picasso

Udaję, że nie słyszałam tego drugiego pytania, i pewnie to jedna z dróg jaką się nabawiłeś świństw. Co do darmowych cokolwiek z tego wybierzesz będzie OK: Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall Antywirus: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus, Microsoft Security Essentials Pakiet: COMODO Internet Security Piaskownica wirtualna: SandBoxie (30-dni trialu, ale da się po tym korzystać za free tylko ekran przypominający o zakupach się uruchamia), GeSWall Freeware .

Jeśli wszystkie trzy partycje zostaną sformatowane, to możesz sobie darować czynności podane powyżej. Tylko podkreślam: z tych partycji w aktualnym stanie nie wolno Ci skopiować plików wykonywalnych (instalatory / sterowniki etc), bo najmniejszy nawet załążek wirusa rozpocznie infekcję na sformatowanym dysku i cała robota pójdzie na marne. .

Zrobione, możesz kończyć: 1. W OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do deinstalacji starsze Adobe i Java, do aktualizacji Google Chrome i Office 2010 (instalacja SP1): KLIK. Wersje widziane w Twoim systemie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86417007FF}" = Java 7 Update 7 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Google Chrome" = Google Chrome 23.0.1271.95 "Office14.PROPLUS" = Microsoft Office Professional Plus 2010 Dodatkowo polecam szybko pozbyć się potwora Gadu-Gadu 10 na korzyść mniej zasobożernego programu z obsługą sieci Gadu (WTW, Kadu, Miranda, AQQ): KLIK. .

Czyli to wirus Parite. To ten sam model infekcji co Sality, czyli infekcja plików wykonywalnych na wszystkich dyskach. Asia niestety ja w tym momencie mogę zalecić tylko skan, by odwirusować ile się da, a po tym format (a kopia zapasowa plików wykonywalnych wykluczona). Może zrób tak: 1. Usuń tego rootkita w MBR za pomocą Kaspersky TDSSKiller. 2. W Trybie awaryjnym uruchom rmparite. 3. Zrób skan dysku C z poziomu płyty Kaspersky Rescue Disk. Jest problem z pozostałymi partycjami, mówisz że są zaszyfrowane = nie można się do nich dostać, a tam też może być wirus. 4. Następnie format... .

1. Przez Panel sterowania odinstaluj adware Yontoo 1.10.03. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\windows\SysWow64\Extensions C:\windows\SysWow64\searchplugins C:\Program Files (x86)\BabylonToolbar C:\ProgramData\Babylon C:\ProgramData\Tarma Installer C:\Users\misza\AppData\Roaming\Babylon C:\Users\misza\AppData\Roaming\Mozilla :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "bProtectorDefaultScope"=- :OTL IE - HKU\S-1-5-21-2064420593-3171814334-1118566834-1001\..\URLSearchHook: {b6ac5e3c-5ceb-4e72-b451-f0e1ba983c14} - No CLSID value found O3 - HKU\S-1-5-21-2064420593-3171814334-1118566834-1001\..\Toolbar\WebBrowser: (no name) - {B6AC5E3C-5CEB-4E72-B451-F0E1BA983C14} - No CLSID value found. IE - HKU\S-1-5-21-2064420593-3171814334-1118566834-1001\..\SearchScopes\${searchCLSID}: "URL" = "http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}" O4 - HKLM..\Run: [] File not found O4 - HKLM..\RunOnce: [CleanSetup] cmd /C rmdir /S /Q "C:\Users\misza\AppData\Local\Temp\nro.tmp\" File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. Zaprezentuj. 4. W Google Chrome siedzi wtyczka Conduit: ========== Chrome ========== CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Users\misza\AppData\Local\Google\Chrome\User Data\Default\Extensions\dknkjnkhedbanphkkpbpcgoblmkbfhlf\2.3.15.10_0\plugins/ConduitChromeApiPlugin.dll Nie ruszy tego AdwCleaner ani OTL. Jej wycięcie wymaga bezpośredniej edycji kodu pliku preferencji. Poza tym, skan OTL jest limitowany i na pewno jest więcej do usuwania z preferencji niż widać w logu. Skopiuj na Pulpit plik: C:\Users\misza\AppData\Local\Google\Chrome\User Data\Default\Preferences Shostuj gdzieś i podaj tu link. .

