picasso

To nie jest pełny log z OTL, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). W raporcie brak oznak klasycznej infekcji, ale czy ten monitoring był instalowany celowo: O4 - HKU\S-1-5-21-682003330-764733703-839522115-1003..\Run: [tsmon.exe] C:\Program Files\TSS Manager\tsmon.exe () Winę ponosił przestawiony czas komputera na prawie rok wstecz. Mówi o tym OTL, który powstał "11 stycznia 2012": OTL logfile created on: 2012-01-11 16:35:06 - Run 2 Zły czas = certyfikaty nie działają poprawnie. .

Skoro prowadzone działania na innym forum, należało podać link, bym mogła ocenić co robiono. Tak więc podaj, ponieważ chcę sprawdzić w jaki sposób usuwano infekcję ZeroAccess. Ostatnie logi, które tu dostarczyłeś = tylko do poprawki domyślne wyszukiwarki Internet Explorer + Google Chrome, ale to kosmetyka i podam na końcu. Na początek link do PCLab podaj. .

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Asia i Łukasz\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\Asia i Łukasz\Dane aplikacji\88ae169 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :OTL IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll File not found O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found O3 - HKCU\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll File not found O4 - HKLM..\Run: [88ae169] C:\Documents and Settings\Asia i Łukasz\Dane aplikacji\88ae169\88ae169.exe (Trend Micro) O4 - HKCU..\Run: [88ae169] C:\Documents and Settings\Asia i Łukasz\Dane aplikacji\88ae169\88ae169.exe (Trend Micro) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ASIAIU~1\USTAWI~1\Temp\catchme.sys -- (catchme) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. System powinien zostać odblokowany. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

Na dysku są tylko minimalne ślady infekcji, w postaci pliku netdislw.pad. Doczyść to i wpisy puste / z błędami: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\netdislw.pad :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :OTL IE - HKLM\..\SearchScopes\{17EAC8B4-377A-4634-81D1-D9A048B14165}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=sny_ie7;" IE - HKU\S-1-5-21-1089462087-4221147369-1076738322-1002\..\SearchScopes\{17EAC8B4-377A-4634-81D1-D9A048B14165}: "URL" = "http://search.aol.com/aolcom/search?query={searchTerms}&invocationType=sny_ie7;" IE - HKU\.DEFAULT\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKU\S-1-5-21-1089462087-4221147369-1076738322-1002\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "http://download.divx.com/player/DivXBrowserPlugin.cab" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.) O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} "http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab" (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart) DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Bysior\AppData\Local\Temp\mfe_rr.sys -- (MFE_RR) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). .

grzegorzd, najpierw wykonaj to co zadał Landuss. Dopiero po wszystkim, gdy będziesz robił nowy log OTL, zajmij się tymi opcjami. .

Co to konkretnie oznacza "wszystkie pliki poblokowane"? A skoro udało się uruchomić Menedżer zadań, to czy z jego poziomu przez Plik > Nowe zadanie da się uruchomić standardowe narzędzie OTL umieszczone np. na pendrive w celu zrobienia raportów? .

Infekcji tu nie widać, są tylko drobnostki adware, ale to odsuwam na potem. Kod błędu0x8007042c = pewnie brak uprawnień, czyli do wykonania to: KLIK. Na początek narzędzie ServicesRepair, jeśli nie podoła, to ręczne instrukcje odbudowy uprawnień za pomocą SetACL. .

htw, zasady działu na temat "posta pod postem". Chcesz uzupełnić informacje, gdy nikt jeszcze nie odpisał = opcja Edytuj. Jest tu rootkit ZeroAccess, a log z OTL sugeruje, że w wariancie infekującym systemowy plik services.exe, ponieważ brak tu śladów ingerencji wariantu CLSID. Wymagane dodatkowe skany: 1. Uruchom SystemLook i do skanu wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. A tego się nie czepiaj. Systemowy plik desktop.ini (te od ZeroAccess leżą w ciut innym miejscu = w GAC), pliki liczników wydajności oraz Windows Mobile. .

