Landuss

Wszystko poprawnie usunięte i możesz kończyć temat. Wykonaj to co poniżej: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły tutaj: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Przejdź do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Mozille do najnowszych wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Teraz mogą powiedzieć że jest dobrze i można kończyć. Do zrobienia na koniec poniższe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wejdź w panel usuwania programów i odinstaluj następujące śmieci: Babylon toolbar on IE / Browsers Protector / StartSearch Toolbar 1.3 / vShare.tv plugin 1.3 Następnie przejedź system przez AdwCleaner z opcji Delete 4. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7646-A70000000000}" = Adobe Reader 7.0 Szczegóły: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [recdisc] C:\Documents and Settings\AAA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4398\recdisc.exe () :Files C:\Documents and Settings\AAA\Dane aplikacji\hellomoto C:\Documents and Settings\AAA\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\4398 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [themecpl] C:\Users\JChosinski\AppData\Local\Microsoft\Windows\4156\themecpl.exe () :Files C:\Users\JChosinski\AppData\Roaming\hellomoto C:\Users\JChosinski\AppData\Local\Microsoft\Windows\4156 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ale masz "Run Fix" z angielskiego a to jest po polsku "Wykonaj skrypt" właśnie

Jest w porządku. Możesz finalizować temat: 1. Użyj opcji Sprzątanie z OTL 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Adobe Reader do najnowszej wersji: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zrzuty pamięci przemieliłem i odczytałem i jest tam głównie na przemian ntoskrnl.exe + win32k.sys jako przyczyna. To wskazuje na sprzęt i właśnie do takiego działu przenoszę temat. Tam już zajmą się odpowiednie osoby.

Nie wykonałeś tego: Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK Pobierz to co ci podałem i otwórz w notatniku. Zapisz jako FIX.REG i Scal. Jak to wykonasz to oczywiście nowy log z FSS. Możesz być spokojny. To nie jest infekcja, która przenosi się przez pendrive

Absolutnie nie tolerujemy tu żadnego dopisywania się pod cudze tematy. Twój temat wydzielam w osobny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Files C:\Documents and Settings\Paweł\Dane aplikacji\43euyh45wsuw.exe :Services SFilter pxtdapow :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jakie "Run Scan"? A co ja napisałem?: To masz zrobić, a Run Scan to dopiero po wykonaniu skryptu.

Infekcja pomyślnie usunięta. Natomiast musisz jeszcze naprawić usunięte przez nią ważne usługi systemowe. 1. Odbuduj skasowane usługi (w instrukcjach omiń zbyteczne sfc /scannow): Rekonstrukcja usług Zapory systemu Windows(MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS.

Infekcja usunięta. Przejdź do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie bardzo rozumiem pytanie. Po prostu skopiuj sobie tekst, który masz tam w szarej ramce wklej w notatnik i zapisz jako fix.reg np. na pulpicie i uruchom opcją Scal

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania ponownie wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{50898e69-11f0-109d-2b8d-627e6a7f805b} C:\Users\MAR\AppData\Local\{50898e69-11f0-109d-2b8d-627e6a7f805b} :OTL IE - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} IE - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=7b5a5fdc-064c-11e1-b459-e0f87b855e29&q={searchTerms} IE - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&tt=010611_def&babsrc=SP_ss&mntrId=285ba90d000000000000485b398bd051 FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=010611_def&babsrc=KW_ss&mntrId=285ba90d000000000000485b398bd051&q=" [2012-03-27 19:03:09 | 000,000,000 | ---D | M] (vShare) -- C:\Users\MAR\AppData\Roaming\mozilla\Firefox\Profiles\w2sdvb33.default\extensions\vshare@toolbar [2012-02-11 16:19:50 | 000,000,792 | ---- | M] () -- C:\Users\MAR\AppData\Roaming\Mozilla\Firefox\Profiles\w2sdvb33.default\searchplugins\startsear.xml [2012-06-27 17:37:31 | 000,001,565 | ---- | M] () -- C:\Users\MAR\AppData\Roaming\Mozilla\Firefox\Profiles\w2sdvb33.default\searchplugins\web-search.xml [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll [2012-04-12 19:52:07 | 000,002,353 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-625936793-1600890421-1951016998-1000\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll File not found O4 - HKLM..\Run: [NPSStartup] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie z opcji Skanuj. Prezentujesz nowe logi z OTL, nowy z SystemLook na tym ustawieniu co poprzednio oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Obydwie infekcja zdjęte, ale po ZeroAccess musisz jeszcze naprawić szkody. Infekcja ta usunęła ci ważne usługi systemowe, które musisz odtworzyć. 1. Odbuduj skasowane usługi (w instrukcjach omiń zbyteczne sfc /scannow): Rekonstrukcja usług Zapory systemu Windows(MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 2. Po wykonaniu wszystkiego pokazujesz nowy log z FSS.

Teraz wszystko jasne, masz infekcję ZeroAccess w najnowszym wydaniu. Services.exe jest najprawdopodobniej zaprawiony przez infekcje. Zanim przejdziemy do usuwania wykonaj raport uzupełniający pod kątem tej konkretnej infekcji. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport

Jest w porządku. Możesz finalizować temat: 1. Użyj opcji Sprzątanie z OTL oraz usuń ten folder z dysku C:\Users\Dario\AppData\Roaming\hellomoto 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj system instalując Service Pack 1 oraz wymienione programy do najnowszych wersji: Professional (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania ponownie wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [RstrtMgr] C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094\RstrtMgr.exe () :Files C:\Users\Vaio\AppData\Local\Microsoft\Windows\3094 C:\Users\Vaio\AppData\Roaming\hellomoto C:\Windows\Installer\{7c2771f5-2a29-f4c0-1cb1-643d7e0aee3a} C:\Users\Vaio\AppData\Local\{7c2771f5-2a29-f4c0-1cb1-643d7e0aee3a} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie z opcji Skanuj. Prezentujesz nowe logi z OTL, nowy z SystemLook na tym ustawieniu co poprzednio oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Wprawdzie zabrakło tu loga z Gmer pod kątem rootkitów, ale w OTL nie widać nic infekcyjnego. Dla świętego jednak spokoju wykonaj tego Gmera. Wspominasz o restartach, pokaż najnowsze zrzuty pamięci według instrukcji z punktu 5: KLIK

Jest w porządku tylko kosmetycznie przepuść taki skrypt do OTL: :OTL O2:64bit: - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\PROGRA~1\AVASTS~1\Avast\aswWebRepIE.dll File not found O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files (x86)\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll File not found O2 - BHO: (Google Dictionary Compression sdch) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll File not found O3:64bit: - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_64.dll File not found O3:64bit: - HKLM\..\Toolbar: (avast! WebRep) - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - C:\PROGRA~1\AVASTS~1\Avast\aswWebRepIE64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\PROGRA~1\AVASTS~1\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [stmRst] File not found [2012/07/02 16:17:03 | 000,000,000 | ---D | C] -- F:\ProgramData\yjjigvfzokvznjw [2012/07/02 16:17:04 | 000,000,051 | ---- | M] () -- F:\ProgramData\azjphvcqaylidtk [2012/07/02 16:16:58 | 000,061,440 | ---- | M] () -- F:\ProgramData\ngnwarwu.exe [2012/07/02 16:16:59 | 000,000,051 | ---- | C] () -- F:\ProgramData\azjphvcqaylidtk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Run Fix. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL

Tu niestety jest jeszcze inna infekcja - ZeroAccess i za usuwanie weźmiemy się jak zrobisz jeszcze raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

Drugiego loga z OTL zabrakło (extras.txt). Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" a najwyraźniej miałaś inaczej. Zwróć na to uwagę w kolejnym poście i załącz mi ten drugi log też. 1. Wejdź w panel usuwania programu i odinstaluj te pozycje: SweetPacks Toolbar for Internet Explorer 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //home.sweetim.com/?crg=3.1010000&st=12&barid={41EE0207-5C4C-4200-87CC-22ECBC469076} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={41EE0207-5C4C-4200-87CC-22ECBC469076} FF - prefs.js..keyword.URL: "http: //search.sweetim.com/search.asp?src=2&q=" [2012-06-18 22:16:52 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\Dario\AppData\Roaming\mozilla\Firefox\Profiles\9dv03rym.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012-06-18 22:27:37 | 000,004,117 | ---- | M] () -- C:\Users\Dario\AppData\Roaming\Mozilla\Firefox\Profiles\9dv03rym.default\searchplugins\sweetim.xml O4 - HKCU..\Run: [systemcpl] C:\Users\Dario\AppData\Local\Microsoft\Windows\666\systemcpl.exe () :Files C:\Users\Dario\Desktop\Live Security Platinum.lnk C:\Users\Dario\AppData\Local\Microsoft\Windows\666 C:\ProgramData\F4D55F3B000150C31D4E7FF3A6014588 C:\Users\Dario\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ja nie uważam, że do zamknięcia. Co z tego, że "poradziłaś sobie swoimi sposobami" skoro ten system nadal jest totalnie zaśmiecony. Proszę wykonać wszystkie kroki jakie napisałem wyżej i zgłosić się z nowymi logami.