picasso

Jest problem z plikiem services.exe, jest zablokowany (nie sprawdzona suma kontrolna):

C:\Windows\System32\services.exe --a---- 328704 bytes [23:19 13/07/2009] [01:39 14/07/2009] (Unable to calculate MD5)

Przejdź w Tryb awaryjny Windows. Uruchom GrantPerms x64, w oknie wklej:

C:\Windows\System32\services.exe

Klik w Unlock. Po tym zrób ponownie log z SystemLook na te same warunki co poprzednio.

.

Jaki konkretnie błąd otrzymujesz podczas próby dostania się do zasobów udostępnionych?

Logi zrobione z poziomu złego konta, czyli wbudowanego Administratora (konto co dopiero aktywowane) a nie użytkownika:

Computer Name: BIZNES-MARIUSZ | User Name: Administrator | Logged in as Administrator.

Konta mają różne rejestry i foldery, logi muszą być zrobione z poziomu konta na którym jest problem. Proszę o zrobienie nowych logów z właściwego konta.

EDIT: Logi podmienione. Czyścimy:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKLM\..\SearchScopes\{20F5AB16-9F2E-4E92-93F2-ECB9ABB0EC42}: "URL" = "http://search.foxtab.com/?q={searchTerms}&s=in1"
IE - HKLM\..\SearchScopes\{ECFA6619-3337-4200-9B8E-FD8C276E776A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=c2d2e0e4-af44-11e1-b1e0-00037aa5659e&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=CZ&install_date=20120304&user_guid=C943F324F5D841BD8838D4294A1F87DA&machine_id=77f07b1184587d6a03d4fb2d95afba43&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=802E25C8-99A7-49F5-8A1D-3093A432EE36&apn_sauid=02B88F16-D2E7-40B9-80D6-A1909D0A0182"
IE - HKCU\..\SearchScopes\{58F728CA-11C2-4C5F-A32A-F745675271DB}: "URL" = "http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7SKPB_plPL333"
IE - HKCU\..\SearchScopes\{ECFA6619-3337-4200-9B8E-FD8C276E776A}: "URL" = "http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7SKPB_plPL333"
IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found
O2 - BHO: (FoxTab) - {9BCF56B3-CF14-4C78-A07D-35DD410A8C11} - C:\Program Files\FoxTab\FoxTabTB.dll ()
O3 - HKLM\..\Toolbar: (FoxTab) - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - C:\Program Files\FoxTab\FoxTabTB.dll ()
O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found
O3 - HKLM\..\Toolbar: (no name) -  - No CLSID value found.
O4 - HKLM..\Run: [AnySend Updater] C:\Program Files\AnySend\AnySendUpdater.exe File not found
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\RunOnce: [036DFF850F422203C66D943B81CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF850F422203C66D943B81CB3EF3\036DFF850F422203C66D943B81CB3EF3.exe ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Files
C:\Documents and Settings\Mariuszek\Pulpit\Live Security Platinum.lnk
C:\Documents and Settings\All Users\Dane aplikacji\036DFF850F422203C66D943B81CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\AnySend
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\Mariuszek\Y2Y2
C:\Documents and Settings\Mariuszek\Y¤Y¤
C:\Program Files\FoxTab
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{6A1806CD-94D4-4689-BA73-E35EA1EA9990}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

2. Przez Panel sterowania odinstaluj adware StartNow Toolbar, Winamp Toolbar, LiveVDO plugin 1.3 (tak, ta wtyczka LiveVDO jest nośnikiem śmieci). Otwórz Google Chrome i w Rozszerzeniach powtórz deinstalację LiveVDO, w zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na cokolwiek innego, po tym Web Search skasuj z listy.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

.

U innych również objawy nie wystąpiły natychmiast po instalacji. Jak mówiłam, widocznie to coś działa sekwencyjnie.