Skoro Tryb awaryjny nieosiągalny, to niestety jest potrzebny wgląd do systemu z poziomu środowiska zewnętrznego. Na innym komputerze przygotuj płytę OTLPE i zastartuj z niej na chory komputer w celu zrobienia raportów. Mówisz "nie dysponuje obecnie drugim komputerem": jakiś kolega może udostępni komputer do operacji przygotowania płyty? .

Tomaszyx Z tego co widzę, problem już liczy sobie kilka miesięcy, teraz po prostu dystrybucja w polskim klimacie, co tworzy wrażenie, że infekcja jest "nowa". Skoro przez tak długi okres czasu jest głucho o deszyfratorze, to tylko kolejny dowód, że technicznie nie jest to wykonalne. Tu w temacie było cytowane już stanowisko ekspertów Emsisoft i Dr. Web. Skoro to dla Ciebie za mało, nadal masz wątpliwości jak widzę (wzmianka o "ekspertach" i "hackerach"), wyślij próbki plików zaszyfrowanych do innych laboratoriów antywirusowych. Niech jasno napiszą Ci co sądzą o tych próbkach. To nie pierwsza infekcja o tak destrukcyjnym charakterze i nie jedyna infekcja której plików nie można odszyfrować. Dla porównania: 4 lata temu wykryta infekcja GPCode w wariancie usprawnionym (KLIK). Mogłeś odwiedzić jakąś stronę, która była zainfekowana. Prawidłowe strony też mogą narażać na niebezpieczeństwo. kostykiewicz Nie wiem jakie jest konkretnie źródło tej infekcji, pewnie to co w pozostałych przypadkach infekcji "policyjnych" etc, czyli exploity na stronach umożliwiające wykonanie złośliwego skryptu (typu: plik PDF ze zintegrowanym kodem JavaScript, automatycznie startujący aplet Java etc). Jedyne co mogę radzić to tradycyjne kroki ogólne: zaktualizowane całe oprogramowanie (nie tylko antywirus, któremu zresztą nie należy za bardzo dowierzać, ale Windows i wszystkie programy w tym klasyki wtyczkujące Java czy Adobe), stosowanie wirtualizacji / piaskownic przy przeglądaniu sieci Web, i regularna kopia zapasowa cennych danych na kompletnie izolowanym nośniku. .

Wyraźnie prosiłam o skan w SystemLook. A jeśli kopia nie zostanie znaleziona, już ja na to zaradzę. .

Tomaszyx, czy przeczytałeś co wyżej napisane? Wszystko na ten temat zostało już powiedziane i nikt tu już nic nie wymyśli. Pliki *.block są nie do odszyfrowania. Jest to niemożliwe, a potwierdzili to technicy z Dr. Web (patrz do postu Pacjencja). Co najwyżej można szukać poprzednich wersji plików za pomocą PhotoRec, jak podałam (instrukcja dla innej infekcji, ale to nie ma znaczenia, operacja taka sama). .

Nie podałeś danych: A co do: Ten crack montuje usługę. Nie jest widoczna w raporcie OTL = wygląda na to, że został tylko katalog po tym śmieciu. Narzędzie Fix-it deinstalacji Office 2013 też możesz prewencyjnie zapuścić. A wg tego to Ricoh Card Reader / Memory Stick Controller: KLIK / KLIK. Szukaj na stronie Toshiba pasującej paczki. A jaka tu konkretnie wersja Catalyst siedzi? Nie wygląda na zbyt nową, bo na Twojej liście zainstalowanych figuruje pozycja pod starą marką "ATI Catalyst Install Manager" a nie "AMD Catalyst Install Manager". ATI to teraz AMD (KLIK) i nowe paczki instalują pozycję pod nazwą AMD. Plus z loga OTL daty komponentów (rok 2009): ========== Services (SafeList) ========== SRV - [2009-07-29 23:54:10 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility) ========== Driver Services (SafeList) ========== DRV - [2009-07-30 12:06:30 | 004,994,560 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag) .

Coś mi się w oczach mieniło. Tak, oczywiście punkt 3 razem miał deinstalację + Sprzątanie. Natomiast mówię: dostarcz nowe raporty OTL, bym mogła ocenić co się zmieniło w systemie.

Tak ma być. Sprzątanie usuwa OTL. Bardzo wątpliwe, by działania OTL miały coś do rzeczy. Skrypt był minimalny i nieinwazyjny, a Sprzątanie usuwa tylko komponenty OTL (plik OTL.exe + katalog kwarantanny C:\_OTL z dysku, klucz OTL z rejestru) oraz rekonfiguruje opcje widoczności ukrytych plików do poziomu domyślnego. I nic poza tym. Skoro masz problem z wolnym startem i muleniem Windows, stało się całkiem co innego. W związku z nowym problemem ponownie pobierz OTL i zrób nowe logi. Nie, Sprzątanie w OTL nie rusza punktów Przywracania systemu. To deinstalacja ComboFix usuwa punkty Przywracania systemu tworząc najnowszy z aktualnego stanu systemu, ale przecież do tego nie doszedłeś. Czyli: jeśli nie masz punktów, to z innego powodu niż przeprowadzone tu działania. .

Moje podejrzenie na temat dziwnego wątku w GMER się sprawdziło. Kolejna infekcja w systemie, rootkit Rloader... Przechodząc do usuwania infekcji: 1. Uruchom TDSSKiller, ale tym razem dla wyniku Virus.Win32.Rloader.a przyznaj akcję Cure. Zresetuj system. 2. Odblokuj plik HOSTS. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\system32\drivers\etc\hosts Klik w Unlock. Następnie zresetuj plik do postaci domyślnej XP (aktualnie nie jest taka) za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\All Users\Dane aplikacji\44C58FE4EBC2D067000044C54B25D69D C:\Documents and Settings\marcin\Dane aplikacji\*.exe C:\Documents and Settings\All Users\Dane aplikacji\CPA_VA C:\Documents and Settings\marcin\Moje dokumenty\SoftonicDownloader_for_euro-truck-simulator-2.exe C:\Documents and Settings\marcin\Pulpit\bundlesweetimsetup.exe C:\Documents and Settings\marcin\Pulpit\Search the Web.url C:\Documents and Settings\marcin\Pulpit\SweetPcFix.url :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main] "Start Page"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main] "Start Page"=- :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={4E7C4930-3575-11E2-B7C8-001E8C21AAC7}" IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\SearchScopes\{DCDBBF03-BC10-457D-911F-EFB0321D22BE}: "URL" = ${SRCH_SCP_URL} IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10002&barid={4E7C4930-3575-11E2-B7C8-001E8C21AAC7}" IE - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - SOFTWARE\Classes\CLSID\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}\InprocServer32 File not found O3 - HKU\S-1-5-21-682003330-1965331169-725345543-1003\..\Toolbar\WebBrowser: (BitTorrentBar Toolbar) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - Reg Error: Value error. File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O16 - DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab" (Reg Error: Key error.) DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\hlmvoeka.sys -- (wihyy) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Odbuduj skasowane przez trojana ZeroAcces usługi Centrum Zabezpieczeń i Zapory plus korekta nieprawidłowo naprawionych przez MBAM kluczy zmodyfikowanych przez ZeroAccess. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32] @="C:\\WINDOWS\\system32\\wbem\\fastprox.dll" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 5. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, Softonic for Windows, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller, Update Manager for SweetPacks 1.1. Od razu pozbądź się też zbędnego Akamai NetSession Interface. 6. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 7. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 8. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER, Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner. .

W systemie działa też adware Browser Manager / v9. W kwestii: W logu widoczny tylko plik dsgsdgdsgdsgw.pad infekcji. Ale nie sądzę, że log jest zrobiony z poziomu właściwego konta. Zalogowane konto: Computer Name: NGW-PLWALTOS1 | User Name: 501805673 | Logged in as Administrator. Foldery konta 501805673 są oznaczone jako co dopiero zrzucone na dysk. Na dysku istnieją foldery drugiego konta o nazwie 108003109. Konta mają inne rejestry i foldery, a jeśli infekcja działa po stronie konkretnego konta nie jest widzialna z poziomu innego konta. Logi z OTL muszą być zrobione z poziomu konta na którym jest problem. .

Problem jest szerszy. Infekcja Brontok owszem, ale także mnóstwo innych, w tym rootkit ZeroAccess nabyty z lewej paczki kodeków Mega Codec Pack. Infekcja ZeroAccess ma bardzo inwazyjny charakter, bo kasuje z rejestru usługi Zapory, Pomoc IP, Centrum zabezpieczeń, Windows Update i Windows Defender. Log sugeruje, że jest tu wariant atakujący systemowy plik services.exe. Wymagane dodatkowe skany: 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe :reg HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects /s Klik w Look. 2. Zrób log z Farbar Service Scanner. .

Zasady działu: KLIK. Dostarcz obowiązkowe w tym dziale logi, a dodatkowo też USBFix z opcji Listing. Pewnie foldery są ukryte przez atrybuty HS (systemowy ukryty) i by je widzieć należy mieć odznaczoną opcję Ukryj chronione pliki systemu operacyjnego. Tak, to zachowanie sugeruje infekcję tzw. skrótami LNK. .

To sugeruje sterowniki. Może pokaż nowy log OTL z opcji Skanuj. To jest narzędzie Microsoftu do usuwania wybranych infekcji, opis: KB890830. Instalowane jest automatycznie wraz z aktualizacjami systemu z Windows Update. .

"Rzekomo"? Na pewno, w końcu są pliki tej infekcji na dysku. Należy to doczyścić. Poza tym, system zaśmiecony adware. 1. Przez Panel sterowania odinstaluj adware Ask Toolbar, Babylon toolbar, Brothersoft Toolbar, Complitly, Download Updater (AOL LLC), Funmoods on IE and Chrome, Searchcore Toolbar, SpecialSavings, Updater Service, Winamp Toolbar, Windows Searchqu Toolbar. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\kasia\Menu Start\Programy\Autostart\runctf.lnk C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\WINDOWS\tasks\At*.job C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService C:\Documents and Settings\kasia\Dane aplikacji\OpenCandy C:\Documents and Settings\kasia\Dane aplikacji\PriceGong :OTL IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120407085029296&tb_oid=07-04-2012&tb_mrud=07-04-2012" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2421}: "URL" = "http://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2426}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=151111&systemid=426&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487" IE - HKCU\..\SearchScopes\{B727824D-18C3-45C6-AD7C-050B4A457F00}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=0517E399-BEC8-40E5-8C13-DB21B94AD559&apn_sauid=04A3574F-F915-48BE-A7C1-855DD2D9618A" IE - HKCU\..\SearchScopes\{E3D25BFF-12AF-464C-9098-920107A4A2D9}: "URL" = "http://start.funmoods.com/results.php?f=4&a=make&q={searchTerms}" IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120407085029296&tb_oid=07-04-2012&tb_mrud=07-04-2012" O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [DATAMNGR] C:\PROGRA~1\SEARCH~2\Datamngr\DATAMN~1.EXE File not found O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found O4 - HKCU..\Run: [gStart] C:\Garmin\gStart.exe File not found O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.) SRV - File not found [Auto | Stopped] -- C:\Program Files\Blaze Media Pro\NMSAccess32.exe -- (NMSAccess) SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService\ibsvc.exe /SERVICE -- (IBUpdaterService) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. .

Z logów nic ciekawego nie wynika. Do sprzątnięcia tylko szczątki po Nortonie za pomocą Norton Removal Tool uruchamianego w Trybie awaryjnym. I system w ogóle nieaktualizowany: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstationInternet Explorer (Version = 7.0.6001.18000) Skoro wyłączone DHCP, brak sieci wyjaśnialny. Czy jest jakiś problem z włączeniem wynienionych tu usług? Czy pojawia się określony błąd przy takiej próbie z poziomu services.msc? .

To niech ten ktoś dostarczy te dane drogą mailową (wynikowe logi + katalog CBS spakować do ZIP > na hosting > link w mailu przesłać), w czym jest problem z tym? A kod błędu nie wystarczy, taki sam kod błędu może mieć różne przyczyny, to musi być diagnozowane w bardziej szczegółowy sposób. .

Na temat używania ComboFix: KLIK. Używałeś go w szale wiele razy i nawet nie odinstalowałeś prawidłowo: ComboFix-quarantined-files.txt 2012-12-05 13:03ComboFix2.txt 2012-09-29 09:28 ComboFix3.txt 2012-05-26 08:04 ComboFix4.txt 2012-02-16 12:01 ComboFix5.txt 2012-12-05 12:39 ComboFix kasował pliki robaka Brontok, ale to wygląda mi na jakieś niedoczyszczone kiedyś tam odpadki i nie wygląda na związane z problemem głównym. W logach OTL także brak oznak infekcji, tylko drobne szczątki adware. Czyszczenie Firefox z adware omijam, bo to co w logach już nieaktualne: Do wykonania: 1. Przez Panel sterowania odinstaluj adware FoxTab PDF Creator. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" :OTL IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=b43fe2e3000000000000001bb1413d86" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found [2012-01-13 10:58:28 | 000,002,310 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml [2012-09-04 13:34:31 | 000,000,012 | ---- | C] () -- C:\ProgramData\7060 [2012-09-04 13:34:31 | 000,000,012 | ---- | C] () -- C:\Users\RolTech\AppData\Local\5050 [2012-09-04 13:34:31 | 000,000,012 | ---- | C] () -- C:\Users\RolTech\AppData\Roaming\4629 [2012-09-04 13:34:31 | 000,000,012 | ---- | C] () -- C:\ProgramData\3036 [2012-09-04 13:34:31 | 000,000,012 | ---- | C] () -- C:\ProgramData\0843 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 3. Odinstaluj ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\RolTech\Downloads\combofix.exe /uninstall Gdy komenda ukończy działanie w OTL uruchom Sprzątanie. 4. Skoryguj plik HOSTS. Został źle zresetowany: O1 HOSTS File: ([2012-12-05 13:50:55 | 000,000,027 | ---- | M]) - C:\WINDOWS\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhost Na Windows 7 ma on inną domyślną postać (wszystkie wpisy nieczynne, skomentowane przez #). Zastosuj ten Fix-it: KB972034. 5. Windows nieaktualizowany, notowany brak SP1. W systemie zainstalowane też stare Adobe / Java / Silverlight. Wszystko do deinstalacji, a Firefox do aktualizacji. 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 9.0.8112.16421) ========== HKEY_LOCAL_MACHINE Uninstall List ========== 64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java™ 6 Update 20 (64-bit) [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31 "{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox) "Adobe Shockwave Player" = Adobe Shockwave Player 11.6 "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\SysWOW64\Adobe\Director\np32dsw_1165635.dll (Adobe Systems, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) .

Infekcji i adware brak, temat zmienia dział: Temat przenoszę do działu Sieci. Dostosuj się do wymogów działu: KLIK. Jeśli DawidS28 oceni temat w inny sposób, być może przeniesie temat do Windows. Brak takich oznak. Na przyszłość: DriverMax jako doradca to niefortunna sprawa. Można sobie więcej napsuć niż polepszyć. Sterowniki należy typować i instalować ręcznie, nie dowierzając żadnym automatom. A w Dzienniku zdarzeń przewijają się błędy tego typu: Error - 2012-12-09 00:16:33 | Computer Name = HashMan-PC | Source = atikmdag | ID = 52236Description = CPLIB :: General - Invalid Parameter Error - 2012-12-09 00:16:33 | Computer Name = HashMan-PC | Source = atikmdag | ID = 43029 Description = Display is not active O jakich plikach Office 2013 mówisz? Komponent AutoKMS to jest część cracka a nie Office jako takiego. Po prostu przez SHIFT+DEL skasuj folder C:\Windows\AutoKMS. "Niechcianych" tu nie widać. Jeśli rzeczywiście jest problem z plikami Office 2013 (a nie cracka), to użyj to narzędzie Fix-it + instrukcję ręcznego usuwania: KB2739501. Jeśli system "muli", to podejrzany może być Avast, bo to najgrubsze co tu widać jako doinstalowane. Poza tym, system niezaktualizowany, brak SP1: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation .