Landuss

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\PCANDIS4.SYS -- (PCANDIS4) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\PCAMPR4.SYS -- (PCAMPR4) IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms} O4 - HKLM..\Run: [evslezrdpijaebw] C:\ProgramData\evslezrd.exe () O4 - HKCU..\Run: [evslezrdpijaebw] C:\ProgramData\evslezrd.exe () [2012-06-28 13:01:12 | 000,000,000 | ---D | C] -- C:\ProgramData\pcoxohaikdglocs [2012-06-28 13:01:13 | 000,000,052 | ---- | M] () -- C:\ProgramData\vsselhtzwrsqamg [2012-06-28 13:01:03 | 000,112,640 | ---- | M] () -- C:\ProgramData\etqzmwaj.exe [2012-03-15 21:04:14 | 000,000,000 | ---D | M] -- C:\Users\Piotruś\AppData\Roaming\Babylon :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wszystko zrobione jak należy. Możesz przejść do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29 Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane i nie ma się tu czym więcej zajmować. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Zmień hasła logowania do serwisów w sieci.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-2679180560-3091958839-3284794598-1002\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Files C:\windows\Installer\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0} C:\Users\Kika\AppData\Local\{2e39e9e8-0b6d-f6b1-6ad1-975d459dade0} C:\Users\Kika\AppData\Roaming\A1EDF239-6C37-4F17-9A5B-4316842F5E06 :Services uplook agent tracer AuditPro Scan SANDRA pxldipow EverestDriver cpuz132 AIDA32Driver :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowy log z OTL ze skanowania oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Tylko, że skrypt się kompletnie nie wykonał i infekcja nadal tu jest jak była. Wykonaj to jeszcze raz w trybie awaryjnym.

Teraz jeszcze musisz naprawić skasowane przez infekcje usługi. Rekonstrukcja usług Zapory systemu Windows (MpsSvc + bfe): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Po naprawach wykonaj nowy log z FSS

Przechodzimy dalej: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{1f8de715-6ec3-a95e-5072-acd4c54df253} C:\Users\Mateusz\AppData\Local\{1f8de715-6ec3-a95e-5072-acd4c54df253} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 3. Prezentujesz nowy log ze skanowania OTL (bez ekstras), nowy z SystemLook na tym samym warunku co poprzednio oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Otworzy się log, który zachowaj i pokaż na forum.

Jest w porządku. Możesz przejść do finalizacji tematu. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej kolejno komendy: attrib -r -s -h L:\autorun.inf del /q L:\autorun.inf 2. Użyj opcji Sparzątanie z OTL oraz Uninstall z AdwCleaner 3. Opróżnij folder przywracania systemu: KLIK 4. System jest nieaktualny (brak SP1), zainstaluj Service Pack 1 oraz zaktualizuj wymienione programy do najnowszych wersji: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 5. Na koniec zmień hasła logowania do serwisów w sieci tak na wszelki wypadek.

1. Wejdź w panel usuwania programów i odinstaluj zbędny pasek SweetIM Toolbar for Internet Explorer 4.3 2. Użyj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\qztcayrr.exe C:\ProgramData\hiwyqska.exe C:\Windows\System32\ie5unit.exe C:\ProgramData\ufsrxwmwvpymjek :Services EagleXNt EagleNT :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hiwyqskasgtantw"=- "System"=- [HKEY_USERS\S-1-5-21-2149321585-4187749292-1288735889-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "hiwyqskasgtantw"=- "System"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2149321585-4187749292-1288735889-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-2149321585-4187749292-1288735889-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2149321585-4187749292-1288735889-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-2149321585-4187749292-1288735889-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie i wykonujesz nowy log ze skanu na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wklejasz: type L:\autorun.inf /C hklm\software\clients\startmenuinternet|command /rs hkcu\software\clients\startmenuinternet|command /rs Klikasz w Skanuj (nie Wykonaj skrypt) i prezentujesz wynikowy log.

Według logów, obiekty ZeroAccess nadal są na dysku a więc infekcja nie została usunięta. Wykonaj raport uzupełniający - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Tutaj raczej nie było infekcji na tym pliku. To jest system 32 bitowy a services.exe jest infekowany na systemach 64 bitowych. ZeroAccess wygląda różnie w zależności od systemu.

Zacznij od wykonania logu dodatkowego pod kątem ZeroAccess - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

I to błąd bo tutaj właśnie należy to robić. Nie tolerujemy dopisywania się do czyjegoś tematu mimo podobnego problemu. Temat wydzielam w osobny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\Run: [ikhauapwgvczigx] C:\ProgramData\ikhauapw.exe () [2012-06-25 19:51:29 | 000,000,052 | ---- | M] () -- C:\ProgramData\zhdtbivsnahlavl [2012-06-25 19:51:23 | 000,061,440 | ---- | M] () -- C:\ProgramData\lkgzadsj.exe [2012-06-25 19:51:23 | 000,061,440 | ---- | M] () -- C:\Users\Stefan\0.9659802275773792.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Wklej nowe logi.

Jesteś zainfekowany. Na początek uwagi: - zabrakło drugiego loga (extras). Podczas skanowania opcja Rejestr - skan dodatkowy ma być ustawiona na "Użyj filtrowania" i wtedy powstanie drugi log. Uzupełnij to w kolejnym poście. - logi wklejamy opcją załączniki na forum, a nie do posta - tytuł tematu "proszę o pomoc" jest tu niemile widziany. Tu każdy prosi o pomoc. Tytuł tematu ma być sformułowany tak aby odzwierciedlał główny problem - jeśli chcesz coś dopisać gdy nikt jeszcze nie odpisał używaj opcji Edytuj, a nie pisz posta pod postem Wstępne usuwanie: 1. Wejdź w panel usuwania programów i odinstaluj sponsoringi - Akamai NetSession Interface / AutocompletePro / Ask Toolbar / Ask Toolbar Updater / Babylon toolbar / SweetPacks Toolbar for Internet Explorer / Softonic Toolbar / uTorrentBar Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?st=1" FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..browser.startup.homepage: "http://domredi.com/1/" :Files C:\autorun.inf C:\Users\Dom\AppData\Roaming\WinDir C:\Users\Dom\AppData\Local\nianod.exe C:\Users\Dom\AppData\Roaming\vmreg.exe C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mvpgc.exe C:\Users\Dom\AppData\Roaming\Mozilla\Firefox\Profiles\2ad57yha.default\searchplugins\sweetim.xml :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HKCU"=- "ouowgtt"=- "vmreg"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{C240297A-C608-4CA4-A033-5B8757C4858B}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{FA67FFE1-4215-4E43-8FCA-CED1E954D636}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (otl.txt + extras.txt)

To bardzo pojemny pakiet, działa wiele sterowników w tle i może tworzyć problem. Na forum były już takie przypadki.

1. Wejdź w panel usuwania programów i odinstaluj zbędny pasek PSPad Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\Users\Kamil\AppData\Local\musnemje.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Wygląda na to, że wszystko zostało usunięte. Mozesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Możesz wykonać skan przez Malwarebytes Anti-Malware

Na początek wykonaj log pod kątem potwierdzenia tego o czym mówisz - Uruchom SystemLook, w oknie wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler /s :filefind spoolsv.exe Klik w Look. Przedstaw wynikowy raport. Napisz też jaki Service Pack jest na tym systemie.

W logach nie widać nic związanego z infekcją. Nie tędy droga. Temat zmienia dział. 1. Wykonaj kosmetyczne usuwanie pustych usług - wklej do notatnika ten tekst: sc delete VBoxNetFlt sc delete UCORESYS sc delete sptd sc delete SetupNTGLM7X sc delete NVR0Dev sc delete NTACCESS sc delete MSICPL sc delete GMSIPCI sc delete EverestDriver sc delete dtscsi sc delete CrystalSysInfo sc delete catchme sc delete Cardex pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Sprawdź czy problem występuje na czystym rozruchu: KLIK. Niewykluczone, ze problem tworzy Avast + Comodo.

A gdzie jest obowiązkowy log z Gmer? Uzupełnij go. 1. Wejdź w panel usuwania programów i odinstaluj te pozycje - BabylonObjectInstaller / Babylon toolbar on IE / Conduit Engine / OnRPG Toolbar / Softonic toolbar on IE and Chrome / Wincore MediaBar 2. Użyj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva397.sys -- (XDva397) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD23}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=116&systemid=3&sr=0&q={searchTerms} IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2090540 IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=112555&tt=100512_1_&babsrc=SP_ss&mntrId=7c31afb500000000000000247e4d01b2 IE - HKCU\..\SearchScopes\{678082F6-4781-48AC-A0DA-339823CE7FD9}: "URL" = http: //search.softonic.com/MON00085/tb_v1?q={searchTerms}&SearchSource=4&cc= IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD23}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=116&systemid=3&sr=0&q={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2090540 O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKCU..\Run: [wyktkyg] C:\Users\user\AppData\Local\vnvksi.exe () O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tbmcf.exe () O4 - Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tcbhn.lnk = C:\Users\user\AppData\Roaming\BrowserCompanion\tcbhn.exe () :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

A skąd podejrzenie infekcji autorun? Oba systemy według logów są czyste i nie ma tutaj tej infekcji. Są za to zabezpieczenie przed tego typu infekcjami (foldery autorun.inf) i to jest prawidłowe: O32 - AutoRun File - [2012-06-25 00:50:04 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ] O32 - AutoRun File - [2012-06-25 00:50:04 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ] O32 - AutoRun File - [2012-06-25 00:50:06 | 000,000,000 | RHSD | M] - F:\Autorun.inf -- [ FAT ] O32 - AutoRun File - [2012-06-25 00:50:06 | 000,000,000 | RHSD | M] - G:\Autorun.inf -- [ FAT32 ]

Logi nie wskazują na czynną infekcję. Temat zmienia dział. Sprawdź jak się ma problem po uruchomieniu przeglądarki w trybie awaryjnym - klawisz z flagą Windows + R i wklej polecenie: "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode

W logach nie widać nic co mogłoby wskazywać na infekcję. Temat zmienia swój dział na bardziej odpowiedni. Zacznij od deinstalacji NIS bo to pierwszy podejrzany na podstawie logów.

Dla pewności daj jeszcze nowy log ze skanowania OTL (bez ekstras)

Jest w porządku. Przejdź do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Obowiązkowo Jave oraz IE należy zaktualizować do najnowszych wersji: KLIK