Landuss

Na razie nie wiadomo czy tu chodzi o infekcję czy to jest kwestia naruszeń plików systemowych dlatego sprawę infekcji na razie bym odstawiłna dalszy plan. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Log z OTL błędnie wykonany z dwóch powodów. Po pierwsze jest zrobiony na zbyt szerokich ustawieniach. Podczas skanowania wszystkie opcje masz mieć ustawione na "Użyj filtrowania" oraz zaptaszkowana ma być opcja "Pomiń pliki Microsoftu". Po drugie brak drugiego loga extras. To z kolei wina tego, że opcja "Rejestr - skan dodatkowy" nie została zaznaczona na "Użyj filtrowania" Także log główny jest nieco obcięty od góry. Brak linijki dotyczącej wersji OTL i systemu, ale na pierwszy rzut oka to wygląda na Windows 7 64 bit. Wykonaj więc jeszcze raz porządnie logi tak jak wspomniałem i przejdziemy dalej. Logi umieszczaj opcją załączniki na forum.

Jest infekcja ZeroAccess i to w najnowszym wydaniu co sugeruje Gmer: ---- Processes - GMER 1.0.15 ---- Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2260] 0x45670000 Library c:\windows\system32\n (*** hidden *** ) @ C:\Program Files\Internet Explorer\iexplore.exe [2760] 0x45670000 Potrzebny kolejny raport na warunku dostosowanym. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport.

Bez ComboFixa da się to też naprawić i najpierw tak spróbujmy. Programy 64 bitowe powinny się uruchamiać normalnie. Wykonaj jednak jeszcze raport na dodatkowym warunku - uruchom SystemLook x64 i do okna wklej: :filefind ws2_32.dll Klik w Look. Przedstaw raport.

Sirefef nie jest tu aktywny i są po nim tylko pozostałości. 1. Wejdź w panel usuwania programów i odinstaluj te śmieciarskie wtyczki - vShare Plugin / vShare.tv plugin 1.3 2. Uruchom AdwCleaner z opcji Delete 3. Opróżnij lokalizacje tymczasowe za pomocą TFC - Temp File Cleaner 4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 5. Prezentujesz nowe logi z OTL.

Wszystko poprawnie wykonane. Pozostają czynności finalne. 1. Wklej do OTl drobny skrypt kosmetyczny: :OTL O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found Klik w Wykonaj skrypt. Logów żadnych nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Adobe Reader 9.0.1 Mozilla Firefox 11.0 (x86 en-US) Internet Explorer (Version = 6.0.2900.5512) Szczegóły aktualizacyjne: KLIK 4. Na koniec możesz wykonać skan przez Malwarebytes Anti-Malware

Log z Gmer też nie potwierdza infekcji. W takim razie kosmetycznie tylko użyj TFC - Temp File Cleaner aby opróżnić lokalizacje tymczasowe. Warto też zaktualizować Jave oraz IE do najnowszych wersji (to ważne): KLIK

Na pierwszy rzut oka nie widać tu nic szkodliwego. Zabrakło jednak obowiązkowego loga z Gmer pod infekcje rootkit. Uzupełnij ten log by sytuacja była pewna. Dodatkowo możesz wykonać skan za pomocą Malwarebytes Anti-Malware

System jest zaprawiony infekcją ZeroAccess w najnowszej wersji co potwierdza log z Gmer: Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1096] 0x45670000 Library c:\windows\system32\n (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [1480] 0x45670000 Wykonaj jeszcze jeden log na warunku dostosowanym - Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport.

Po co tyle powielonych logów? Niepotrzebne usuwam. Powinien tu być jeszcze log z Gmer 1. Wejdź w panel usuwania programów i odinstaluj pozycje sponsoringowe - Vuze_Remote Toolbar / Winamp Toolbar / PriceGong 2.1.0 oraz przestarzały Spybot - Search & Destroy 2. Uruchom AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-2052111302-448539723-1801674531-1004\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. [2012/05/18 21:23:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\F4D562290000721E6A052043D151FC84 :Files netsh winsock reset /C :Services ASUSProcObsrv 02389441 :Reg [HKEY_USERS\S-1-5-21-2052111302-448539723-1801674531-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [resethosts] [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko poprawnie wykonane. Na teraz pozostałe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj do najnowszych wersji wymienione programy( nawet jeśli nie są używane): Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK Cóż można spróbować prostego testu, jak jest z zamykaniem systemu np. w trybie awaryjnym jeśli oczywiście defragmentacja nie pomoże.. Za darmo Puran Defrag Free Edition