Co do PW. Nie szukaj infekcji. Problemem jest crack Chew7Hale. W logu nadal:

O4:64bit: - HKLM..\Run: [Chew7Hale] C:\Windows\SysNative\hale.exe ()

Plus lista plików tworzonych wspólnie :

[2012-08-22 16:15:34 | 002,169,856 | -HS- | M] () -- C:\Windows\SysNative\hale.exe

[2012-08-22 16:15:34 | 000,107,946 | ---- | M] () -- C:\Windows\SysNative\slmgr.vbs

[2012-08-22 16:15:34 | 000,002,048 | ---- | M] () -- C:\Windows\SysNative\winver.exe

Wpis Chew7Hale nie jest częścią Windows 7 tylko cracka aktywacyjnego Chew7Hale. Masz podane z forum przykłady co on robi z zasobami, a jeśli Ci mało to jeszcze kolejny temat: KLIK. Tu jest na 100% crack aktywacji, a konsultacja z innym informatykiem sugerującym infekcję udawadnia, że on albo nie widział logów, albo nie zna tego tematu. Ile jeszcze dowodów musisz otrzymać zanim weźmiesz się za usuwanie tego?

Już nie wnikam jak on wszedł w system, po prostu się go pozbądź i dopiero wtedy możemy zacząć oceniać stan zasobów. Proszę odinstaluj Chew7Hale. Na PW podałam jak. Po usunięciu przedstawisz logi z OTL.

.

1. Drobna poprawka na szczątki po deinstalacji paska. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKCU\..\URLSearchHook: {e8de9422-3b2c-4243-bf6f-235da84d8ef8} - No CLSID value found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E8DE9422-3B2C-4243-BF6F-235DA84D8EF8} - No CLSID value found.

Klik w Wykonaj skrypt.

2. Przeinstaluj uszkodzone ComboFixem oprogramowanie iPlus. Zaś ComboFix odinstaluj, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

C:\Users\bogusia\Desktop\ComboFix.exe /uninstall

Następnie w OTL uruchom Sprzątanie i przez SHIFT+DEL skasuj z dysku folder C:\Windows\erdnt.

3. Odśwież Avast. Odinstaluj tradycyjną drogą przez Panel sterowania, przy okazji pozbądź się też McAfee Security Scan Plus. Następnie z poziomu Trybu awaryjnego popraw narzędziem Avast Uninstall Utility. Najnowszą wersję zainstalujesz jednak dopiero po wykonaniu punktu 4 (chodzi o to, by Avast nie przeszkadzał Windows Update):

4. Obowiązkowe aktualizacje: KLIK. Wyciąg z Twojej listy zainstalowanych:

Windows Vista Home Basic Edition  (Version = 6.0.6000) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18928)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java™ 6 Update 21
"{3248F0A8-6813-11D6-A77B-00B0D0160000}" = Java™ SE Runtime Environment 6
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.1
"{F1CECE09-7CBE-4E98-B435-DA87CDA86167}" = Skype™ 5.3
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Google Chrome" = Google Chrome 21.0.1180.75
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)

Stare Adobe i Java odinstaluj i wprowadź najnowsze wersje, zaktualizuj resztę. System ma krytyczny poziom aktualizacji, brak tu wszystkich Service Packów i łat wydanych po nich oraz IE9. Wykonaj pełną instalację wszystkiego co należy (SP1 > SP2 > pozostałe łaty) i zgłoś się tu z podsumowaniem akcji. Muszę mieć potwierdzenie, że nie ma błędów instalacyjnych, bo tak niski poziom zabezpieczeń samego Windows jest dość alarmujący.

PS. Polecam też zastąpienie zasobożernego Gadu-Gadu 10 chudszą alternatywą z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

Stop. Zapomniałam, że masz dodatkowy problem z Windows Update i błędy w CBS.LOG (na rozwiązanie których nie mam teraz pomysłu). SFC w ogóle u Ciebie nie działa. Inna metoda:

1. Uruchom Kaspersky TDSSKiller (najnowsza wersja wykrywa i leczy wariant services.exe) i dla wyniku punktującego zainfekowany services.exe przyznaj akcję Cure. Zresetuj system.

2. Punkty 2 do 4 z poprzedniej instrukcji nadal aktualne. Dołącz log z TDSSKiller (będzie na dysku C).

.

1. Odinstaluj skaner Kasperskiego, o ile już to nie nastąpiło. Zamknięcie okna tym skutkuje.

2. Napraw błąd WMI numer 10 z Dziennika zdarzeń bazując na instrukcjach: KB950375.

3. Zaktualizuj podstawowe oprogramowanie: KLIK. Konkretnie z Twojej listy zainstalowanych:

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217005FF}" = Java™ 7 Update 5
"{58B785A2-D2CA-40AA-AE89-FCC49326CDC4}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 ----> pakiet SP3
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla Firefox)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla IE)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008
"Microsoft SQL Server 2008 R2" = Microsoft SQL Server 2008 R2
"Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl)
"Mozilla Thunderbird (3.1.14)" = Mozilla Thunderbird (3.1.14)

+ Service Pack dla Microsoft SQL Server 2008 + SQL Server 2008 R2: KB968382 / KB2527041

jedyny minus to inne komputery widzą mój komputer w sieci ale nie mogą wejść na pliki udostępnione I są pliki udostępnione, nie da się wejść na ten komputer. Jest ta sama grupa robocza i udostępnianie włączone.

Czy we Właściwościach plików / folderów udostępnionych w karcie Uprawnienia jest ustawiony dostęp (odczyt) dla grupy Wszyscy?

.

Tu nie był sprawdzany w ogóle wcześniej SystemLook, a on ujawnia, że ZeroAccess jest tu bardziej rozbudowany, tzn. zainfekował systemowy plik services.exe. Prawdopodobnie nie jest to nowa infekcja tylko stara nie wyleczona do końca. Ponadto, polisa HideSCAHealth ukrywająca ikonę Centrum w obszarze powiadomień również nie została wtedy usunięta.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

sfc /scanfile=C:\Windows\system32\services.exe

Zresetuj system.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O7 - HKU\S-1-5-21-3526035735-2868304185-780809859-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

3. System jest zamęczony antywirusami. Aktualnie na chodzie dwa równocześnie: McAfee AntiVirus Plus + Avast. Jeden z nich do deinstalacji.

4. Zrób nowe logi: OTL z opcji Skanuj, GMER oraz SystemLook na te same warunki co wcześniej.

.

Wymagana poprawka na odpadki adware i nie zauważyłam jednego wpisu infekcji.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "ooVoo Video Chat Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1572363&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "ooVoo Video Chat Customized Web Search"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.1.3
FF - prefs.js..extensions.enabledItems: {414b6d9d-4a95-4e8d-b5b1-149dd2d93bb3}:3.2.1.3
O4 - HKCU..\Run: [3X1U3G4C4CUF8G5DPYK] C:\svchost\3D1A36425D5.exe (IcoFDX Software)
 
:Files
C:\svchost
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

2. Odinstaluj archaiczny Avast. Następnie przejdź w Tryb awaryjny Windows i popraw specjalizowanym czyścicielem Avast Uninstall Utility.

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 1.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKU\S-1-5-21-3163537065-3799903199-1515317050-1000..\RunOnce: [036DFF9802EDA231E77CF6516C44B161] C:\ProgramData\036DFF9802EDA231E77CF6516C44B161\036DFF9802EDA231E77CF6516C44B161.exe ()
O4 - HKU\S-1-5-21-3163537065-3799903199-1515317050-1000..\Run: []  File not found
O4 - HKU\.DEFAULT..\RunOnce: []  File not found
O4 - HKU\S-1-5-18..\RunOnce: []  File not found
O4 - HKU\S-1-5-19..\RunOnce: []  File not found
O4 - HKU\S-1-5-20..\RunOnce: []  File not found
IE - HKLM\..\SearchScopes\{14CB5C79-68BD-4F31-AB53-3F74364424EF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=fb542e34-7393-11e1-ac29-f6448b4b7f7a&q={searchTerms}"
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948"
IE - HKLM\..\SearchScopes\{E9C4C973-0779-4094-98BE-89732F6D61CC}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl"
IE - HKU\S-1-5-21-3163537065-3799903199-1515317050-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp"
IE - HKU\S-1-5-21-3163537065-3799903199-1515317050-1000\..\SearchScopes\{14CB5C79-68BD-4F31-AB53-3F74364424EF}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=fb542e34-7393-11e1-ac29-f6448b4b7f7a&q={searchTerms}"
IE - HKU\S-1-5-21-3163537065-3799903199-1515317050-1000\..\URLSearchHook: {37483b40-c254-4a72-bda4-22ee90182c1e} - No CLSID value found
O2 - BHO: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} "http://195.74.79.83:29/activex/AMC.cab" (Reg Error: Key error.)
 
:Files
C:\ProgramData\036DFF9802EDA231E77CF6516C44B161
C:\Users\Głowuś\AppData\Roaming\Babylon
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Przez Panel sterowania odinstaluj adware StartSearch Toolbar 1.3, vShare Plugin, Pasek narzędzi AOL 5.0, Winamp Toolbar for Firefox.

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 3.

.

annie5, skoro nastąpiło tu wyłączenie w msconfig wpisów niedomyślnych i problem się jakoby nie ujawnia, to należy zdiagnozować który z wyłączonych wpisów tworzy ten efekt. Wchodzisz do msconfig i włączasz partiami uprzednio wyłączone wpisy + restart komputera. Test aż do momentu, gdy nastąpi rozpoznanie który wpis aktywuje kopertę.

.

Ten pierwszy log z AdwCleaner jest pusty, urwany. Usuwam go, bo żadnych informacji nie podaje.

1. Firefox: w pasku adresów wpisałam wartość about:config, wyszukałam frazy browser.newtab.url, mystart i incredimail pierwsze dwie znalazlam i zresetowalam. Operacje te skutkowały do momentu zamknięcia przeglądarki, po jej ponownym uruchomieniu problem powrócił.

Skoro preferencje się nie utrzymują, to może jest problem z uprawnieniami folderu profilu.

2. Google Chrome: w ustawienich, strony otwierane po uruchomieniu to google.pl

Natomiast ja nadal widzę w logu z OTL jako strony startowe feed.helperbar.com:

========== Chrome  ==========
 
CHR - homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=110b9fb4-f5e0-48ab-989b-81ab9209a8b4&affid=111585&searchtype=hp&babsrc=lnkry"
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=110b9fb4-f5e0-48ab-989b-81ab9209a8b4&affid=111585&searchtype=hp&babsrc=lnkry"

I nie jest też dla mnie jasne czy śmieć Incredimail ujawnia się aktualnie także w Google Chrome.

Kolejna próba:

1. Zdeaktuj osłony rezydentne Kaspersky Internet Security 2012. Zamknij Firefox.

2. Uruchom GrantPerms i w oknie wklej:

C:\Documents and Settings\Agata\Dane aplikacji\Mozilla\Firefox\Profiles\4ios87jl.default\prefs.js
C:\Documents and Settings\Agata\Dane aplikacji\Mozilla\Firefox\Profiles\4ios87jl.default
C:\Documents and Settings\Agata\Dane aplikacji\Mozilla\Firefox\Profiles
C:\Documents and Settings\Agata\Dane aplikacji\Mozilla\Firefox
C:\Documents and Settings\Agata\Dane aplikacji\Mozilla

Klik w Unlock.

3. Uruchom Firefox i przez about:config powtórz resetowanie podanych wcześniej fraz.

.

Wspominane obiekty jakoby zostały usunięte.

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

C:\temp\ComboFix.exe /uninstall

Gdy komenda ukończy działanie, w OTL uruchom Sprzątanie. Przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

2. Wykonaj skanowanie w Kaspersky Virus Removal Tool. Przedstaw wynikowy raport, o ile coś zostanie znalezione (tylko wyniki "Detected" mnie interesują, inne nie).

.

Usługi pomyślnie odbudowane. Kolejna porcja zadań:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport.

.

1. Odinstaluj w prawidłowy sposób ComboFix. Start > Uruchom > wklej komendę:

"C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe" /uninstall

Gdy komenda ukończy, kosmetycznie użyj Sprzątanie w OTL. Również przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

2. Na wszelki wypadek zrób pełne skanowanie posiadanym Avastem i potwierdź co widzi aktualnie.

.

MBAM w pierwszym podejściu próbował usuwać katalog infekcji hellomoto, ale jako że to tylko był ten drugi poboczny obiekt, główny motor infekcji z całkiem innego folderu odtwarzał to po restarcie. Mój skrypt za to usunął oba składniki za jednym zamachem. Natomiast ... w ogóle się nie wykonała część w obszarze rejestru, trzy wpisy zadane na usuwanie jak były tak są dalej w logu. Pytanie: czy przypadkiem przy usuwaniu skryptem nie reagował jakiś program i nie zapobiegł modyfikacji?

1. Poprawka. Wyłącz wszystkie osłony rezydentne aplikacji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [TRACERT] C:\Users\AGA\AppData\Local\Microsoft\Windows\2754\TRACERT.exe File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.

Klik w Wykonaj skrypt. Tym razem bez restartu.

2. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras).

.

Zadanie wykonane. Możemy przejść dalej:

1. Skasuj odpadkową usługę po McAfee. Start > Uruchom > cmd i wpisz komendę sc delete 0139621346254240mcinstcleanup.

2. Odinstaluj starą felerną zaporę NVIDIA ForceWare Network Access Manager. Potwierdź wykonanie tej akcji, bo często są problemy z tym starym oprogramowaniem.

.

Należy pobrać dane dodatkowe:

1. Uruchom SystemLook x64 i w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
 
:filefind
services.exe

Klik w Look. Przedstaw wynikowy raport.

2. Zrób log z Farbar Service Scanner. Zaznacz wszystkie opcje.

.

Logi zrobiłeś z poziomu niewłaściwego konta, czyli wbudowanego w system Admninistratora a nie konta użytkownika:

Computer Name: OEM-0B2EA52E375 | User Name: Administrator | Logged in as Administrator.

Konto co dopiero aktywowane, o czym świadczy świeża postać katalogu konta na dysku. Konta mają różne foldery i rejestry. Na chwilę obecną mogę wyczyścić tylko część wspólną dla kont, akurat o to zahacza wpis infekcji (a drugi folder niewidzialny w logu łatwo zgadnąć), ale na koniec zrobisz logi z właściwego konta.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKLM..\Run: [wevtutil] C:\Documents and Settings\karolcia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2433\wevtutil.exe ()
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\secdrv.sys -- (Secdrv)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp)
 
:Files
C:\Documents and Settings\karolcia\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2433
C:\Documents and Settings\karolcia\Dane aplikacji\hellomoto
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Jak mówię, z poziomu konta użytkownika.

.

Uruchomienie ComboFix miało skutki uboczne, narzędzie skasowało (niesłusznie) oprogramowanie iPlus. Na końcu przeinstalujesz to. Natomiast co do infekcji, ComboFix usunął wpis startowy, ale na dysku jest więcej elementów i należy to doczyścić.

1. Przez Panel sterowania odinstaluj adware Brothersoft Toolbar.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\ProgramData\kcatnjvmykuyook
C:\ProgramData\loakcanrgdptbhw
 
:OTL
IE - HKLM\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487"
IE - HKCU\..\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2463487"
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} "http://download.divx.com/player/DivXBrowserPlugin.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\bogusia\AppData\Local\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\adildr.sys -- (ADILOADER)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O4 - HKCU..\Run: [TRACERT] C:\Users\AGA\AppData\Local\Microsoft\Windows\2754\TRACERT.exe ()
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found.
 
:Files
C:\Users\AGA\AppData\Local\Microsoft\Windows\2754
C:\Users\AGA\AppData\Roaming\hellomoto
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

2. Odinstaluj adware FoxTab FLV Player.

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Oraz:

Malwarebytes Anti-Malware (po scanie znajduje 3 pliki - usuwam i znowu po restarcie się pojawiają.

Dodaj raport programu, by było wiadome o co chodzi.

.

Nie mogę usunąć BabylonObject Installer.

Za to usunął go AdwCleaner, w logu jest odpowiedni wpis. Wymagane drobne poprawki na odpadki po adware:

1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f47fc43a000000000000001fc61d55cb&tlver=1.6.4.6&instlRef=sst&babTrack&q="
[2011-02-01 18:09:52 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions\{FD2FD708-1F6F-4B68-B141-C5778F0C19BB}
O3 - HKU\S-1-5-21-602162358-1677128483-839522115-1004\..\Toolbar\WebBrowser: (no name) - {FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - No CLSID value found.
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt.

2. Zrób nowy log OTL z opcji Skanuj (bez Extras).

.

Przejdź do tej porcji zadań:

1. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall. Demo Delete FXP Files też możesz odinstalować.

2. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. Potencjalnie zgłosi plik C:\Windows\SysWow64\H@tKeysH@@k.DLL, ale ten składnik gier do zignorowania.

.

Czas zająć się tymi drobnostkami, które wspominałam:

O4 - HKU\S-1-5-21-418616799-4038682857-2268346840-1000..\Run: [wsctf.exe] wsctf.exe File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)

1. Uruchom Autoruns, w karcie Logon skasuj wpis wsctf.exe, w karcie Drivers załatw cpu.

2. Ten cpu.sys kojarzy mi się z infekcją rekonfigurującą ścieżki folderów powłoki. Na wszelki wypadek podaj mi skan. Uruchom SystemLook i wklej do skanu:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

.