Landuss

Jest tu trochę do roboty. Infekcja niecałkowicie usunięta i są też śmieci sponsoringowe. 1. Wejdź w panel usuwania programów i odinstaluj te pozycje - Babylon toolbar on IE / DAEMON Tools Toolbar / DealPly 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3167748359-2958657588-2200006790-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_4_&babsrc=SP_ss&mntrId=742e05a000000000000000215d73a003 IE - HKU\S-1-5-21-3167748359-2958657588-2200006790-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=110819&tt=100512_4_&babsrc=KW_ss&mntrId=742e05a000000000000000215d73a003&q=" [2011-05-02 21:09:34 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Adrian\AppData\Roaming\mozilla\Firefox\Profiles\thvdnp80.default\extensions\DTToolbar@toolbarnet.com [2012-05-17 12:55:50 | 000,003,915 | ---- | M] () -- C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\thvdnp80.default\searchplugins\sweetim.xml [2012-05-18 11:38:16 | 000,002,352 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui File not found :Files C:\Windows\tasks\UUMZVPJ.job C:\Users\Adrian\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Użycie ComboFix bezpodstawne i bezsensowne. Tak się nie robi na starcie. Zacznij od zaprezentowania logów z OTL

Log wykazuje, ze ta usługa jest u ciebie wyłączona a tak być nie powinno. Wciśnij klawisz z flagą Windows + R wpis services.msc i z prawokliku Uruchom jako Administrator. Na liście dwuklik na usługę "Dostawca kopiowania w tle oprogramowania firmy Microsoft" i Typ uruchomienia zmień z Wyłączony na Ręczny Zrestartuj system. Daj znać czy dalej masz problem z przywracaniem.

Ten błąd jest mi znany. Możliwe, że chodzi tu o kwestię usługi Dostawca kopiowania w tle oprogramowania firmy Microsoft Pobierz sobie jeszcze raz OTL na dysk, uruchom go, wszystkie opcje ustaw na Żadne + Brak i w oknie Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\swprv /s /md5start swprv.dll /md5stop Kliknij w Skanuj. Wklej wynikowy raport.

Ogólnie możesz tutaj pokazać wszystkie wymagane raporty. Temat pozostawię otwarty. Tego ci nie powiem bo nie znam sie na tego typu programach.

Błąd był spodziewany, ale mimo tego wszystko zostało poprawnie wykonane. Możesz w takim razie przejść do czynności końcowych: 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{FE9D6929-D583-4b0b-98B8-B0D683887D05}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{FE9D6929-D583-4b0b-98B8-B0D683887D05}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner. Pozostałe programy użyte do usuwania infekcji też usuń. 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj Jave i FF do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 26 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. W ramach bezpieczeństwa zmień hasła logowania do najważniejszych serwisów w sieci. To by było wszystko z mojej strony. Pozostaje twoje podsumowanie czy wszystko jest już jak powinno.

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

No właśnie nie to samo. każdy skrypt jest pisany pod dany system i to nie jest powiedziane, że będzie wyglądać wszędzie tak samo. To był konkretne zalecenia pod ten konkretny system. Najlepiej sformatować, ewentualnie przy podpiętych urządzeniach wykonać raport z USBFix z opcji Listing Pewnie, że może. Cóż najprostsza rzecz - przeinstalować program.

Wszystko wygląda na poprawnie wykonane. Infekcja została usunięta i nic nie powróciło. Można wykonać dalsze czynności korygujące. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal Jeśli wyskoczy jakiś błąd (co może się zdarzyć) po prostu go zignoruj. 2. Uruchom AdwCleaner z opcji Delete 3. Prezentujesz już tylko nowy log z FSS oraz z OTL (bez ekstras)

Teraz jest w porządku. Możesz przejść do finalizacji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Do aktualizacji programy: "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 29 "Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Zwracam tez uwagę na bardzo mało wolnego miejsca na dysku systemowym co może sprawiać problem dla systemu: Drive C: | 39,09 Gb Total Space | 1,25 Gb Free Space | 3,19% Space Free | Partition Type: NTFS

To nie ma żadnego znaczenia dla wykonania powyższych moich instrukcji. Nie o wygląd tu chodzi tylko o rejestr.

Moim zdaniem ten temat powinien wylądować w dziale Hardware a nie tutaj. Te błędy w kopiowaniu plików to może sugerować problem z dyskiem. Bo wspominasz, że płyty były zmieniane i na każdej to samo więc to nie wina płyty tylko sprzętu. Proponuję na początek sprawdzić dysk za pomocą MHDD. W linku, który podałem masz wszystko opisane, są nawet filmy pokazowe. Rzecz jasna potrzebujesz płytki, aby wypalić ten program na niej.

Żaden problem - CTRL + ALT + DEL zakładka Procesy > Nowe zadanie > explorer.exe Tu nie wolno zakładać podwójnych tematów(!). Tamten pewnie zostanie usunięty lub doklejony tutaj.

Logi nie wykazują tu żadnej infekcji i ten temat raczej tu nie pasuje. Zostanie przeniesiony do odpowiedniego działu systemowego. Tylko drobne sprawy do wykonania głównie usuwanie śmieci sponsoringowych. 1. Wejdź w panel usuwania programów i odinstaluj - Incredibar Toolbar on IE / Softonic toolbar on IE and Chrome / uTorrentControl2 Toolbar 2. Uruchom program AdwCleaner z opcji Delete 3. Kontrolnie do wglądu robisz nowy log z OTL (ekstras nie musisz pokazywać) Jeśli zaś chodzi o problem główny - Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Wszystko poprawnie wykonane i problemy powinny ustąpić. Przejdź do finalizowania: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Możesz wykonać skan przez Malwarebytes Anti-Malware 4. Zmień hasła logowania do serwisów w sieci.

O to chodziło. Teraz można przejść do usuwania. 1. Otwórz Notatnik i wklej w nim: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{f38f99b4-b539-802b-d990-92cd970b3494} Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Zaprezentuj raport z BlitzBlank oraz log z OTL na warunku dostosowanym tak jak poprzednio.

Na systemie jest infekcja ZeroAccess co potwierdza też Gmer: ---- Processes - GMER 1.0.15 ---- Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [992] Standardowo wymagany tu jest jeszcze jeden raport na dodatkowym warunku - uruchom OTL wszystkie opcje ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klikasz w Skanuj i prezentujesz wynikowy raport.

Po infekcji zawsze powinno się opróżniać przywracanie bo tam są kopie szkodników zapisywane. Ja nic nie podaje bez powodów. A może spróbuj takiego małego programu DeskSave: http://www.desksave....dex.php?lang=en

A opcję "Wyrównaj do siatki" zaznacz i sprawdź efekty.

Sprawa jest jasna, usuwane składniki infekcji wracają bo jest zainfekowany services.exe: < MD5 for: SERVICES.EXE > [2009-07-14 03:39:37 | 000,328,704 | ---- | M] (Microsoft Corporation) MD5=24ACB7E5BE595468E3B9AA488B9B4FCB -- C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe [2009-07-14 03:39:37 | 000,329,216 | ---- | M] (Microsoft Corporation) MD5=50BEA589F7D7958BDD2528A8F69D05CC -- C:\Windows\SysNative\services.exe Suma kontrolna 50BEA589F7D7958BDD2528A8F69D05CC odpowiada modyfikacji ZeroAccess. 1. Wykonaj komendę sfc /scannow w celu naprawienia pliku i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zachowaj wynikowy log. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\Windows\Installer\{2ced0e94-1dbb-23d2-2653-13daabb5dea7} DeleteFile: C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\assembly\GAC_32\Desktop.ini Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Przedstawiasz logi z: - filtrowania SFC z punktu 1 - Blitzblank z punktu 2 - nowy log z OTL na dodatkowym warunku tak jak poprzednio opcją Skanuj - log z Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

Z ikonami to żaden problem - PPM na Pulpicie > Widok i wyłącz "Autorozmieszczanie ikon" + "Wyrównaj do siatki" Skrypt zaś pomyślnie wykonany. Można kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Jako, ze był tu rootkit zmień sobie hasła logowania do serwisów w sieci

Brak czynnej infekcji w logach. Temat zmienia dział. Zacznij od sprawdzenia jak się zachowuje system w stanie czystego rozruchu: KLIK

Mój skrypt kilka postów wyżej aktualny. Na chwilę obecną musisz go wykonać ponownie. Jak wykonasz zaprezentuj nowy log.

Logi nie wskazują na infekcję, temat zmienia swój dział. Jako, że tu jest system Windows Vista to sprawdź czy problemu nie powoduje Hamachi, usługi działają w tle: SRV - [2012-02-28 17:38:52 | 001,373,576 | ---- | M] (LogMeIn Inc.) [Auto | Running] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc) DRV - [2009-03-18 16:35:40 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hamachi.sys -- (hamachi) A więc sugeruję tymczasową deinstalację programu. Na forum był tu podobne tematy gdzie Hamachi na Windows Vista i 7 sprawiały problemy tego pokroju co u ciebie.

Logi nie wykazują aktywnej infekcji więc nie tędy droga. Temat przenoszę do odpowiedniego działu. Z mojej strony na podstawie logów mini korekta w spoilerze