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Java 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files %APPDATA%\Microsoft\jushed.exe C:\Users\Maciej\AppData\Roaming\wyUpdate AU :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Do oceny wystarczy tylko log z wynikami usuwania OTL, nowy skan zbędny. A że log krótki = wklej wprost w poście. .

Czy w oknie COMODO widzisz chociaż pod jaką nazwą wykrywa zagrożenia? Jeśli COMODO cały czas wykrywa exe jako zainfekowane i usuwa pliki, to nasuwa się mój pierwszy post, w którym na podstawie błędu TrueCrypt typowałam infekcję: Ten wirus jest okropny i atakuje pliki wykonywalne na wszystkich dyskach. Zwalczyć to bez formatu duża sztuka. Tu nie mam potwierdzenia co za wirus siedzi, bo nie jesteś w stanie podać mi danych COMODO, ale zachowanie wskazuje na katastrofę. Czyli mamy tu dwie bardzo poważne infekcje: rootkit w MBR + infekcja w plikach wykonywalnych. W takiej sytuacji bez zastanowienia: format. Tylko uwaga: z dysków nie wolno zrobić kopii zapasowej plików wykonywalnych, bo po formacie rozwalą system i infekcja zacznie się od początku. I jest tu też problem: Nie wiadomo co jest na tych partycjach, czy wirus tam miał dostęp. .

W logu OTL widać tylko to: [2012-10-07 15:07:49 | 000,000,000 | -HSD | M] -- C:\Users\Maciej\AppData\Roaming\wyUpdate AU Ale nie to: Wyłączałeś msconfigiem? OTL domyślnie nie skasuje tych miejsc. Uruchom SystemLook x64 i w oknie wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s Klik w Look. .

Adware. Wymagane raporty z OTL do oceny systuacji.

Ja nadal nie wiem o czym mówimy. Podałaś mi log z Kaspersky TDSSKiller i tam są tylko dwa wyniki: zablokowany sterownik SPTD + rootkit Sinowal w MBR. O jakim Kasperskym mówisz teraz: TDSKiller czy Kaspersky Virus Removal Tool? Poza tym, skoro było "175 zagrożeń" to pokaż mi przykładowe wyniki ze skanu co to w ogóle było, bo jak mogę to ocenić. .

Co do raportu OTL, to potwierdzam wykonanie czyszczenia śmieci zadane w poście #4. Tylko kosmetyczne działania czyszczące na koniec: 1. Zresetuj plik HOSTS do postaci domyślnej za narzędzia Fix-it: KB972034 2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji wymienione poniżej programy: Internet Explorer (Version = 8.0.7601.17514) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24 "{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4) "Adobe Shockwave Player" = Adobe Shockwave Player 11.5 ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-3733330999-942996888-703669214-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Google Chrome" = Google Chrome 23.0.1271.95 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) Zaktualizuj Google Chrome i Internet Explorer, odinstaluj wszystkie wyliczone tu stare Adobe Reader X + Adobe Shockwave Player + Java + Silverlight i jeśli potrzebne zastąp najnowszymi: KLIK. Nie jestem w stanie stwierdzić jak do tego doszło, może jakiś program uzyskiwał w nieprawidłowy sposób dostęp do linków symbolicznych i zdjął im niechcący uprawnienia, a może błąd systemu czy na dysku. W wersję nieautoryzowanego dostępu wątpię. Po co się bowiem trudzić z usuwaniem uprawnień z tych linków, skoro to są tylko linki do innych niezablokowanych lokalizacji, które można otworzyć od razu. Te linki służą do symulacji starej struktury folderów znanej z XP, tak by programy niekompatybilne zostały przekierowane na nowe ścieżki. Np. C:\Documents and settings to link do C:\Users. Linki muszą być zablokowane, bo skutki ich niezablokowania namacalnie tu doświadczone. .

Nie rozumiem. Opisz mi dokładniej co się dzieje.

