picasso

Przecież po to był log USBFix z opcji Listing. W logu były odnotowane następujące urządzenia: C:\ (%systemdrive%) -> Fixed drive # 98 Gb (73 Mb free - 75%) [] # NTFS D:\ -> Fixed drive # 205 Gb (187 Mb free - 91%) [Rodzinka] # NTFS E:\ -> Fixed drive # 205 Gb (163 Mb free - 80%) [Tadzik] # NTFS F:\ -> Fixed drive # 424 Gb (423 Mb free - 100%) [Filmy] # NTFS Log miał być zrobiony oczywiście przy podpiętych wszystkich zainfekowanych urządzeniach. Skoro ominęłeś to najwyraźniej, to teraz musisz mi podać kolejny log USBFix z opcji Listing zrobiony przy podpiętym pendrive. .

Jeżeli naprawdę się zgadza miejsce (miałeś pokazać obrazek), to odinstaluj oba kanały i zresetuj system. Podaj wyniki czy są jakieś zmiany w działaniu systemu. .

Zapomniałeś dać log USBFix z opcji Listing. W pierwszym poście jest mniej dokładny log z Research. Stacjonarny: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [1220] - C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\ccrnra.exe [136840 2006-03-02] ( (Lampi)) HKCU\...\Run: [AdobeBridge] - [x] HKCU\...\Run: [NTRedirect] - C:\Documents and Settings\Marek\Dane aplikacji\BabSolution\Shared\enhancedNT.dll [187888 2013-08-22] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=78EAE0CB4E80DEF8&affID=119357&tt=200813_246&tsp=4982 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=78EAE0CB4E80DEF8&affID=119357&tt=200813_246&tsp=4982 URLSearchHook: ATTENTION ==> Default URLSearchHook is missing. URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.) SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010006.10029&barid={700466CC-ED1B-4428-9F12-38472049C833} SearchScopes: HKCU - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010006.10029&barid={700466CC-ED1B-4428-9F12-38472049C833} SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=78EAE0CB4E80DEF8&affID=119357&tt=200813_246&tsp=4982 SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&ptr=100&q={searchTerms}&crg=3.1010006.10029&barid={700466CC-ED1B-4428-9F12-38472049C833} BHO: WebConnect - {2316c625-b487-4410-a1a5-ff040b65245f} - C:\Program Files\WebConnect\WebConnectbho.dll (Web Connect) BHO: delta Helper Object - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - C:\Program Files\Delta\delta\1.8.24.6\bh\delta.dll (Delta-search.com) BHO: SweetPacks Browser Helper - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) Toolbar: HKLM - Delta Toolbar - {82E1477C-B154-48D3-9891-33D83C26BCD3} - C:\Program Files\Delta\delta\1.8.24.6\deltaTlbr.dll (Delta-search.com) Toolbar: HKCU -SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.) R2 BrowserDefendert; C:\Documents and Settings\All Users\Dane aplikacji\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [2838480 2013-08-13] () R2 IBUpdaterService; C:\Windows\system32\dmwu.exe [1016112 2013-05-16] () Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Marek\DANEAP~1\BABSOL~1\Shared\BabMaint.exe C:\Documents and Settings\All Users\Local Settings\Temp\ccrnra.exe C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\Marek\Dane aplikacji\BabSolution C:\Documents and Settings\Marek\Dane aplikacji\Babylon C:\Documents and Settings\Marek\Dane aplikacji\DealPly C:\Documents and Settings\Marek\Dane aplikacji\PerformerSoft C:\Windows\system32\dmwu.exe C:\WINDOWS\system32\jmdp G:\NIEBIESKI (4GB).lnk G:\~%VWXMESSAG.ini G:\autorun.inf G:\desktop.ini G:\Thumbs.db CMD: attrib /d /s -s -h G:\* CMD: netsh firewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wejdź na urządzenie G. Powinieneś tam ujrzeć folder "bez nazwy". W nim są dane właściwe. Przenieś je z tego folderu poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL. 3. Odinstaluj adware: - Przez Dodaj/Usuń programy: BrowserDefender, Delta Chrome Toolbar, Delta toolbar, Internet Explorer Toolbar 4.8 by SweetPacks, SweetIM Bundle by SweetPacks, SweetPacks Updater, WebConnect 3.0.0 - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt i log z AdwCleaner. Laptop: W systemie są różne elementy adware. Doczyść: 1. Otwórz Notatnik i wklej w nim: Task: {7A84754A-2925-49D2-81D0-2EE1E01C735C} - System32\Tasks\DealPly => C:\Users\Asus\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe [2013-03-19] () Task: {80442B51-3B7F-41B3-8C56-1FB1E4560863} - System32\Tasks\EPUpdater => C:\Users\Asus\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-08-04] () Task: {EF877950-8C03-4BA8-9729-73F8F31EC2F5} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe HKCU\...\Run: [AdobeBridge] - [x] HKCU\...\Run: [NTRedirect] - C:\Users\Asus\AppData\Roaming\BabSolution\Shared\enhancedNT.dll [188400 2013-08-28] () HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?babsrc=HP_ss&mntrId=8EABB6DBC9AB1619&affID=119357&tsp=4994 HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1369827415 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1369827415 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1369827415 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1369827415 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1369827415 URLSearchHook: (No Name) - {539F76FD-084E-4858-86D5-62F02F54AE86} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1369827415 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=0 SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=0 SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=0 SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.qvo6.com/web/?utm_source=b&utm_medium=prs&from=prs&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=0 SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=0 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=8EABB6DBC9AB1619&affID=119357&tsp=4994 SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=0 BHO-x32: MinibarBHO - {AA74D58F-ACD0-450D-A85E-6C04B171C044} - C:\Program Files (x86)\Minibar\Minibar.dll (KangoExtensions) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.delta-homes.com/?utm_source=b&utm_medium=newgdp&from=newgdp&uid=HitachiXHTS547575A9E384_J2140054KKEH3AKKEH3AX&ts=1377293110 CHR HKLM-x32\...\Chrome\Extension: [eooncjejnppfjjklapaamhcdmjbilmde] - C:\Users\Asus\AppData\Roaming\BabSolution\CR\Delta.crx CHR HKLM-x32\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files (x86)\WebCake\WebCakeLayers.crx R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [424104 2013-08-23] (Taiwan Shui Mu Chih Ching Technology Limited.) S2 mcbootdelaystartsvc; "C:\Program Files\Common Files\mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [x] C:\Users\Asus\AppData\Local\Minibar C:\Users\Asus\AppData\Local\Babylon C:\Users\Asus\AppData\Roaming\BabSolution C:\Users\Asus\AppData\Roaming\Babylon C:\Users\Asus\AppData\Roaming\DealPly C:\Users\Asus\AppData\Roaming\eDownload C:\Users\Asus\AppData\Roaming\eIntaller C:\Users\Asus\AppData\Roaming\SimilarSites C:\Users\Asus\AppData\Roaming\temp C:\Users\Asus\AppData\Roaming\sp_data.sys C:\Program Files (x86)\Desk 365 C:\Program Files (x86)\Minibar C:\ProgramData\Babylon C:\ProgramData\eSafe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Następnie poprawne deinstalacje: - Przez Panel sterowania odinstaluj: AppsHat Mobile Apps, Bundled software uninstaller, Delta Chrome Toolbar, WebCake 3.00, WinZipper. - W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > przestaw z "Kontynuuj, gdzie skończyłem(am)" na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd > zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż Delta stamtąd Ustawienia > karta Rozszerzenia > odinstaluj WebSite Recommendation Ustawienia > karta Historia > wyczyść 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Dziękuję wszystkim za życzenia (tu, w profilu i na PW).

Nie wkleiłeś wszystkiego do Notatnika, ominąłeś niezbędny nagłówek Windows Registry Editor Version 5.00 = czyli powtarzaj zadanie z FIX.REG od początku. .

Wg mnie źródłem ZeroAccess była wklejka w kodzie Twojej strony. Nigdy nie widziałam, by ZeroAccess transportował się przez media zewnętrzne. Typowe źródła tej infekcji to strony wykonujące szkodliwy kod lub pobranie sfałszowanej wtyczki (uwielbianym typem jest fałszywy "Adobe Flash"). Nie wiem co wykrył ESET, ścieżka jest niepełna G:\Seagate Dashboard 2.0\MISIEK\Michał\Backup\numery.... Co to za "Backup", z czego stworzony? W Twoim przypadku aplikuje się instalacja najnowszej wersji połączona z aktualizacją OpenOffice.org. Ten pakiet Office wymaga Javy do pracy, a dopiero od wersji 3.4.0 / 3.4.1 jest obsługiwana detekcja Java 7. Dzięki! .

Nowe zasady działu, obowiązkowe są także raporty z FRST.

Wątpliwe by efekt pochodził od adware Lollipop i jego usuwania. Nie ta sfera ingerencji. Tylko drobna uwaga, tu chyba był uruchamiany GMER (widzę na dysku plik rd1bpnrf.exe w Moich dokumentach, rozmiarem przypominający GMER), a w Dzienniku zdarzeń jest taki błąd: Error - 2013-09-06 19:47:29 | Computer Name = RR | Source = atapi | ID = 262153 Description = Urządzenie \Device\Ide\IdePort0 nie odpowiedziało w ramach ustalonego limitu czasu. Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 1. Tu zwraca uwagę uTorrent w starcie, który zresztą wygląda na rzecz świeżo aktualizowaną (folder aplikacji oznaczony jako co dopiero modyfikowany). Klient torrent, nawet jeśli nic nie jest pobierane, wykazuje ogromną aktywność sieciową i w niektórych przypadkach (stary sprzęt sieciowy, archaiczne sterowniki, zbyt szeroka konfiguracja torrent) następuje zatkanie ruchu sieciowego. HKCU\...\Run: [uTorrent] - E:\Program Files\utorrent\uTorrent.exe [802136 2013-07-06] (BitTorrent Inc.) 2013-09-07 13:04 - 2013-07-06 13:22 - 00000000 ____D D:\Documents and Settings\Właściciel\Dane aplikacji\uTorrent 2. Apropos "starego sprzętu i sterowników" to owszem i tu warunki spełnione. Bardzo sfatygowane sterowniki sieciowe nVidia. R3 NVENETFD; D:\Windows\System32\DRIVERS\NVENETFD.sys [57856 2006-09-11] (NVIDIA Corporation) R3 nvnetbus; D:\Windows\System32\DRIVERS\nvnetbus.sys [19968 2006-09-11] (NVIDIA Corporation) 3. Poza tym, krytyczny poziom zabezpieczeń i niezbędna kompleksowa aktualizacja Windows (KLIK): Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polish Internet Explorer Version 6 .

1. Wyniki MBAM: po prostu śmieci adware (folder Search Results Toolbar + instalator adware D:\Malwarebytes-AntiMalware(13117).exe), wszystko do usunięcia. I uwaga na temat pliku D:\Malwarebytes-AntiMalware(13117).exe = to nie jest poprawny instalator MBAM, tylko śmieć "Asystent pobierania" dobrychprogramów.pl, który instaluje adware w systemie. Nigdy więcej nie pobierać z tego portalu metodą Asystenta. 2. Natomiast ja wrócę jeszcze do tytułowej infekcji: ta infekcja (Win64/Vabushky.A) powinna także szyfrować masowo dane na dysku. Niestety nie ma deszyfratora i dane pewnie do śmieci. Zrób szukanie na wszystkich dyskach i powiedz mi czy znajdujesz jakieś pliki o rozszerzeniu *.crypted. .

Nowe zasady działu, obowiązkowe są raporty z FRST. Ponadto, przeklej dokładnie z raportu Avast jak / w czym / gdzie wykrywa "HTML:Iframe-inf ". .

skamil29 Z tym Ad-blockiem to za szybko. Co jeśli Firefox ma by resetowany przy czyszczeniu? Ad-block zostanie wtedy usunięty. zucha Uszkodzone dane Instalatora Windows relatywne do tego śmiecia. Jest do tego stosowne narzędzie. Link jest jak najbardziej w porządku. Jeśli przy pobieraniu zainstalowało się coś dodatkowego, to znaczy że na stronie Bleeping kliknąłeś nie ten link co należy, czyli sponsorów strony a nie link zasadniczy pobierania. Linki pobierania to niebieskie przyciski z opisem "Bleeping" a nie zielone reklam. To błąd (już naprawiony) w FRST. Pobierz najnowszą wersję narzędzia z dziś. Przeprowadź następujące operacje (usuwanie adware i szczątków aplikacji): 1. Otwórz Notatnik i wklej w nim: Unlock: C:\Users\Daniel\AppData\Local\Temp HKCU\...\Run: [ChicaPasswordManager] - "C:\Program Files (x86)\ChicaLogic\Chica Password Manager\stpass.exe" /autorunned HKLM-x32\...\Run: [search Protection] - C:\ProgramData\Search Protection\SearchProtection.exe [x] AppInit_DLLs-x32: C:\Users\Daniel\AppData\Local\DProtect\eBP.dll, C:\Users\Daniel\AppData\Local\DProtect\eBPSD.dll [62016 2013-09-08] () R2 DPService; C:\Users\Daniel\AppData\Local\DProtect\DProtectSvc.exe [342592 2013-09-08] (Woodtale Technology Inc) HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=hp&from=adks&uid=395049983_1052515_D4F6B902&ts=1378634008 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=hp&from=adks&uid=395049983_1052515_D4F6B902&ts=1378634008 StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=sc&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378635913 SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKCU - {96154B6A-5FD2-4014-8F10-E80D2960715B} URL = http://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKCU - {CC4C39CF-F5CC-4DD6-B9D2-65F1314DC8D8} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms} FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\adawaretb.xml FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.qvo6.com/?utm_source=b&utm_medium=adks&utm_campaign=eXQ&utm_content=sc&from=adks&uid=c90ce862-2df3-48bf-9810-295ff688fd05_D4F6B902&ts=1378635913 CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - C:\Program Files (x86)\Lavasoft\AdAware SecureSearch Toolbar\chrome-newtab-search.crx S3 gfiark; C:\Windows\System32\drivers\gfiark.sys [39504 2013-04-11] (ThreatTrack Security) R0 gfibto; C:\Windows\System32\drivers\gfibto.sys [14456 2013-09-07] (GFI Software) S3 andnetadb; System32\Drivers\lgandnetadb.sys [x] S3 OpcEnum; C:\Windows\SysWOW64\OpcEnum.exe [x] C:\Users\Daniel\Documents\Chica Passwords C:\Users\Daniel\AppData\Roaming\LavasoftStatistics C:\Users\Daniel\AppData\Roaming\SecureSearch C:\Program Files (x86)\Ad-Aware Antivirus C:\Program Files (x86)\Lavasoft C:\Program Files (x86)\TNod User & Password Finder C:\Program Files\ESET C:\ProgramData\Downloaded Installations C:\ProgramData\Kaspersky Lab C:\Windows\system32\Drivers\gfiark.sys C:\Windows\system32\Drivers\gfibto.sys CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Następnie poprawne deinstalacje: - Przez Panel sterowania odinstaluj adware DProtect. Proponuję pozbyć się też kiepskiego firewalla NVIDIA ForceWare Network Access Manager. - Martwy wpis pdfforge Toolbar v4.7 usuń tym narzędziem: KLIK. 3. Operacje w przeglądarkach: - Firefox: wyczyść poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: ma uszkodzone preferencje. Przestaw kilka razy różne opcje (co ma zresetować plik Preferences). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzaj wyszukiwarkami > przestaw domyślną kilka razy, tak by Google wylądowało ostatecznie jako domyślna, a jeśli są jakieś śmieci na liście, to je usuń. Następnie zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .

Nie doczytałeś nowych zasad działu. Obowiązkowe w tym dziale są także raporty z FRST.

To najnowsza wersja rootkita ZeroAccess, która stosuje sztuczki Unicode i RTL. Z MBAM: HKLM\SYSTEM\CurrentControlSet\Services\‮etadpug (Trojan.Zaccess) -> Nie wykonano akcji. Jak widać, log wszystko ma na opak, tekst jest pokazany odwrotnie. Usługa wyświetla się jako "gupdate" (symulacja usługi Google), ale nazwa właściwa to edatpug. Obowiązkowe logi w tym dziale to także FRST. Proszę je dodać, FRST ma detekcję tego wariantu ZeroAccess. .

1. Otwórz Notatnik i wklej w nim: Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\jwedwig.lnk ShortcutTarget: jwedwig.lnk -> C:\DOCUME~1\ALLUSE~1\DANEAP~1\giwdewj.plz () C:\DOCUME~1\ja\USTAWI~1\Temp\sqsjvkhjxtllcapivxd.bfg C:\DOCUME~1\ja\USTAWI~1\Temp\ICReinstall_VuuPC_Setup.exe C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.ctrl C:\Documents and Settings\All Users\Dane aplikacji\jwedwig.pff C:\Documents and Settings\ja\Dane aplikacji\Bandoo C:\Documents and Settings\ja\Dane aplikacji\OpenCandy C:\Documents and Settings\ja\Dane aplikacji\searchquband C:\Documents and Settings\ja\Dane aplikacji\Mozilla C:\Program Files\uik.dat C:\Program Files\is.dat SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms} SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms} SearchScopes: HKCU - {3677C371-B7FE-4F03-9B79-32FF3EEEAE43} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=971163&p={searchTerms} SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKCU - {8A96AF9E-4074-43b7-BEA3-87217BDA74C8} URL = https://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&q= SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2101} URL = http://dts.search-results.com/sr?src=ieb&appid=120&systemid=101&sr=0&q={searchTerms} SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD22} URL = http://dts.search-results.com/sr?src=ieb&appid=20&systemid=2&sr=0&q={searchTerms} Toolbar: HKCU -No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File HKLM\...\Run: [sweetpacks Communicator] - C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe [x] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [x] S3 massfilter; system32\drivers\massfilter.sys [x] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. System powinien zostać odblokowany, loguj się normalnie do systemu i: 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Kompa już nie ma, ale tu miało być jeszcze sprawdzanie czy działa Tryb awaryjny. To malware robi w kluczu SafeBoot modyfikację usuwającą klasę dysku twardego (czyli BSOD przy wejściu w awaryjny): KLIK. Czyli byłby taki import rejestru do wdrożenia: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}] @="DiskDrive" .

Logi są pobrane ze złego konta, dlatego nie widać w nich infekcji: Ran by Administrator (administrator) on DYSPOZYTOR on 07-09-2013 08:08:56 Logi muszą być zrobione z poziomu konta, które jest zablokowane. Czyli z "ja". Start do Trybu awaryjnego z Wierszem polecenia, zaloguj się na "ja" i zrób nowe raporty OTL/FRST. .

Na szybko, bo muszę wyjść: Powtórz wszystko z poziomu Trybu awaryjnego Windows. A, Local a nie Roaming. Kolejny skrypt. Otwórz Notatnik i wklej w nim: C:\Users\user\AppData\Local\Mozilla Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. PS. Dałeś plik o nazwie prtscr 06.09.2013.png.txt (podwójne rozszerzenie). Poprawiłam, również i formatowanie posta. .

System jest zainfekowany, dlatego każde podpinane urządzenie jest przerabiane na skróty. Te skróty uruchamiają infekcję (nie otwieraj ich!). Natomiast prawdziwe dane są ukrywane przez atrybuty HS ("ukryty systemowy"), dlatego widać je dopiero po odznaczeniu opcji "Ukrywaj chronione pliki systemu operacyjnego". Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [tuto4pc_pl_16] - C:\Program Files\tuto4pc_pl_16\tuto4pc_pl_16.exe [3977712 2013-07-30] () HKLM\...\RunOnce: [upt4pc_pl_16.exe] - C:\Users\daniel\AppData\Local\tuto4pc_pl_16\upt4pc_pl_16.exe -runonce [3154416 2013-07-30] () HKCU\...\Run: [WebCake Desktop] - C:\Users\daniel\AppData\Roaming\Tepfel\WebCakeDesktop.exe [52504 2013-08-10] (Bake Cake) HKCU\...\Run: [Microsoft Windows System] - C:\Users\daniel\P-7-78-8964-9648-3874\windll.exe [48640 2013-08-28] () MountPoints2: {7b41fd9f-f067-11e2-8087-806e6f6e6963} - G:\Run.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=A69D94DE80204B83&affID=123621&tsp=4982 HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=A69D94DE80204B83&affID=119357&tt=070813_wt3&tsp=4972 SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A69D94DE80204B83&affID=123621&tsp=4982 SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=A69D94DE80204B83&affID=123621&tsp=4982 SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files\Tepfel\WebCakeIEClient.dll (Let Them Eat Web-Cake LLC) CHR HKLM\...\Chrome\Extension: [fjoijdanhaiflhibkljeklcghcmmfffh] - C:\Program Files\Tepfel\WebCakeLayers.crx Task: {1DEB668E-AB79-42A7-AA49-2A304FF1FCD0} - System32\Tasks\DSite => C:\Users\daniel\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE [2013-08-12] () Task: C:\Windows\Tasks\DSite.job => C:\Users\daniel\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE R2 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1562.220\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [2838480 2013-08-13] () R2 WebCakeUpdater; C:\Program Files\Tepfel\WebCakeDesktop.Updater.exe [51992 2013-08-10] (cake bake) S3 gdrv; \??\C:\Windows\gdrv.sys [x] C:\Users\daniel\P-7-78-8964-9648-3874 C:\Users\daniel\AppData\Local\avgchrome C:\Users\daniel\AppData\Local\eorezo C:\Users\daniel\AppData\Local\Lollipop C:\Users\daniel\AppData\Roaming\0D0S1L2Z1P1B0T1P1B2Z C:\Users\daniel\AppData\Roaming\Babylon C:\Users\daniel\AppData\Roaming\DSite C:\Users\daniel\Qtrax C:\ProgramData\Babylon C:\Windows\System32\searchplugins C:\Windows\System32\Extensions Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Na dysku E jest folder "bez nazwy": [01/09/2013 - 17:20:01 | RD ] E:\ Wejdź do niego i przenieś cokolwiek jest w nim poziom wyżej, po tym przez SHIFT+DEL skasuj folder z dysku. 3. Odinstaluj adware w poprawny sposób: - Przez Panel sterowania: BrowserDefender, Tuto_4pc, Update for Zip Opener, Web-Cake 3.00, Zip Opener Packages - W Google Chrome: ma uszkodzone preferencje. Wejdź do ustawień. W rozszerzeniach odinstaluj Web Cake (o ile nie zniknie po w/w deinstalacji). W zarządzaniu wyszukiwarkami przestaw kilkakrotnie domyślną wyszukiwarkę, aż ustawiosz Google, a śmieci z listy skasuj. Wyczyść Historię. - W Opera: sprawdź na wszelki wypadek czy w Rozszerzeniach / wtyczkach i ogólnie konfiguracji nie widać jakiś śmieci. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner. .

Na zakończenie: 1. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK. Wg raportu siedzą tu wersje: ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX 64-bit (Version: 11.1.102.55) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.202) ----> wtyczka dla Firefox/Opera Adobe Reader XI (11.0.02) (x32 Version: 11.0.02) FileZilla Client 3.7.0.1 (x32 Version: 3.7.0.1) Gadu-Gadu 7.7 (x32) HiJackThis (x32 Version: 1.0.0) ----> deinstalacja (program niezgodny z systemem x64) Java™ 6 Update 22 (x32 Version: 6.0.220) Microsoft Office Professional Plus 2010 (x32 Version: 14.0.4763.1000) ----> instalacja SP1 OpenOffice.org 3.3 (x32 Version: 3.3.9567) Opera 12.15 (x32 Version: 12.15.1748) Safari (x32 Version: 5.34.57.2) ----> deinstalacja, brak łat Skype™ 6.3 (x32 Version: 6.3.107) 2. Prewencyjnie zmień hasła logowania w serwisach. .

Wszystko wykonane, ale to nie koniec. Na dyskach zostały wyprodukowane nowe ukryte obiekty. Jedziemy z kolejną porcją: 1. Otwórz Notatnik i wklej w nim: Folder: C:\WINDOWS\system HKCU\...\Run: [ati2avxx] - C:\WINDOWS\system32\ati2avxx.exe [x] C:\eabja D:\autorun.inf D:\otddn D:\uicvx E:\autorun.inf E:\utrrj J:\autorun.inf J:\nyxvp J:\opfax J:\nqxyj J:\leflv J:\jajdo J:\iocep J:\renli J:\jgxxl J:\lfnlj J:\vyqvw J:\uvohk J:\yvvoy J:\ejftf J:\cfqcd J:\harpo J:\jqmss J:\wgnjp J:\afhal J:\onals J:\jtycj J:\eooha J:\wyooo J:\fwwxm J:\duciu J:\fyiyd J:\yywkf J:\cfsfo J:\qxnwh J:\cnbep J:\stfvc J:\omaiv J:\mcxqk J:\bjknt J:\eajgk J:\ofnhd J:\aengc J:\fonoy J:\xibmj J:\qjqcb J:\tuqil J:\fgvhu J:\fretf J:\ntxua J:\vonho J:\ujiah J:\pajdi J:\smirv J:\cywpi J:\uybia Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom Panda USB Vaccine, wybierz opcję USB Vaccination wskazując dysk J:. Opcja "Computer Vaccination" zbędna, bo to już robiłam skryptem FRST: Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf" /v "" /t REG_SZ /d @SYS:DoesNotExist /f 3. Zrób nowy skan FRST (bez Addition) + USBFix z opcji Listing. Dołącz plik fixlog.txt. .

1. Widzę nowy błąd w Dzienniku, adnotacja o "braku pliku" usługi Instalator modułów Windows: Error: (09/06/2013 09:23:44 AM) (Source: Service Control Manager) (User: ) Description: Usługa Instalator modułów systemu Windows zakończyła działanie; wystąpił następujący błąd: %%126 Uruchom SystemLook x64 i do skanu wklej: :filefind TrustedInstaller.* Klik w Look. Przedstaw wynikowy raport. 2. Po Avast został sterownik filtrujący klawiaturę: ==================== Drivers (Whitelisted) ==================== R1 aswKbd; C:\Windows\System32\Drivers\aswKbd.sys [22600 2013-03-07] (AVAST Software) Wdróż tę operację: Dla pewności pokaż zrzut ekranu. Powiedz mi gdzie Ty widzisz konkretnie te śmieci, bo FRST skasował foldery: C:\Users\user\AppData\Roaming\Mozilla => Moved successfully. C:\Program Files (x86)\mozilla firefox => Moved successfully. .

Wszystko zrobione. Przejdź do tej porcji zadań: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner (używałeś go) uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Uruchom TFC - Temp Cleaner. 3. Zrób pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Zrobione. Przechodzimy do dalszych czynności: 1. Kosmetyka preferencji Google Chrome (martwe wpisy wtyczek). Zresetuj cache wtyczek: w pasku adresów wpisz chrome://plugins i ENTER, na liście wtyczek wybierz dowolną i kliknij Wyłącz, następnie wtyczkę ponownie włącz. 2. Porządki po narzędziach: przez SHIFT+DEL dokasuj pozostały folder C:\FRST, w OTL uruchom Sprzątanie. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Na wszelki wypadek zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. .

Wszystko poszło gładko. Teraz należy upłynnić magazyn FRST zablokowany obiektami ZeroAccess. Otwórz Notatnik i wklej w nim: DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

W systemie działa infekcja uruchamiana przez Harmonogram zadań (zadanie o nazwie zxgc kierujące na plik mstscaxy.dll). Infekcja ta wyłącza Centrum, Przywracanie systemu i Windows Defender. Przechodząc do usuwania: 1. Otwórz Notatnik i wklej w nim: Task: {10FA7D97-A6C3-4274-B1A3-2CE463916831} - System32\Tasks\zxgc => C:\Windows\system32\mstscaxy.dll [2013-09-05] () Task: C:\Windows\Tasks\zxgc.job => C:\Windows\system32\mstscaxy.dll C:\Windows\system32\mstscaxy.dll C:\Users\AS-BUD\AppData\Roaming\hellomoto HKCU\...\Run: [] - [x] HKCU\...\Run: [ABBYY Screenshot Reader Retail] - [x] HKCU\...\Run: [AdobeBridge] - [x] Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll [X] SearchScopes: HKLM - DefaultScope value is missing. FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\qvo6.xml S3 BOCDRIVE; \??\C:\Program Files\Comodo\CBOClean\BOCDRIVE.sys [x] S3 massfilter; system32\drivers\massfilter.sys [x] S3 MREMPR5; \??\C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS [x] S3 MRENDIS5; \??\C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS [x] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [x] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [x] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [x] CMD: netsh advfirewall reset Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Włącz usługi zdeaktywowane przez infekcję: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie). Windows Defender za to nie będzie tu włączany celowo = działa w tle MSSE (który i tak go deaktywuje). Ochrona systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" 3. Uruchom TFC - Temp Cleaner. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .