Landuss

Nic się nie martw i leć dalej. Załatwimy to w inny sposób później.

Dlaczego usunąłeś log z ComboFix?! Nie kazałem ci tu nic usuwać tylko dostarczyć nowe raporty i powinieneś to zrobić w nowym poście, a nie w edycji pierwszego. Tym sposobem nie mam wglądu do loga z ComboFix, a to też jest istotne. 1. Wejdź w panel usuwania programów i odinstaluj śmieci sponsoringowe - Babylon toolbar on IE / KC Softwares Toolbar 2. Pobierz i uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL NetSvcs: ppmfwysn - C:\WINDOWS\system32\tycxonig.dll () :Files C:\WINDOWS\system32\*.tmp C:\WINDOWS\system32\tycxonig.dll :Services ppmfwysn mbr hwdatacard huawei_enumerator GAGPDrv ewusbnet catchme xndlut wuhol xkpga zefdaj :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "6528:TCP"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Pokazujesz nowe logi z OTL ze skanowania i nowy z Gmer.

Jest w porządku. W takim razie Klik w Sprzątanie w OTL. Temat jako rozwiązany zamykam.

Tak należy podpiąć telefon zobaczyć pod jaką literą jest widzialny i wykonać podobnie. Możesz robić to tak jak ja przez fix.bat Tu nie ma co czyścić. To nie jest infekcja na systemie tylko na dyskach przenośnych

Jeśli problem rozwiązany możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny (brak SP). Zainstaluj więc obowiązkowo Service Pack 1 i zaktualizuj do najnowszych wersji wymienione programy: Starter Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) "Opera 11.10.2092" = Opera 11.10 Szczegóły aktualizacyjne: KLIK

Zasady działu nieprzeczytane. Jaki ComboFix i po co? Użycie bezsensowne. Masz infekcję Conficker, ale zanim się weźmiemy za usuwanie musisz sporządzić wymagane tu obowiązkowe logi z OTL + Gmer

AdwCleaner wykonał robotę. To teraz pytanie czy jest gdzieś jeszcze ślad po Conduit?

1. Wejdź w panel usuwania programów i odinstaluj pozycje - Akamai NetSession Interface / Ask Toolbar / Yontoo 1.10.02 / Babylon toolbar on IE 2. Użyj AdwCleaner z opcji Delete 3. Zaprezentuj nowe logi z OTL.

Zacznij od zastosowania AdwCleaner z opcji Delete i zaprezentuj raport z tej operacji.

Jest w porządku. Możesz przejść do kończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zmień hasła logowania do serwisów w sieci.

Wiec na usuwanie pójdzie tylko to co widać w OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found. :Reg [HKEY_USERS\S-1-5-21-4053174741-652592288-1039557141-500\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-4053174741-652592288-1039557141-500\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-4053174741-652592288-1039557141-500\Software\Microsoft\Internet Explorer\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowy log z OTL do oceny i twoja wypowiedź czy zostało to usunięte..

No to powtórz to polecenie tylko dla dysku H a pozostałe linie wymaż.

Sytuacja uległa poprawie gdyż większość skryptu się wykonała. Skróty zostały pousuwane z wszystkich partycji, ale nie wszystkie obiekty się uwidoczniły. Drobna poprawka: Wklej do notatnika ten tekst: F: attrib /d /s -s -h F:\* G: attrib /d /s -s -h G:\* H: attrib /d /s -s -h H:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Patrz czy nie ma błędów w wykonaniu. Do obejrzenia już tylko nowy log z USBFix.

Tak prosze wykonać nowy log z USBFix i OTL.

Otwórz w notatniku ten log nastepnie: Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako LOG.TXT

Przyjrzyj się dobrze, próbujesz załączać plik z rozszerzeniem .log a nie .txt Należy zmienić rozszerzenie na .txt

Zrób dodatkowy log - Uruchom SystemLook, w oknie wklej: :regfind mail.ru Kliknij w Look i czekaj na raport.

Reset Winsock nie do końca został tu wykonany. Więc poprawka w nieco inny sposób: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator. Wklej komendę: netsh winsock reset. Zresetuj system. Wykonaj nowy log z OTL ze skanowania.

Kompletnie nic się tu nie wykonuje. Albo coś robisz źle albo coś przeszkadza. Wytnij ze skryptu tę część: :Commands [emptytemp] I próbuj ponownie. I przydałby się log z usuwania bo ja muszę wiedzieć co tu się dzieje i jakie są ewentualne błędy w wykonaniu a ten log by mi to pokazał. Powinien być w C:\_OTL

Nie będzie potrzebny. To nie jest log podstawowy tu wymagany tylko pod określoną infekcję. Jesli zaś chodzi o logi z OTL + Gmer to nie ma się do czego przyczepić. Brak śladów jakiejkolwiek infekcji więc nie tędy droga. Temat wędruje do działu sieciowego. Zaprezentuj na początek raport z Net-log

To ty powinieneś odpowiedzieć sobie na pytanie czy jest już w porządku. Powinno być bo wszystko wykonane jak należy. Temat jako rozwiązany zamykam.

Może inaczej, przejdź w tryb awaryjny Windows. Spróbujmy też nieco zmodyfikować skrypt. Ponów do OTL skrypt o takiej zawartości: :Files del /q D:\*.lnk /C del /q F:\*.lnk /C del /q G:\*.lnk /C del /q H:\*.lnk /C attrib /d /s -s -h D:\* /C attrib /d /s -s -h F:\* /C attrib /d /s -s -h G:\* /C attrib /d /s -s -h H:\* /C $RECYCLE.BIN /alldrives RECYCLER /alldrives C:\Users\Maria\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1890436885-4213763473-3846588077-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :OTL IE - HKU\S-1-5-21-1890436885-4213763473-3846588077-1000\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found IE - HKU\S-1-5-21-1890436885-4213763473-3846588077-1000\..\URLSearchHook: {d43723ae-1ae1-4a25-a6a4-bf0929273cab} - No CLSID value found [2012/06/07 15:22:06 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Maria\AppData\Roaming\mozilla\Firefox\Profiles\ijpyb56r.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012/06/07 15:22:09 | 000,000,000 | ---D | M] (Ashampoo PO Community Toolbar) -- C:\Users\Maria\AppData\Roaming\mozilla\Firefox\Profiles\ijpyb56r.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} O3 - HKU\S-1-5-21-1890436885-4213763473-3846588077-1000\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found. O3 - HKU\S-1-5-21-1890436885-4213763473-3846588077-1000\..\Toolbar\WebBrowser: (no name) - {D43723AE-1AE1-4A25-A6A4-BF0929273CAB} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\RunOnce: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Do wglądu dajesz nowy log z OTL ze skanowania i nowy z USBFix z Listingu wykonane już w trybie normalnym.

Zabrakło jeszcze loga extras z OTL więc gdzie go zgubiłeś? Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" i wtedy powstanie ten log. Uzupełnij to.

1. Wejdź w panel usuwania programów i odinstaluj niepotrzebne sponsoringi - Babylon toolbar on IE / Funmoods on IE and Chrome / uTorrentControl2 Toolbar / Winamp Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files D:\*.lnk F:\*.lnk G:\*.lnk H:\*.lnk attrib /d /s -s -h D:\* /C attrib /d /s -s -h F:\* /C attrib /d /s -s -h G:\* /C attrib /d /s -s -h H:\* /C $RECYCLE.BIN /alldrives RECYCLER /alldrives C:\Users\Maria\AppData\Local\Temp*.html :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012/06/07 15:22:06 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Maria\AppData\Roaming\mozilla\Firefox\Profiles\ijpyb56r.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012/06/07 15:22:09 | 000,000,000 | ---D | M] (Ashampoo PO Community Toolbar) -- C:\Users\Maria\AppData\Roaming\mozilla\Firefox\Profiles\ijpyb56r.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2012/01/10 01:56:35 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Maria\AppData\Roaming\mozilla\Firefox\Profiles\ijpyb56r.default\extensions\ffxtlbr@babylon.com [2012/01/16 15:46:15 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Users\Maria\AppData\Roaming\mozilla\Firefox\Profiles\ijpyb56r.default\extensions\ffxtlbr@funmoods.com [2012/01/12 02:09:00 | 000,000,935 | ---- | M] () -- C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\ijpyb56r.default\searchplugins\conduit.xml [2012/01/14 20:30:07 | 000,001,800 | ---- | M] () -- C:\Users\Maria\AppData\Roaming\Mozilla\Firefox\Profiles\ijpyb56r.default\searchplugins\funmoods.xml [2012/01/10 02:00:16 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [] File not found O4 - HKLM..\RunOnce: [] File not found :Services kwddypob :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-1890436885-4213763473-3846588077-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\mountpoints2\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_USERS\S-1-5-21-1890436885-4213763473-3846588077-1000\software\microsoft\windows\currentversion\explorer\mountpoints2\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_USERS\S-1-5-21-1890436885-4213763473-3846588077-1000\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-1890436885-4213763473-3846588077-1000\software\microsoft\windows\currentversion\explorer\mountpoints2\{2C6E9138-947C-4DC0-978C-1BDD91156153}] [HKEY_USERS\S-1-5-21-1890436885-4213763473-3846588077-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{d43723ae-1ae1-4a25-a6a4-bf0929273cab}"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 4. Pokazujesz log z usuwania z punktu 3, nowy log ze skanowania OTL (bez ekstras) oraz nowy z USBFix z opcji Listing.

A gdzie jest nowy log ze skanowania OTL? Dałeś tylko log z usuwania, o który zresztą nie prosiłem. Przeczytaj wyżej co napisałem.