Landuss

To dla Twojego bezpieczeństwa. Infekcja ZeroAccess może łowić taki dane i dlatego przy tej infekcji zawsze zalecamy tą zmianę. Temat jako rozwiązany zamykam.

Na początek należy odczytać zrzuty pamięci. Masz plik dmp na dysku: C:\Windows\Minidump\052112-27612-01.dmp Wejdź w tą lokalizację i shostuj ten plik.dmp np. na http://www.speedyshare.com/ Wklej link do pliku. Jeśli takich plików masz więcej to shostuj kilka najnowszych według daty.

Tym razem infekcja pomyślnie usunięta w całości i powinno być po problemie. Można kończyć sprawę. 1. Wykonaj reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset 2. Opróżnij lokalizacje tymczasowe za pomocą TFC - Temp File Cleaner 3. Opróżnij folder przywracania systemu: KLIK 4. Zaktualizuj do najnowszych wersji wymienione programy: Internet Explorer: 7.0.5730.11 Adobe Reader 9.5.1 - Polish Java 6 Update 30 Szczegóły aktualizacyjne: KLIK 5. Na wszelki wypadek zmień hasła logowania do serwisów w sieci.

To jeszcze nie jest koniec bo teraz więcej obiektów się pokazało. Wykonaj kolejne kroki: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} [-HKEY_USERS\S-1-5-21-746137067-73586283-1177238915-1001\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] [-HKEY_USERS\S-1-5-21-746137067-73586283-1177238915-1001_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik FIX.REG umieść wprost na C:\. 2. Uruchom Avenger i do okna wklej: Folders to delete: C:\WINDOWS\Installer\{136a8012-5dd6-978e-661e-b3c625f4f434} C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{136a8012-5dd6-978e-661e-b3c625f4f434} Programs to launch on reboot: regedit /s C:\FIX.REG Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia. 3. Prezentujesz nowy log z Gmer, z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na takim samym warunku co poprzednio.

1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Plik FIX.REG umieść wprost na C:\. 2. Uruchom Avenger i do okna wklej: Folders to delete: C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{136a8012-5dd6-978e-661e-b3c625f4f434} Programs to launch on reboot: regedit /s C:\FIX.REG Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia. 3. Prezentujesz nowy log z Gmer, z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na takim warunku: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s :regfind {136a8012-5dd6-978e-661e-b3c625f4f434} :folderfind {136a8012-5dd6-978e-661e-b3c625f4f434}

A co się dzieje w momencie uruchamiania OTL? Jakiś błąd? W takim razie zmień metodę - Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Klik w Look. Przedstaw log wynikowy.

Masz najnowszy wariant infekcji ZeroAccess (Sirefef). Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s Klik w Skanuj i przedstaw wynikowy log.

ComboFix to nie jest narzędzie do "robienia loga" tylko silny dezynfektor na określone infekcje. Poza tym nie o taki log nam tutaj chodzi. Zastosuj się do zasad i wykonaj wymagane tu raporty z OTL + Gmer I skąd te podejrzenia?

Tutaj jest niewielka infekcja. Zwracam też uwagę na stary Arcavir (sterowniki datowane na rok 2007) i proponuję jego deinstalację. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ctfmom = C:\WINDOWS\system32\ctfnom.exe () :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

W takim razie zadanie pomyślnie wykonane. OTL przestawia opcje widoku więc nie ma problemu na ich ponowne przestawienie na takie jakie było poprzednio w panelu sterowania. Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave i Acrobata do najnowszych wersji: KLIK 4. Zmień hasła logowania do serwisów w sieci, tak na wszelki wypadek. To by było tyle z mojej strony.

Jest lepiej bo link został rozlinkowany i teraz jest to już zwykły folder ale nadal nie usunięty całkowicie. Z tym często są problemy. Teraz powinno przejść 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB45439$ Klik w Unlock. 2. Wklej do OTL skrypt: :Files rd /s /q C:\Windows\$NtUninstallKB45439$ /C :Commands [reboot] 3. Do wglądu dajesz tylko log z usuwania.

Jest prawie dobrze, ale nadal siedzi link symboliczny rootkita. Kolejne kroki: 1. Uruchom GrantPerms, w oknie wklej: C:\Windows\$NtUninstallKB45439$ Klik w Unlock. 2. Wklej do OTL taki skrypt: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB45439$ /C C:\Windows\$NtUninstallKB45439$ :Commands [reboot] 3. Do wglądu pokazujesz nowy log z OTL ze skanu (bez ekstras) i z usuwania.

Oczywiście spróbuj w trybie awaryjnym.

Pliku netbt.sys usuwać w żadnym wypadku nie wolno bo to element systemu. Plik należy wymieniać czystą kopią. Ma związek z siecią i dlatego nie ma internetu, zaś OTL notuje jego brak: DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\netbt.sys -- (NetBT) 1. Pobierz czystą kopię pliku netbt.sys pod XP SP3: KLIK. Plik umieść bezpośrednio w folderze C:\Windows\system32\drivers 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files netsh winsock reset /C C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB45439$ /C C:\Windows\$NtUninstallKB45439$ :Services SYMIDSCO INIDVD :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 3. Wykonujesz nowe logi z OTL + Gmer i pokazujesz log z usuwania z punktu 2.

