Landuss

Nie dałeś obowiązkowego loga z Gmer. A ComboFix po co tu był uruchamiany? Nic o tym nie wspominasz I gdzie jest log z jego pracy? Tym sposobem nie wiadomo co on tam narobił. Jeśli chodzi o obecne logi to nic tu właściwie nie ma oprócz nałożonych blokad na menedżer zadań i edytor rejestru. To w połączeniu z BSODem podczas wejścia w tryb awaryjny może sugerować, że tu była/jest infekcja Sality, która zaraża wszystkie pliki .exe na dysku. Nie jest to oczywiście pewne na tą chwilę. Zacznij od wykonania poniższych zaleceń: 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1 :Services Skype C2C Service PEVSystemStart HWDeviceService.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy SalityKiller coś wykazał i czy działa tryb awaryjny.

To nie jest problem infekcyjny. Tu mieliśmy już takie przypadki na forum. Okazuje się, że pomaga zmiana serwerów DNS na te od Google: KLIK Temat przenoszę do Sieci.

Wykonaj to w trybie awaryjnym. EDIT: @zawiasek twój post stąd wylatuje. To nie jest miejsce na takie wiadomości. Jeśli chcesz o coś spytać użytkownika wyślij mu PW (prywatna wiadomość)

To jeszcze zrób kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci. Temat jako rozwiązany zamykam.

Dokładnie tak o ten temat chodzi.

Proponuję teraz wykonać ponownie naprawę usług według tematu z forum. Wcześniej próbowałeś to robić przy aktywnej infekcji.

Teraz wszystko poprawnie wykonane. Pozostaje więc pytanie czy problem nadal występuje? Jeśli nie, przejdziemy do finalizacji.

OTL nie do końca sobie poradził tzn. usunął foldery infekcji ale tylko upozorował naprawę rejestru. Trzeba to poprawić inną metodą. 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator i przeklej kolejno te polecenia zatwierdzając Enterem: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%systemroot^%\system32\wbem\wbemess.dll /f Patrz czy nie ma błędów w wykonaniu. 2. Naprawy wymagają tutaj dwie usługi systemowe (omiń polecenie sfc): Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. 3. Pokazujesz nowy log z SystemLook i z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Installer\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7} C:\Users\Maciek\AppData\Local\{dfdb2c78-fd13-f35b-7e47-7bca4d7ed0d7} reg delete hkcu\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] ""="C:\WINDOWS\system32\wbem\wbemess.dll" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 3. Pokazujesz log z usuwania w punkcie 2, nowy log z OTL ze skanowania (bez ekstras), nowy z SystemLook (na tym samym warunku co poprzednio) oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Logi wskazują, że ZeroAccess jest tutaj nadal aktywny wobec tego jakiekolwiek naprawy np. zapory nie mają sensu przy aktywnej infekcji. Najpierw trzeba ją usunąć a potem brać się za naprawianie innych szkód. Wykonaj log dodatkowy - uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Log z HijackThis? To program przestarzały i już dawno z niego nie korzystamy do analizy. Log usuwam, aby nie wprowadzał w błąd. Zacznij od wytworzenia wymaganych tu raportów z OTL + Gmer

Powinno i to ty powinieneś potwierdzić czy jest OK czy nie więc?

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Rafal\AppData\Local\fugoqb.exe C:\Users\Rafal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\diwhd.exe :Services XDva392 XDva391 FNETURPX blbdrive :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Drobna poprawka - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak C:\Documents and Settings\WEBSITE1\Dane aplikacji\Mozilla\Firefox\Profiles\nzfddt4u.default\searchplugins\startsear.xml C:\Documents and Settings\WEBSITE1\Dane aplikacji\Mozilla\Firefox\Profiles\nzfddt4u.default\searchplugins\web-search.xml C:\Documents and Settings\WEBSITE1\Dane aplikacji\Mozilla\Firefox\Profiles\nzfddt4u.default\searchplugins\the-pirate-bay.xml :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=109683&tt=060612_5_&babsrc=KW_ss&mntrId=b0acaa1400000000000000265e99d990&q=" O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Do obejrzenia dajesz nowy log z OTL ze skanowania. I wypowiedz się jasno czy problem nadal występuje.

Skrypt poprawnie wykonany. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny i siedzisz na dziurawym sicie. Należy zainstalować Service Pack 3 oraz zaktualizować wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK To by było wszystko.

Możesz usunąć ten katalog normalnie (ręcznie) a możesz pobrać program i tak jak wspominasz wkleić ścieżkę dostępu z przełącznikiem, to obojętne. Upewnij się, że zniknęły te obiekty od ComboFix (jeśli nie usuń ręcznie): [2012/04/22 16:58:17 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe [2012/04/22 16:58:17 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe [2012/04/22 16:58:17 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe [2012/04/22 16:58:17 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe [2012/04/22 16:58:17 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe

Porządny skaner Malwarebytes Anti-Malware Jeśli chodzi o logi to nic tu szkodliwego nie widzę, ale jest parę rzeczy do wykonania. I ComboFix nadal nie został poprawnie odinstalowany bo widzę jego obiekty w logach OTL. 1. Wejdź w panel usuwania programów i odinstaluj niepotrzebny sponsoring Winamp Toolbar 2. Pobierz i uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\1h6itlab.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} :Services SNP2UVC mbr catchme BTWDNDIS BTKRNL BTDriver Btcsrusb BTCOMBUS BTCOM btaudio BT :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Pokazujesz nowy log z OTL ze skanowania (bez extras)

W logach nic szkodliwego nie widać. Jeśli chodzi o deinstalację wszystkich obiektów ComboFix to możesz alternatywnie użyć narzędzia OTC

Jest w porządku. Finalizacja: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Bardzo stary Firefox: "Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl) Zaktualizuj do najnowszej wersji 13.0.1 4. Zastanawia mnie rozmiar partycji na tym systemie: Drive C: | 8,78 Gb Total Space | 0,99 Gb Free Space | 11,26% Space Free | Partition Type: NTFS Drive D: | 9,84 Gb Total Space | 7,68 Gb Free Space | 78,12% Space Free | Partition Type: NTFS Tu jest łącznie niecałe 20GB na system i dane a to przecież za mało w dzisiejszych czasach. Dziwię się, że tu w ogóle system działa poprawnie. Blisko 1GB wolnego miejsca na partycji systemowej to zbyt mało aby można to tak zostawić. Partycja 8GB jest w ogóle za mała aby tu jakiś system wgrywać. Moim zdaniem powinieneś sprawdzić w ogóle jaka jest tu pojemność dysku bo szczerze wątpię by był on w pełni wykorzystany. Tak się zastanawiam kto tu robił takie małe partycje i czy aby na pewno spartycjonował całą przestrzeń dysku bo jakoś nie chce mi się wierzyć że tu jest taki mały dysk.

Service Pack 3 - http://www.microsoft...ails.aspx?id=24 IE - http://windows.micro.../downloads/ie-8 Java - http://www.oracle.co...ds-1637588.html (Pobierasz plik jre-7u5-windows-i586-iftw.exe)

I to twój największy błąd. ComboFix to nie jest program do skanowania co jakiś czas tak jak antywirusy. To bardzo silny dezynfektor stosowany pod określone infekcje. Nie męcz nim więcej systemu bo to naprawdę może tylko zaszkodzić. Dlaczego nie używamy tego programu na własną rękę radzę poczytać na naszym forum: KLIK Zaś obowiązkowymi tu logami są raporty z OTL + Gmer więc je wykonaj. Tak się nie usuwa komponentów ComboFix. Program ma swój przełącznik deinstalacyjny: W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\user\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall

Wszystko poprawnie wykonane. Możesz przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny. Należy zainstalować Service Pack 3 i zaktualizować wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 Szczegóły aktualizacyjne: KLIK To by było na tyle i problem powinien minąć.

Trochę do roboty tutaj jest. Co prawda nie ma infekcji, a głównie odpadki i sponsoringi. 1. Z panelu usuwania programów odinstaluj wątpliwej reputacji wtyczkę vShare Plugin 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (no name) - {70AB0A8B-8A8A-496F-A339-4CD2F3352991} - No CLSID value found. O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll File not found O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - D:\Program Files\AVAST Software\Avast\aswWebRepIE.dll File not found O4 - HKLM..\Run: [Driver Genius] File not found O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} http: //download.microsoft.com/download/A/7/D/A7D1EBE3-8E78-4CBE-B22B-EEECF9E3A1BC/fhg.CAB (Reg Error: Key error.) O20 - Winlogon\Notify\khfcaax: DllName - (khfcaax.dll) - File not found O28 - HKLM ShellExecuteHooks: {70AB0A8B-8A8A-496F-A339-4CD2F3352991} - No CLSID value found. [2011-02-25 15:18:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software [2012-06-21 12:55:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software :Files C:\WINDOWS\Tasks\A*.job :Services Pml Driver HPZ12 ZDPSp50 ZDCndis5 UIUSys sptd s24trans PCANDIS5 BTWUSB BTWDNDIS BTDriver btaudio :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_USERS\S-1-5-21-1670997484-1806458430-1315593469-1004\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Prezentujesz nowy log z OTL ze skanowania.

Tak to jest log z usuwania, natomiast teraz wykonaj nowe logi z OTL ze skanowania i z Gmera.

Co ty wyprawiasz?! Nie zakładaj tu nowego tematu, to u nas zabronione. I ja wcale nie pisałem abyś pisał nowy temat tylko nowy post pod spodem. Temat łączę. Log z AdwCleaner nie jest mi potrzebny (nie prosiłem o niego), wykonuj dalsze kroki od punktu 3. Tu nie ma nic dziwnego. AdwCleaner musi zrestartować komputer aby skutecznie usunąć odpadki po toolbarach.