Landuss

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120914&user_guid=F6E967BA8D434379A8D7C27C17F5B0DE&machine_id=4a48ed6e3e2ec516b55f5a1b0ae727d1&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}" IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}" O4 - HKLM..\Run: [Driver Genius] File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about"blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Download and Sa, PC Optimizer Pro, Search Assistant MocaFlix 1.66, StartNow Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać żadnej infekcji. Jeśli zaś chodzi o te wykrycia w cache Javy to nie jest to nic groźnego. Prawdopodobnie uruchomiłeś kiedyś jakąś stronę ze szkodliwym skryptem i zostało to wrzucone do cache Javy. Tez miałem u siebie takie przypadki wiele razy także po prostu zignoruj sprawę.

Logi nie wskazują na infekcję. Temat jedzie do działu Sieci. Zaprezentuj raport z Net-log Na podstawie logów wykonaj tylko drobne usuwanie śmieci sponsoringowych (instrukcje w spoilerze).

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112542&tt=120912_cpc_3812_6&babsrc=SP_ss&mntrId=809f02ec000000000000001d7d062bef" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10011&barid={F2CE0ACA-B1AC-11E1-BAF8-0040F497589C}" FF - HKLM\Software\MozillaPlugins\@ieinspector.com/ha_plugin: D:\Programy\IEInspector\HTTPAnalyzerFullV6\firefox\Components File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=15.4.3502.0922: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll File not found O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Windows Explorer] C:\Users\Lelen\msdata\iexplorer.exe () O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [Windows Explorer] C:\Users\Lelen\msdata\iexplorer.exe () :Files C:\Users\Lelen\msdata C:\Users\Lelen\Drivers C:\Users\Lelen\Documents\Windows :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "BrowserMngr Start Page"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi czyste i nic nie wskazuje by chodziło tutaj o infekcję. Temat przenoszę do bardziej odpowiedniego działu. Niestety najbardziej podejrzanym na podstawie logów jest oprogramowanie zabezpieczające G-Data. Wykonaj czysty rozruchu i zobacz czy dało to jakieś efekty pozytywne: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Ale to nie jest takie istotne bo główny log z OTL nie wskazuje na jakąkolwiek infekcje. Temat zostaje przeniesiony do innego działu. Spróbuj uruchomić system w trybie czystego rozruchu i zobacz czy problemy nadal występują: KLIK

Masz trojana ZeroAccess w wersji infekującej systemowy services.exe. Zanim cokolwiek zaczniemy usuwać wykonasz dodatkowe raporty. 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Wykonaj log z Farbar Service Scanner

Kasuję ten post podbijający, bo nie tolerujemy tutaj czegoś takiego. W logach nic nie ma. Przejedź jedynie system za pomocą AdwCleaner z opcji Delete co usunie szczątki po adware. Temat jedzie do działu sieciowego. Zaprezentuj raport z Net-log

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\System32\services.exe Zresetuj system. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę netsh winsock reset Zrestartuj system. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\Msg.exe C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\Installer\{51088354-b678-a861-4771-073bc976a818} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 5. Pokazujesz nowy log z OTL, z FSS oraz z SystemLook na tych samych warunkach co wcześniej.

Podstawowe pytanie - czy komunikat nadal wyskakuje?

Trzy rzeczy na koniec wykonaj: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Firefoxa do najnowszej wersji: KLIK Temat zamykam.

Wszystko poprawnie wykonane. Potwierdź tylko czy problem zniknął. Dwie rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK Programy masz aktualne więc to wszystko.

To wszystko i nic więcej tu nie ma do usuwania. Wykonaj na zakończenie kilka rzeczy. 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To wszystko. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1.2 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Nie do końca jest dobrze. Log pokazuje że link symboliczny nadal siedzi, a i też notuje brak pliku HOSTS więc nie wiem co to ma znaczyć. 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB32066$ Klik w Unlock. 2. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep te polecenie C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB32066$ Restart systemu i możesz usunąć katalog $NtUninstallKB32066$ 3. Przywróć plik HOSTS na swoje miejsce. Upewnij się, że masz włączone pokazywanie rozszerzeń (Panel sterowania > Opcje folderów > Widok > odznaczona opcja Ukrywaj rozszerzenia znanych typów). Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\system32\drivers\etc. 4. Finalnie pokaż nowy log z OTL.