Sytuacja uległa znacznej poprawie. Teraz należy zastosować dalsze poprawki w kontekście usuwanie tej infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files netsh winsock reset /C C:\WINDOWS\tasks\At*.job rd /s /q C:\TDSSKiller_Quarantine /C C:\WINDOWS\System32\dds_trash_log.cmd :OTL FF - prefs.js..browser.search.defaultenginename: "Search Solver" FF - prefs.js..browser.search.selectedEngine: "qtl" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2009-04-27 19:03:30 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\hjhqzzhj.default\searchplugins\winamp-search.xml O3 - HKU\S-1-5-21-583907252-1606980848-1177238915-1003\..\Toolbar\ShellBrowser: (no name) - {60270DC7-9EA0-472F-9B77-66652C06246E} - No CLSID value found. O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Ze sprzątania logów oglądać nie muszę. Wszystko poprawnie wykonane i standardy na koniec. Tłumaczyć ci chyba nie musze bo już wiesz o co chodzi -Sprzątanie w OTL i opróżnienie folderów przywracania systemu. Ewentualnie jeszcze Adobe Readera możesz zaktualizować do najnowszej wersji.

Skrypt pomyślnie wykonany jednak w Google Chrome ciągle widać wyszukiwarkę od helperbar: CHR - default_search_provider: Enter to (Enabled) CHR - default_search_provider: search_url = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=UnknownProvider&q={searchTerms} Miałeś to przestawić w opcjach. Czy jest z tym jakiś problem?

Drobna korekta tylko do zrobienia o charakterze bardziej kosmetycznym. 1. Wykonaj skrypt do OTL o takiej zawartości: :OTL FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search" FF - prefs.js..browser.search.order.1: "BearShare Web Search" FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search" FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q=" O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found. O4 - HKLM..\Run: [AutoEJCD_0ACE20FF] File not found O4 - HKLM..\Run: [ZDWLan_Utility] File not found O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http: //fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http: //platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) [2010-06-29 20:20:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\637A [2010-06-29 20:05:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\6F [2012-05-24 17:54:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software :Files attrib -r -h C:\Windows\system32\drivers\etc\hosts /C :Reg [HKEY_USERS\S-1-5-21-1606980848-764733703-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-21-1606980848-764733703-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] :Commands [resethosts] [emptytemp] 2. Uruchom AdwCleaner z opcji Delete 3. Nowy log z OTL do oceny (bez ekstras)

Windows Defender jest zbędny kiedy ma się aktywnego antywirusa. Nie ma sensu powielać programów zaś sam WD nie jest jakimś super programem zabezpieczającym. U Ciebie jednak jak wspominasz bazy Arcavir są stare więc moim zdaniem nie ma sensu w ogóle trzymać tego antywirusa w systemie. Wgrać w zamian jakiś darmowy np. Avast, Avira lub MSSE.

Tak o ten plik chodzi, pasujący do twojego systemu. O jakie programy chodzi? To trochę dziwne bo tu jest nowoczesny system i z niedziałającymi programami nie powinno być problemu no chyba ze to jakieś stare programy. Tak czy inaczej aktualizacja ta jest ważna.

W takim razie możesz użyć opcji Sprzątanie w OTL. Zaktualizuj też Acrobata i Jave do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1036-7B44-A83000000003}" = Adobe Reader 8.3.1 - Français Szczegóły aktualizacyjne: KLIK

Po prostu to wiedziałem. Znam ten program i wiem jakie obiekty tworzy w systemie. Jeśli chodzi o pozostałe twoje wątpliwości: PRC - [2009-07-14 03:14:46 | 000,115,200 | ---- | M] () -- \\?\C:\Windows\System32\wbem\WMIADAP.EXE To jest proces systemowy od WMI, a co to dokładnie jest można poczytać: KLIK DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a6mnwg26) To z kolei usługa związana z wirtualnymi napędami. Zmienia nazwę po każdym restarcie komputera. Jeśli chodzi o obecne logi to wszystko jest w porządku, tylko jedno "ale" - masz nieaktualny system: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Należy jak najszybciej go uaktualnić instalując Service Pack 1

Generalnie v9 po prostu podstawia wadliwe skróty przeglądarek. Widać u Ciebie odświeżony skrót IE: [2012/05/23 18:31:25 | 000,001,040 | ---- | M] () -- C:\Users\grajur\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk Skrót należy usunąć i utworzyć na nowo z lokalizacji zainstalowanej przeglądarki więc wykonaj to i sprawdź efekty. Jeśli będzie dobrze przejdziemy do dalszych czynności.

To nic dziwnego. Ta usługa może się tak zachowywać a pochodzi od CoreTemp, którego używasz: O4 - HKLM..\Run: [CoreTemp] D:\hdd\Util\system\Drivers\HP_DV9690\pomiar_temperatury_rdzeni\Core_temp\CoreTemp.exe () Dałem na usuwanie to tylko kosmetycznie, natomiast to się będzie pewnie odradzać i tak ma być. Usługi mogą być "bezplikowe" i takich jest wiele np. na Windows XP gdyż sam plik może tworzyć się tylko tymczasowo.

Jak widać AdwCleaner nie adresuje usuwania URL feed.helperbar.com i trzeba to zrobić samodzielnie. 1. Wejdź w panel usuwania programów i odinstaluj pozycję DebugBar v6.0.1 for Internet Explorer (remove only) 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found. O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files (x86)\Freecorder\FLVSrvc.exe" /run File not found :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Search Bar"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Search Page"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wejdź w ustawienia Google Chrome i ustaw tam domślną wyszukiwarkę na Google usuwając tą obecną "Enter to" 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL