Landuss

Skrypt nieco zmodyfikowałem wyżej więc spróbuj teraz ze świeżym skryptem to wykonać.

Skrypt zupełnie nie wykonany. Avast ma być wyłączony na czas wykonywania.

Wszystko usunięte. Czy problem z v9 już nie występuje? Użyj opcji Sprzątanie z OTL. Masz starą wersję IE. Nie ważne czy korzystasz czy nie ale to jest komponent ważny dla systemu i powinien być w najnowszej wersji. Trzeba to zaktualizować - Internet Explorer 8 Strona rzeczywiście podejrzana. U mnie Firefox nawet jej nie otwiera ze względów bezpieczeństwa.

Jest w porządku, infekcja usunięta. Teraz można zająć się drobniejszymi rzeczami. 1. Wejdź w panel usuwania programów i odinstaluj sponsoring Babylon toolbar on IE 2. Zastosuj AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-606747145-1060284298-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //findgala.com/?&uid=2247&q={searchTerms} IE - HKU\S-1-5-21-606747145-1060284298-1801674531-500\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=c468477c000000000000005345000000 FF - prefs.js..browser.search.selectedEngine: "search" [2012-01-25 22:01:15 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\sndxq7jp.default\extensions\ffxtlbr@babylon.com O4 - HKU\S-1-5-21-606747145-1060284298-1801674531-500..\Run: [KPeerNexonEU] C:\Nexon\NEXON_EU_Downloader\nxEULauncher.exe File not found O4 - HKU\S-1-5-21-606747145-1060284298-1801674531-500..\Run: [RMF FM Miasto Muzyki] File not found O4 - HKU\S-1-5-21-606747145-1060284298-1801674531-500..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent .exe" File not found [2012-05-30 15:01:00 | 000,000,250 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job :Files netsh winsock reset /C :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "c:\program files\relevantknowledge\rlvknlg.exe"=- :Services EagleXNt ISODrive :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

Lokalizacja ma spacje, więc ma być wzięta w cudzysłów: "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}"

A co się dzieje w momencie uruchamiania? Spróbuj wykonać raport z OTS

Racja, błąd w ścieżce. Już to poprawiłem w poprzednim poście więc powtórz operację.

Temat zostanie przeniesiony do działu pomocy doraźnej. Na chwilę obecną zacznij od wykonania raportów z OTL

1. Wejdź w panel usuwania programów i odinstaluj pozycję Deinstalator Strony V9 2. Usuń wszystkie skróty przeglądarek z pulpitu, na których występuje problem i utwórz je na nowo. 3. Wejdź w ustawienia Google Chrome i zmień wyszukiwarkę domyslną na Google usuwając obecnie tam widoczną SweetIM Search 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\v9Soft :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-515967899-261903793-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-515967899-261903793-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Folder ciągle siedzi jak przylepiony, nie mam pojęcia dlaczego. Zmiana metody. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: "C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef}" Kliknij w Execute Now. Zatwierdź restart komputera. Program wygeneruje na dysku C log, który pokażesz na forum oraz nowy log z SystemLook.

Bez sensu było to wklejanie do OTL dodatkowych warunków podczas skanowania. Tak się nie powinno robić i nie rób tego więcej. Sytuacja zaś jest na systemie nie wesoła. W logach obiekty sugerujące wirusa Sality, który zaraża pliki .exe na dysku: DRV - [2012-05-31 06:40:50 | 000,005,477 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\epepoh.sys -- (NdisFileServices32) ---- Kernel code sections - GMER 1.0.15 ---- ? yqivpp.sys Nie można odnaleźć określonego pliku. ! ? oojap.sys Nie można odnaleźć określonego pliku. ! 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives y6cqb2is.exe /alldrives C:\WINDOWS\System32\wmdrtc32.dll C:\WINDOWS\System32\wmdrtc32.dl_ C:\WINDOWS\System32\drivers\epepoh.sys :OTL O4 - HKU\.DEFAULT..\Run: [] File not found O4 - HKU\S-1-5-18..\Run: [] File not found O4 - HKU\S-1-5-21-448539723-1659004503-682003330-500..\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\Temp\herss.exe () :Services upperdev RTL8187B HTCAND32 NdisFileServices32 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz Gmer. Daj też znać czy SalityKiller coś wykazał. Logi wklejaj opcją załączniki na forum.

Systemu bym w to nie mieszał zaś plik był bardzo podejrzany i wyglądał na trojana (co zresztą sugerował MBAM). Na przyszłość wszystkie lokalizacje tymczasowe możesz raz na jakiś czas opróżniać za pomocą TFC - Temp File Cleaner

Tak to wygląda na część Chrome. Jeśli skrypt się pomyślnie wykonał to należy wykonać kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Tu jest dziurawy, nieaktualny system (tylko SP2), należy więc go zaktualizować instalując Service Pack 3

To zależy od wielkości dysku i ogólnie parametrów komputera. Ale tak jak mówię warto wykonać bo komunikaty mówią że jest to tutaj wskazane. Nie sądzę by tu chkdsk miał coś do tego, może zaszły inne okoliczności. Nic się nie obawiaj.

W logach nie notuję infekcji i wątpie by Gmer coś zmienił więc moim zdaniem jest zbędny. Wykrycia MBAM nieistotne, ten svchost był w lokalizacji tymczasowej Temp i to należy usunąć zaś pozostałe wyniki to nie jest nic infekcyjnego. Po prostu MBAM notuje wyłączone funkcje w Centrum zabezpieczeń i dlatego tak pokazuje wynik. A wyłączyć to sobie może to każdy więc zakładam że sam to zrobiłeś. Jedyne co tutaj trochę razi to ten powtarzający się błąd w dzienniku zdarzeń: Error - 2012-05-30 04:29:58 | Computer Name = USER-A0241F2126 | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: i8042prt To sugeruje wyłączenie w BIOS złącza PS/2 płyty głównej. Usługę można spokojnie wyłączyć by nie próbowała się ładować. Wklej więc do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\i8042prt] "Start"=dword:00000004 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik ...i zaktualizuj Jave + Mozille do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 26 "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły: KLIK

Folder nie został usunięty i będzie poprawka. Wklej do Avenger ten tekst: Folders to delete: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef} Robisz to samo co poprzednio i prezentujesz wynikowy log z Avenger i nowy z SystemLook na tym samym warunku.

Logi nie wykazują infekcji choć nie wykonałeś obowiązkowego loga z Gmer. Choć infekcji się tu nie spodziewam i temat raczej zmieni dział. Dziennik zdarzeń wykazuje tego typu informacje i stąd sprawdzanie dysku: Error - 2012-05-29 12:32:16 | Computer Name = WWW-56E88DDA01C | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku. Uruchom narzędzie chkdsk na woluminie E:. Error - 2012-05-29 13:46:37 | Computer Name = WWW-56E88DDA01C | Source = Ntfs | ID = 262199 Description = Struktura systemu plików na dysku jest uszkodzona i nie do użytku. Uruchom narzędzie chkdsk na woluminie C:. Na początek pozwól narzędziu wykonać sprawdzanie dysków (o ile już tego nie zrobiłeś) Jeśli zaś mimo sprawdzenia chkdsk nagminnie włącza się za każdym razem przy starcie systemu, sporządź fixa. Wklej do notatnika taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCScan"=dword:0000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "AutoChkTimeOut"=dword:0000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):00,00 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik O efektach poinformuj.

1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik FIX.REG umieść wprost na C:\. 2. Uruchom Avenger i do okna wklej: Folders to delete: C:\WINDOWS\Installer\{e4981fe8-4ab1-a455-c002-18d628c085ef} C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{e4981fe8-4ab1-a455-c002-18d628c085ef} Programs to launch on reboot: regedit /s C:\FIX.REG Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia. 3. Prezentujesz log z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na warunku: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :regfind {e4981fe8-4ab1-a455-c002-18d628c085ef} :folderfind {e4981fe8-4ab1-a455-c002-18d628c085ef}

Teraz można kończyć sprawę. Do wykonania kroki końcowe: 1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner 2. Opróżnij folder przywracania systemu: KLIK 3. Wymagana aktualizacja wymienionych programó do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "avast5" = avast! Free Antivirus Szczegóły aktualizacyjne: KLIK. Natomiast nowego Avasta pobierz ze strony domowej programu. 4. Zmień hasła logowania do serwisów w sieci gdyż ta infekcja może łowić te dane.

Jeszcze drobne poprawki do przeprowadzenia ale to już prawdopodobnie ostatnie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.4.0024 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" [2011-01-30 17:38:28 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-05-20 14:35:29 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-05-04 13:39:28 | 000,000,000 | ---D | M] (DVDVideoSoftTB Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{872b5b88-9db5-4310-bdd0-ac189557e5f5} [2010-11-21 19:59:07 | 000,000,000 | ---D | M] ("DVDVideoSoft Menu") -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} [2012-01-06 20:31:47 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\extensions\ffxtlbr@babylon.com [2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\conduit.xml [2011-07-31 20:34:27 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\daemon-search.xml [2010-10-10 20:40:51 | 000,010,017 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\mywebsearch.xml [2011-02-01 14:06:14 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\ig2ah1pg.default\searchplugins\winamp-search.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [rdsri] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\rdsri.dll (DT Soft Ltd.) [2012-05-30 16:01:25 | 000,000,000 | ---D | C] -- C:\Avenger [2012-05-30 15:58:44 | 000,731,136 | ---- | C] () -- C:\Documents and Settings\Administrator\Pulpit\avenger.exe [2012-05-30 15:58:01 | 000,000,359 | ---- | C] () -- C:\FIX.REG [2012-05-30 15:39:58 | 000,139,264 | ---- | C] () -- C:\Documents and Settings\Administrator\Pulpit\SystemLook.exe [2012-05-29 22:54:40 | 000,724,952 | ---- | C] () -- C:\Documents and Settings\Administrator\Pulpit\avenger.zip :Files netsh winsock reset /C :Services sptd mcdbus :Commands [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Prezentujesz nowy log z OTL (bez ekstras)

Tym razem infekcja pomyślnie usunięta. Można zająć się innymi rzeczami. 1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar / Ask Toolbar Updater / Babylon toolbar on IE / DVDVideoSoftTB Toolbar / My Web Search (My Web Face) / uTorrentControl2 Toolbar / V9 HomeTool / Winamp Toolbar 2. Po wszystkich deinstalacjach uruchom narzędzie AdwCleaner z opcji Delete 3. Zaprezentuj nowy log z OTL.

Nie wszystko poszło tu jak trzeba. Wykonaj kolejny skrypt do Avengera o tej zawartości: Files to delete: C:\Windows\assembly\GAC\desktop.ini Folders to delete: C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{f7c44c5e-262e-5154-3a80-05b82c6842f4} Wykonujesz to co poprzednio i do wglądu dajesz log z usuwania Avenger i nowy log z System Look.

Teraz przejdziesz do usuwania infekcji. Jeśli się powiedzie w dalszej kolejności będzie usuwanie pasków i śmieci sponsoringowych. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [-HKEY_USERS\S-1-5-21-1177238915-1993962763-1801674531-500\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [-HKEY_USERS\S-1-5-21-1177238915-1993962763-1801674531-500_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik FIX.REG umieść wprost na C:\. 2. Uruchom Avenger i do okna wklej: Folders to delete: C:\WINDOWS\Installer\{f7c44c5e-262e-5154-3a80-05b82c6842f4} C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{f7c44c5e-262e-5154-3a80-05b82c6842f4} Programs to launch on reboot: regedit /s C:\FIX.REG Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia. 3. Prezentujesz nowe logi z OTL, z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na takim samym warunku jak poprzednio.

Logi z OTL powinny być dwa. Zbrakło raportu extras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" Uzupełnij ten log w kolejnym poście. W kwestii obecnych raportów - jest najnowsza wersja infekcji ZeroAccess i potrzebny będzie jeszcze jeden log na warunku dostosowanym - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Klik w Look. Przedstaw log wynikowy.

Wykonaj jeszcze jeden raport na określonym warunku. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :regfind {f7c44c5e-262e-5154-3a80-05b82c6842f4} :folderfind {f7c44c5e-262e-5154-3a80-05b82c6842f4} Klik w Look. Przedstaw log wynikowy.