Wyjaśnienie dlaczego tak się działo - przy okazji weszła w system inna wersja infekcji "Ukash", która dopisuje się do shella i dlatego w awaryjnym też był problem. I są jej ślady na dysku. Czyli pomiędzy zrobionymi logami, a wykonywaniem skryptu zaleconego przeze mnie odwiedziłaś jakiś link, który miał infekcję. Trzeba to usunąć. Wątpię by to był powód, raczej zbieg okoliczności. Ostatnie logi pokazują, że w shellu nie ma wpisu infekcji, który powodował blokade więc coś go musiało usunąć. Możliwe, że Avast i to dzięki temu dostałaś się do systemu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Sylwia\AppData\Roaming\Yxezi C:\Users\Sylwia\AppData\Roaming\Yvewo C:\Users\Sylwia\AppData\Roaming\Omhie C:\Users\Sylwia\AppData\Roaming\804C48 C:\Users\Sylwia\AppData\Roaming\Ahnyik C:\Users\Sylwia\AppData\Roaming\Ihha C:\Users\Sylwia\AppData\Roaming\msconfig.ini :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Logi nie wskazują by tu była jakaś infekcja. Temat jedzie do innego działu. Wykonaj czysty rozruch i sprawdź jak się system zachowuje: KLIK

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.1 MUI "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

No tak to wszystko jeżeli już nie ma problemów, sam oceń czy jest dobrze. Jeśli tak to temat zamykam.

Infekcja usunięta więc powinno działać. Spróbuj tego: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AzytB0F0D0EyC0EyC0A0C0CyBtN0D0Tzu0CtByBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=811955334" IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AzytB0F0D0EyC0EyC0A0C0CyBtN0D0Tzu0CtByBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=811955334" IE - HKU\S-1-5-21-1547161642-329068152-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=110823&tt=120912_ccp_3912_7&babsrc=HP_ss&mntrId=2c51acc7000000000000001644769d8a" IE - HKU\S-1-5-21-1547161642-329068152-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110823&tt=120912_ccp_3912_7&babsrc=HP_ss&mntrId=2c51acc7000000000000001644769d8a" IE - HKU\S-1-5-21-1547161642-329068152-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,BrowserMngr Start Page = "http://search.babylon.com/?affID=110823&tt=120912_ccp_3912_7&babsrc=HP_ss&mntrId=2c51acc7000000000000001644769d8a" IE - HKU\S-1-5-21-1547161642-329068152-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.funmoods.com/?f=1&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1QzutDtDtC0AzytB0F0D0EyC0EyC0A0C0CyBtN0D0Tzu0CtByBtDtN1L2XzutBtFtCtFtCtFtAtCtB&cr=811955334" IE - HKU\S-1-5-21-1547161642-329068152-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=120912_ccp_3912_7&babsrc=SP_ss&mntrId=2c51acc7000000000000001644769d8a" O2 - BHO: (no name) - {2EECD738-5844-4a99-B4B6-146BF802613B} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. :Files C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager C:\Documents and Settings\GABIK\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx C:\Documents and Settings\GABIK\Ustawienia lokalne\Dane aplikacji\funmoods.crx :Services Browser Manager :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "Backup.Old.DefaultScope"=- [HKEY_CURRENT_USERS\S-1-5-21-1547161642-329068152-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes] "BrowserMngrDefaultScope"=- "bProtectorDefaultScope"=- "Backup.Old.DefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Softonic toolbar on IE and Chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To nie mam pojęcia. Bez lokalizacji i nazw plików nic nie jesteśmy w stanie powiedzieć.

Oprócz infekcji "Facebookowej" jest ślad starej wersji trojana ZeroAccess, ale to wygląda tylko na pozostałości. 1. Uruchom GrantPerms i w oknie wklej: C:\WINDOWS\$NtUninstallKB32066$ Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE -- (wlidsvc) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe -- (sftvsa) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe -- (SeaPort) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE -- (ose) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe -- (IAANTMON) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE -- (cvhsvc) SRV - File not found [Disabled | Stopped] -- C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe -- (btwdins) SRV - File not found [Disabled | Stopped] -- C:\Windows\System32\AsusService.exe -- (AsusService) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/ins/ins_1332098017_686192" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://pl.v9.com/ins/ins_1332098017_686192" O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found :Files C:\windows\update.2 C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB32066$ /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it: KLIK. 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

To jest pewien rodzaj infekcji na dysku przenośnym. Te logi więc są zbędne bo one pokazują dysk systemowy, a tu infekcji nie ma. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

W logach są jedynie śmieci sponsoringowe i to będziesz usuwał. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1" IE - HKU\S-1-5-21-3436068033-2149201598-537446070-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp" IE - HKU\S-1-5-21-3436068033-2149201598-537446070-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..extensions.enabledAddons: vshare@toolbar:2.0.0 FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2012-03-27 22:45:03 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Kuba\AppData\Roaming\mozilla\Firefox\Profiles\4dk68u7e.default\extensions\vshare@toolbar [2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\4dk68u7e.default\searchplugins\startsear.xml [2011-02-25 22:01:44 | 000,001,583 | ---- | M] () -- C:\Users\Kuba\AppData\Roaming\mozilla\firefox\profiles\4dk68u7e.default\searchplugins\web-search.xml :Files C:\Users\Kuba\AppData\Local\Temp*.html :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Vuze Toolbar / vShare Plugin / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj vShare.tv plug-in / Save now 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)