Rootkit jest czynny. Przechodzimy do właściwego usuwania infekcji oraz adware: 1. Uruchom TDSSKiller i tym razem dla wyniku Rootkit.Boot.Sinowal.b przyznaj akcję Cure. Zresetuj system. Po restarcie uruchom ponownie TDSSKiller i sprawdź czy wykrywa bootkita. 2. Przeinstaluj TrueCrypt ze świeżego instalatora, bo ten błąd, od którego się zaczął temat, jest podejrzany. Na razie nie wykonuj żadnego szyfrowania dysku. 3. Odinstaluj adware: Przez Dodaj/Usuń Programy usuń Astroburn Toolbar, uTorrentControl2 Toolbar, V9 Homepage Uninstaller. Od razu pozbądź się też COMODO GeekBuddy, to zbędnik. Google Chrome: W zarządzaniu wyszukiwarkami przestaw domyślną z v9 na Google, po tym v9 usuń z listy. W Rozszerzeniach odinstaluj uTorrentControl2. Firefox: wyczyść z adware poprzez menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Doczyść inne ślady rootkita MBR / adware / wpisy puste. Uruchom OTL (nie OTLPE) i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Administrator\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Program Files\mozilla firefox\searchplugins\v9.xml netsh firewall reset /C :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv64xx) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv61xx) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (GEARAspiWDM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cx__l1.sys -- (cx__l1.sys) IE - HKU\S-1-5-21-1123561945-1580818891-1801674531-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}" IE - HKU\S-1-5-21-1123561945-1580818891-1801674531-500\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKU\S-1-5-21-1123561945-1580818891-1801674531-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253" FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Program Files\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. W katalogu Moje Dokumenty masz plik o wadliwej nazwie, ta końcowa kropka czyni go niekasowalnym (błąd "plik nie istnieje"): ========== Files Created - No Company Name ========== File not found -- C:\Documents and Settings\Administrator\Moje dokumenty\Administrator. Skasuj go posługując się narzędziem Delete FXP Files. 7. Zrób nowe logi OTL z opcji Skanuj oraz dołącz logi TDSSKiller z leczenia + AdwCleaner z usuwania. Tylko się upewnię, czy od Twojego pliczków svhost.exe pochodzą także te pliki: I na wszelki wypadek podaj zawartość tego ukrytego pliku autorun.inf: O32 - AutoRun File - [2012-12-16 16:44:10 | 000,000,558 | RHS- | M] () - J:\autorun.inf -- [ FAT32 ] Plik jest gruby = zawartość umieść na wklej.org. EDIT: Dopisałaś. Zaraz ... Jakie "usuwanie plików"? Kaspersky nic nie usuwa bez poinstruowania, nic nie robi samodzielnie. Co tu się dzieje? Czy to oznacza, że pliki Ci same znikają? Skąd? Czy tu aby nie ma jakiegoś dodatkowego backdoora / wirusa, który pliki kasuje? Raportowałaś już po uruchomieniu OTL problem, wtedy zniknął plik userinit.exe. Na pewno tego nie zrobił OTL. .

Owszem, masz uszkodzone ścieżki folderów powłoki. Wymagany dodatkowy skan. Uruchom SystemLook i w oknie wklej: :reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Klik w Look i przedstaw log. Wiem gdzie jest oryginał, w związku z tym nie ruszam tego co zadano do usuwania, by nie krzyżowały się instrukcje. .

Zastrzeżenia do logów: - Zrobiłaś log z poziomu płyty OTLPE. Tam jest bardzo stary OTL. Skoro system już startuje po uzupełnieniu pliku userinit.exe, należy zrobić raporty za pomocą klasycznego OTL uruchamianego spod Windows, bo jest znacznie nowszy i ma dodatkowe skany. O te raporty poproszę potem, gdy zadam stosowne instrukcje usuwające śmieci z systemu. - Log z GMER został zrobiony w nieprawidłowych warunkach, przy czynnych sterownikach emulacji napędów wirtualnych (KLIK): DRV - [2012-02-27 11:54:07 | 000,443,448 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)DRV - [2012-02-11 15:46:25 | 000,232,512 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01) Wracając do wątku infekcji, w logu z GMER jest widzialny kod rootkita MBR: ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 976752003 Disk \Device\Harddisk0\DR0 PE file @ sector 976752025 Nie wiadomo czy rootkit jest czynny. Wykonaj skan za pomocą Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i log do oceny zaprezentuj. Jeśli wykryje tylko sterownik SPTD emulatora napędów wirtualnych, to log zbędny. .

Na C zapewne były pliki rozruchowe Windows (boot.ini, ntdetect.com, ntldr). Wymagane byłoby: uzupełnienie tych plików + naprawa MBR. Tego nie rozumiem. "Nie ma partycji" = przeklej dokładnie ten komunikat. I podaj listę partycji = zdjęcie ekranu z GParted. .

Zadanie pomyślnie wykonane. Temat uważam za zakończony. Zamykam.

Na wszelki wypadek pokaż mi nowy log OTL, który ma udawadniać prawidłową postać pliku HOSTS. Ogranicz skan do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. .

neverthry Druga strona tego tematu i brak skuteczności: KLIK. Tak więc to nie działa we wszystkich przypadkach. Zostało podane tu już przez bobsona narzędzie DeBlock. .

Czyli potwierdzone: wersja blokująca pobieranie SP1 z Windows Update. Tak, te sterowniki Intel® HD Graphics Driver wyglądają na właściwe. Ale zaktualizuj też pozostałe sterowniki chipsetu Intel. W podanym linku masz też odnośnik do Intel Driver Update Utility, który służy do skanu pod kątem aktualizacji komponentów Intel. Zobaczymy co się stanie po aktualizacji sterowników Intel. .

To w końcu usunąłeś teraz już tę kropkę i TXT? O czym mówisz? Chyba nie o pliku HOSTS? To co wyżej nie ma związku z detekcjami w CCleaner. .

Tak się nie da. W jaki sposób chcesz zrobić kopię "bez programów" mając już je zainstalowane? Nie wystarczy tylko wykluczyć katalogi na dysku, bo co z rejestrem? Cały rejestr ma u Ciebie mnóstwo odnośników do zainstalowanych programów. Żaden program do kopii zapasowej nie obrobi rejestru w taki sposób, by selektywnie z niego powycinać programy zostawiając tylko części od Windows. To do czego zmierzasz to stan po czystej instalacji Windows 7, co tu jest awykonalne. Wiemy z innego tematu, że nie masz w ogóle nośnika instalacyjnego Windows, dlatego dążysz do backupu. Singapjap w Twojej sytuacji w grę wchodzi kopia całej partycji Windows z tym co już masz. Jeśli nie chcesz uwzględniać w kopii określonych programów, to musisz je po prostu odinstalować i wyczyścić po nich ręcznie przed rozpoczęciem akcji z kopią. Mnie ciągle brakuje czasu na sprawdzenie opcji Reflect, nie pamiętam ich po prostu. Natomiast jeszcze jedna sprawa, może dla Ciebie łatwiejsza ze względu na język komunikacyjny, w Windows 7 także masz wbudowane narzędzie do tworzenia obrazu dysku z Windows. Panel sterowania > System i zabezpieczenia > Kopia zapasowa/Przywracanie > Utwórz obraz systemu. .

Wystarczy tylko zmienić mu ręcznie nazwę usuwając kropkę i txt. .

Sprawy czyszczenia systemu z infekcji ukończone. Daj sygnał do zamknięcia tematu. Inne problemy już w nowych tematach dla porządku. To też mnie dziwi. Tak, dezinstalacja woluminu jest konieczna, by wykonać sprawdzanie dysku w trybie naprawczym. W tej kwestii załóż nowy temat w dziale Hardware. Podaj zgodnie z zasadami tego działu pełną specyfikację sprzętową, podane tu wyniki CrystalDiskInfo oraz może jeszcze skan+SMART wykonany w MHDD. .

Jeśli ktoś nadal ma problem, to dla ułatwienia (choć nie wiem czy mi wolno), by nie miotać się z bezsensowną rejestracją na tym hiszpańskim forum, tymczasowo umieściłam plik do pobrania u nas: KLIK. .