21-62964626-822834701-3138343334-1000..\Run: [SandboxieControl] "C:\Program Files\Bezpieczeństwo\Nowy folder\SbieCtrl.exe" File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
[2013-07-28 09:36:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Bitdefender
[2013-07-28 09:36:18 | 000,000,000 | ---D | C] -- C:\ProgramData\BDLogging
[2013-07-28 09:31:41 | 000,000,000 | ---D | C] -- C:\Program Files\Bitdefender
[2013-07-28 09:31:05 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Bitdefender
[2013-07-30 18:06:36 | 000,083,976 | ---- | M] () -- C:\ProgramData\1375200383.bdinstall.bin
[2013-07-28 14:53:54 | 000,001,093 | ---- | M] () -- C:\Users\root\Application Data\Microsoft\Internet Explorer\Quick Launch\OkayFreedom.lnk
[2013-07-28 09:55:10 | 000,234,094 | ---- | M] () -- C:\ProgramData\1374996684.bdinstall.bin
[2013-01-29 14:25:32 | 000,000,000 | ---D | M] -- C:\Users\Default\AppData\Roaming\TuneUp Software
[2013-01-29 14:25:32 | 000,000,000 | ---D | M] -- C:\Users\Default User\AppData\Roaming\TuneUp Software
[2013-01-29 14:25:32 | 000,000,000 | ---D | M] -- C:\Users\DefaultAppPool\AppData\Roaming\TuneUp Software
[2013-01-29 18:20:41 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\AVG January 2013 Campaign
[2013-07-01 16:48:00 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\GlarySoft
[2008-01-01 04:36:01 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\IrfanView
[2013-03-15 23:19:56 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\Mipony
[2008-01-01 04:36:01 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\Notepad++
[2013-07-18 12:42:31 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\ObviousIdea
[2013-06-27 13:24:11 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\OnlineArmor
[2013-07-28 09:57:52 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\QuickScan
[2013-07-31 10:24:21 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\QuiteRss
[2013-06-26 11:27:33 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\Steganos
[2013-06-24 15:41:27 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\Steganos VPN
[2013-01-28 18:05:46 | 000,000,000 | ---D | M] -- C:\Users\eQuuS\AppData\Roaming\TuneUp Software
[2013-07-10 14:19:23 | 000,000,000 | ---D | M] -- C:\Users\root\AppData\Roaming\GlarySoft
[2013-07-19 14:45:06 | 000,000,000 | ---D | M] -- C:\Users\root\AppData\Roaming\OnlineArmor
[2013-07-30 19:39:41 | 000,000,000 | ---D | M] -- C:\Users\root\AppData\Roaming\QuiteRss
[2013-07-13 18:16:19 | 000,000,000 | ---D | M] -- C:\Users\root\AppData\Roaming\Steganos
[2013-07-13 18:17:00 | 000,000,000 | ---D | M] -- C:\Users\root\AppData\Roaming\Steganos VPN
[2013-01-29 14:25:32 | 000,000,000 | ---D | M] -- C:\Users\root\AppData\Roaming\TuneUp Software
@Alternate Data Stream - 144 bytes -> C:\ProgramData\TEMP:905844AA

:Files
C:\Windows\tasks\*.*
C:\Program Files\trend micro
C:\rsit
C:\Windows\1C4551A64743409391E41477CD655043.TMP
C:\Windows\*.TMP
C:\Windows\Temp
C:\Program Files (x86)\Emsisoft Anti-Malware
C:\ProgramData\VMware
C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
$Recycle.Bin /alldrives
C:\Program Files (x86)\OkayFreedom

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Acronis Scheduler2 Service"=-
"@OnlineArmor GUI"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"HydraVisionDesktopManager"=-
"MCShield Monitor"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
[HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"=-
"ASUS AiChargerPlus Execute"=-
"StartCCC"=-
"EMET Agent"-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Scan, a potem Clean) + nowe logi z OTL.

[jan111]

Winą były funkcje HIPS Online Armor, co do AdwCleaner Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Winą były funkcje HIPS Online Armor, co do AdwCleaner Dostępne tylko dla zarejestrowanych użytkowników

Mimo to odinstaluj wszystko to, co kazałem. Logu nie da się odczytać. Coś z nim nie tak. Przeklej ten log.