Przyczyna niemożności uruchomienia systemu znana. Zostały tu wyzerowane wartości Shell i Userinit: HKLM-x32\...\Winlogon: [userinit] [x] HKLM-x32\...\Winlogon: [shell] [x ] () 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Winlogon: [userinit] [x] HKLM-x32\...\Winlogon: [shell] [x ] () Plik zapisz pod nazwą fixlist.txt. Wstaw obok narzędzia FRST. 2. Uruchom narzędzie FRST i wybierz w nim opcję Fix. Skrypt zostanie przetworzony i powstanie plik fixlog.txt. 3. Sprawdź czy jesteś w stanie wejść do Windows. Jeśli tak, zrób logi z OTL + GMER. Dołącz też fixlog.txt.

Jaki skrypt? Podaj link do tematu. Należy pamiętać, że skrypty nie są dla wszystkich tylko i wyłącznie pod dany system. Co się dzieje przy próbie otwarcia? Jeśli błąd to jaki konkretnie napisz. Spróbuj wobec tego wykonać raport z DDS oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Według spodziewań w logach czysto. Temat zmienia dział na Hardware. Zapoznaj się z zasadami tego działu: KLIK

Avast to nie jest zły program zwłaszcza jeśli chodzi o darmowe antywirusy. ZeroAccess to infekcja z wysokiej półki to też nie ma się co dziwić. Jeśli jednak chcesz zmiany to polecam także darmowe - Avira AntiVir Personal Free, MSSE lub nieco inny jeśli chodzi o wygląd antywirus "w chmurze" Panda Cloud

ComboFix użyty bez potrzeby, nic konkretnego nie zrobił. Co prawda usunął szczątki Brontoka ale to się ma nijak do problemu. Ogólnie to nie wygląda na problem pokroju infekcyjnego i temat pewnie zmieni dział. Jednak jak już tu jesteś pokaż chociaż wymagane logi z OTL + Gmer

Infekcja pomyślnie usunięta. Wszystko wygląda bardzo dobrze i problemy powinny minąć. Trzy rzeczy na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Na wszelki wypadek zmień hasła logowania do serwisów w sieci bo tego typu infekcja może pozyskiwać takie dane.

1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik FIX.REG umieść wprost na C:\. 2. Uruchom Avenger i do okna wklej: Folders to delete: C:\WINDOWS\Installer\{08a2cde3-0b91-d230-a0bf-468b67f5d29f} C:\Users\Paweł\AppData\Local\{08a2cde3-0b91-d230-a0bf-468b67f5d29f} Programs to launch on reboot: regedit /s C:\FIX.REG Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia. 3. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :regfind {08a2cde3-0b91-d230-a0bf-468b67f5d29f} :folderfind {08a2cde3-0b91-d230-a0bf-468b67f5d29f} Klik w Look. 4. Prezentujesz log z Avengera z usuwania z punktu 2 oraz log z SystemLook.

Infekcji w logach nie odnotowuje i jakoś wątpie by to była tego kwestia. Możliwe, ze temat zmieni dział. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

Infekcji nie widać natomiast trochę kosmetyki należy rzeczywiście tu zrobić. 1. Wejdź w panel usuwania programów i odinstaluj Crawler Toolbar 2. Uruchom narzedzie AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = "http://dnl.crawler.com/support/sa_customize.aspx?TbId=66022" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://www.crawler.com/search/ie.aspx?tb_id=66022" IE - HKU\S-1-5-21-343818398-362288127-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=66022" IE - HKU\S-1-5-21-343818398-362288127-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111731&babsrc=HP_ss&mntrId=8e4cb9f9000000000000001e101ff027" IE - HKU\S-1-5-21-343818398-362288127-839522115-1003\..\URLSearchHook: {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - H:\Program Files\Crawler\ctbr.dll (Crawler.com) IE - HKU\S-1-5-21-343818398-362288127-839522115-1003\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} IE - HKU\S-1-5-21-343818398-362288127-839522115-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=MPC2&o=41647997&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8E&apn_dtid=YYYYYYM4PL&apn_uid=AAA16619-0D2F-4380-B3A4-F6C8E5B10271&apn_sauid=BD5297A9-B2E8-4E6F-8569-76FFEAB2A00B IE - HKU\S-1-5-21-343818398-362288127-839522115-1003\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http: //www.crawler.com/search/dispatcher.aspx?tp=aus&qkw={searchTerms}&tbid=66022 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaultthis.engineName: "85Play_Games Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2697549&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111731&babsrc=HP_ss&mntrId=8e4cb9f9000000000000001e101ff027" FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111731&babsrc=KW_ss&mntrId=8e4cb9f9000000000000001e101ff027&q=" [2012-03-26 21:22:18 | 000,000,000 | ---D | M] (85Play_Games Community Toolbar) -- H:\Documents and Settings\Sławek\Dane aplikacji\Mozilla\Firefox\Profiles\npv5pqe9.default\extensions\{7a5f72d2-9bbf-443f-9d35-26fc7e858e77} [2011-07-04 13:54:55 | 000,002,574 | ---- | M] () -- H:\Documents and Settings\Sławek\Dane aplikacji\Mozilla\Firefox\Profiles\npv5pqe9.default\searchplugins\askcom.xml [2011-05-25 16:17:40 | 000,000,927 | ---- | M] () -- H:\Documents and Settings\Sławek\Dane aplikacji\Mozilla\Firefox\Profiles\npv5pqe9.default\searchplugins\conduit.xml [2012-04-10 20:12:28 | 000,002,313 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\babylon.xml [2007-07-26 12:05:16 | 000,001,329 | ---- | M] () -- H:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml O8 - Extra context menu item: Crawler Search - tbr:iemenu File not found :Services Winsock - Google Desktop Search Backup Before Last Install Winsock - Google Desktop Search Backup Before First Install sptd SASKUTIL SASDIFSV InCDRm InCDPass InCDFs hwusbdev GMSIPCI cdralw :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "H:\Documents and Settings\Sławek\Ustawienia lokalne\Temp\~os82.tmp\rlvknlg.exe"=- "H:\program files\relevantknowledge\rlvknlg.exe"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Opisz też czy ewentualnie coś się zmieniło w kwestii problemu.

Masz infekcję rootkitem ZeroAccess w najnowszym wydaniu. Wykonaj jeszcze jeden log na warunku dostosowanym. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s /md5start services.exe /md5stop Klik w Skanuj i przedstaw raport.

Nie podbijaj tematu, to nie jest tu mile widziane. Nie zawsze odpowiadam szybko, często jestem zajęty. Ja żadnych logów już oglądać nie potrzebuje. Jeśli nie ma problemów to temat uważam za zakończony.

1. Wejdź w panel usuwania programów i odinstaluj pozycję Deinstalator Strony V9 2. Usuń wszystkie skróty przeglądarek z pulpitu, na których występuje problem z v9 i utwórz je na nowo z lokalizacji zainstalowanej przeglądarki. 3. Uruchom OTS i w oknie Paste Fix Here wklej: [Custom Items] :Files C:\Program Files (x86)\v9Soft :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1619766524-1312956749-1721743962-1001\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [Empty Temp Folders] Rozpocznij usuwanie przyciskiem Run Fix. 4. Po restarcie komputera zostanie podany log, który zaprezentujesz. I daj znać czy problem nadal będzie występował.

Nie wszystko zostało usunięta jak trzeba. Powtórz skrypt do OTl o takiej zawartości: :Processes killallprocesses :Files C:\WINDOWS\System32\wmdrtc32.dll C:\WINDOWS\System32\wmdrtc32.dl_ C:\WINDOWS\System32\drivers\epepoh.sys :Services NdisFileServices32 :Commands [reboot] Klik w Wykonaj skrypt. Powinien powstać log z usuwania, który zachowaj. Do oceny dajesz nowy log z OTL (bez ekstras) i log z usuwania.

Wszystko wykonane. Pozostają czynności finalne. 1. Użyj opcji Sprzątanie z OTL oraz pousuwaj wszystkie inne narzędzia (SystemLook, Avenger, BlitzBlank) 2. Opróżnij folder przywracania systemu: KLIK 3. System nie ma pliku HOSTS co było widoczne w logach. Należy go utworzyć. Włącz pokazywanie rozszerzeń: w Panel sterowania > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do katalogu C:\Windows\system32\drivers\etc. 4. Zaktualizuj Jave i Adobe Readera do najnowszych wersji: KLIK 5. W celu bezpieczeństwa zmień hasła logowania do serwisów w sieci.