Landuss

Co jesli tego nie zrobie i dlaczego miał bym zmieniać ??

To dla Twojego bezpieczeństwa. Infekcja ZeroAccess może łowić taki dane i dlatego przy tej infekcji zawsze zalecamy tą zmianę.

Temat jako rozwiązany zamykam.

Na początek należy odczytać zrzuty pamięci. Masz plik dmp na dysku:

C:\Windows\Minidump\052112-27612-01.dmp

Wejdź w tą lokalizację i shostuj ten plik.dmp np. na http://www.speedyshare.com/

Wklej link do pliku. Jeśli takich plików masz więcej to shostuj kilka najnowszych według daty.

Tym razem infekcja pomyślnie usunięta w całości i powinno być po problemie. Można kończyć sprawę.

1. Wykonaj reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset

2. Opróżnij lokalizacje tymczasowe za pomocą TFC - Temp File Cleaner

3. Opróżnij folder przywracania systemu: KLIK

4. Zaktualizuj do najnowszych wersji wymienione programy:

Internet Explorer: 7.0.5730.11

Adobe Reader 9.5.1 - Polish

Java 6 Update 30

Szczegóły aktualizacyjne: KLIK

5. Na wszelki wypadek zmień hasła logowania do serwisów w sieci.

To jeszcze nie jest koniec bo teraz więcej obiektów się pokazało. Wykonaj kolejne kroki:

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}
[-HKEY_USERS\S-1-5-21-746137067-73586283-1177238915-1001\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
[-HKEY_USERS\S-1-5-21-746137067-73586283-1177238915-1001_Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Plik FIX.REG umieść wprost na C:\.

2. Uruchom Avenger i do okna wklej:

Folders to delete:

C:\WINDOWS\Installer\{136a8012-5dd6-978e-661e-b3c625f4f434}
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{136a8012-5dd6-978e-661e-b3c625f4f434}
 
Programs to launch on reboot:
regedit /s C:\FIX.REG

Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia.

3. Prezentujesz nowy log z Gmer, z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na takim samym warunku co poprzednio.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Plik FIX.REG umieść wprost na C:\.

2. Uruchom Avenger i do okna wklej:

Folders to delete:

C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\{136a8012-5dd6-978e-661e-b3c625f4f434}
 
Programs to launch on reboot:
regedit /s C:\FIX.REG

Klik w Execute. Zatwierdź restart komputera. Po restarcie powinieneś uzyskać log z wynikami narzędzia.

3. Prezentujesz nowy log z Gmer, z Avengera z usuwania z punktu 2 oraz nowy log z SystemLook zrobiony na takim warunku:

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:regfind
{136a8012-5dd6-978e-661e-b3c625f4f434}
 
:folderfind
{136a8012-5dd6-978e-661e-b3c625f4f434}

A co się dzieje w momencie uruchamiania OTL? Jakiś błąd? W takim razie zmień metodę - Uruchom SystemLook, w oknie wklej:

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

Klik w Look. Przedstaw log wynikowy.

Masz najnowszy wariant infekcji ZeroAccess (Sirefef). Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej:

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s

Klik w Skanuj i przedstaw wynikowy log.

ComboFix to nie jest narzędzie do "robienia loga" tylko silny dezynfektor na określone infekcje. Poza tym nie o taki log nam tutaj chodzi. Zastosuj się do zasad i wykonaj wymagane tu raporty z OTL + Gmer

Mam wrazenie, ze na moim prywatnym komputerze zostal zainstalowany Keylogger

I skąd te podejrzenia?

Tutaj jest niewielka infekcja. Zwracam też uwagę na stary Arcavir (sterowniki datowane na rok 2007) i proponuję jego deinstalację.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ctfmom = C:\WINDOWS\system32\ctfnom.exe ()
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
 
:Commands
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Natomiast folderu już nie ma w katalogu Windows a jedynie w OTL/moved files.

W takim razie zadanie pomyślnie wykonane.

Aha mam po tym zabiegu widoczne ukryte pliki np. na pulpicie

OTL przestawia opcje widoku więc nie ma problemu na ich ponowne przestawienie na takie jakie było poprzednio w panelu sterowania.

Przejdź do czynności końcowych:

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij folder przywracania systemu: KLIK

3. Zaktualizuj Jave i Acrobata do najnowszych wersji: KLIK

4. Zmień hasła logowania do serwisów w sieci, tak na wszelki wypadek.

To by było tyle z mojej strony.

Jest lepiej bo link został rozlinkowany i teraz jest to już zwykły folder ale nadal nie usunięty całkowicie. Z tym często są problemy. Teraz powinno przejść

1. Uruchom GrantPerms, w oknie wklej:

C:\Windows\$NtUninstallKB45439$

Klik w Unlock.

2. Wklej do OTL skrypt:

:Files

rd /s /q C:\Windows\$NtUninstallKB45439$ /C
 
:Commands
[reboot]

3. Do wglądu dajesz tylko log z usuwania.

Jest prawie dobrze, ale nadal siedzi link symboliczny rootkita. Kolejne kroki:

1. Uruchom GrantPerms, w oknie wklej:

C:\Windows\$NtUninstallKB45439$

Klik w Unlock.

2. Wklej do OTL taki skrypt:

:Files

C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB45439$ /C
C:\Windows\$NtUninstallKB45439$
 
:Commands
[reboot]

3. Do wglądu pokazujesz nowy log z OTL ze skanu (bez ekstras) i z usuwania.

Oczywiście spróbuj w trybie awaryjnym.

Pliku netbt.sys usuwać w żadnym wypadku nie wolno bo to element systemu. Plik należy wymieniać czystą kopią. Ma związek z siecią i dlatego nie ma internetu, zaś OTL notuje jego brak:

DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\netbt.sys -- (NetBT)

1. Pobierz czystą kopię pliku netbt.sys pod XP SP3: KLIK. Plik umieść bezpośrednio w folderze C:\Windows\system32\drivers

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
 
:Files
netsh winsock reset /C
C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB45439$ /C
C:\Windows\$NtUninstallKB45439$
 
:Services
SYMIDSCO
INIDVD
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj.

3. Wykonujesz nowe logi z OTL + Gmer i pokazujesz log z usuwania z punktu 2.

Sytuacja uległa znacznej poprawie. Teraz należy zastosować dalsze poprawki w kontekście usuwanie tej infekcji.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
netsh winsock reset /C
C:\WINDOWS\tasks\At*.job
rd /s /q C:\TDSSKiller_Quarantine /C
C:\WINDOWS\System32\dds_trash_log.cmd
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Search Solver"
FF - prefs.js..browser.search.selectedEngine: "qtl"
FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
[2009-04-27 19:03:30 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\Andrzej\Dane aplikacji\Mozilla\Firefox\Profiles\hjhqzzhj.default\searchplugins\winamp-search.xml
O3 - HKU\S-1-5-21-583907252-1606980848-1177238915-1003\..\Toolbar\ShellBrowser: (no name) - {60270DC7-9EA0-472F-9B77-66652C06246E} - No CLSID value found.
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Ze sprzątania logów oglądać nie muszę. Wszystko poprawnie wykonane i standardy na koniec. Tłumaczyć ci chyba nie musze bo już wiesz o co chodzi -Sprzątanie w OTL i opróżnienie folderów przywracania systemu. Ewentualnie jeszcze Adobe Readera możesz zaktualizować do najnowszej wersji.

Skrypt pomyślnie wykonany jednak w Google Chrome ciągle widać wyszukiwarkę od helperbar:

CHR - default_search_provider: Enter to (Enabled)

CHR - default_search_provider: search_url = http: //feed.helperbar.com/?publisher=OPENCANDY&dpid=UnknownProvider&q={searchTerms}

Miałeś to przestawić w opcjach. Czy jest z tym jakiś problem?

Drobna korekta tylko do zrobienia o charakterze bardziej kosmetycznym.

1. Wykonaj skrypt do OTL o takiej zawartości:

:OTL
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..browser.search.selectedEngine: "BearShare Web Search"
FF - prefs.js..keyword.URL: "http://search.bearshare.com/webResults.html?src=ffb&q="
O2 - BHO: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No CLSID value found.
O4 - HKLM..\Run: [AutoEJCD_0ACE20FF]  File not found
O4 - HKLM..\Run: [ZDWLan_Utility]  File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http: //fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http: //platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
[2010-06-29 20:20:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\637A
[2010-06-29 20:05:06 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\6F
[2012-05-24 17:54:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
 
:Files
attrib -r -h C:\Windows\system32\drivers\etc\hosts /C
 
:Reg
[HKEY_USERS\S-1-5-21-1606980848-764733703-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-21-1606980848-764733703-1417001333-1003\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
 
:Commands
[resethosts]
[emptytemp]

2. Uruchom AdwCleaner z opcji Delete

3. Nowy log z OTL do oceny (bez ekstras)

Windows Defender jest zbędny kiedy ma się aktywnego antywirusa. Nie ma sensu powielać programów zaś sam WD nie jest jakimś super programem zabezpieczającym. U Ciebie jednak jak wspominasz bazy Arcavir są stare więc moim zdaniem nie ma sensu w ogóle trzymać tego antywirusa w systemie. Wgrać w zamian jakiś darmowy np. Avast, Avira lub MSSE.

Tak o ten plik chodzi, pasujący do twojego systemu.

system nie aktualizowałem Sp1 bo kilka programów nie chce działać (przetestowałem na innym PC) z pomocy techniczne Ms otrzymałem info że należy zaktualizować programy do SP1 czyli wiadomo "mam się odczepić"

O jakie programy chodzi? To trochę dziwne bo tu jest nowoczesny system i z niedziałającymi programami nie powinno być problemu no chyba ze to jakieś stare programy. Tak czy inaczej aktualizacja ta jest ważna.

W takim razie możesz użyć opcji Sprzątanie w OTL.

Zaktualizuj też Acrobata i Jave do najnowszych wersji:

"{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 30

"{AC76BA86-7AD7-1036-7B44-A83000000003}" = Adobe Reader 8.3.1 - Français

Szczegóły aktualizacyjne: KLIK

swoją drogą jak do tego doszedłeś bo wpisalem w google AlSysIO.sys i nie wyszło mi nic że to od coretemp.exe

Po prostu to wiedziałem. Znam ten program i wiem jakie obiekty tworzy w systemie.

Jeśli chodzi o pozostałe twoje wątpliwości:

PRC - [2009-07-14 03:14:46 | 000,115,200 | ---- | M] () -- \\?\C:\Windows\System32\wbem\WMIADAP.EXE

To jest proces systemowy od WMI, a co to dokładnie jest można poczytać: KLIK

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (a6mnwg26)

To z kolei usługa związana z wirtualnymi napędami. Zmienia nazwę po każdym restarcie komputera.

Jeśli chodzi o obecne logi to wszystko jest w porządku, tylko jedno "ale" - masz nieaktualny system:

Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation

Należy jak najszybciej go uaktualnić instalując Service Pack 1

Generalnie v9 po prostu podstawia wadliwe skróty przeglądarek. Widać u Ciebie odświeżony skrót IE:

[2012/05/23 18:31:25 | 000,001,040 | ---- | M] () -- C:\Users\grajur\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk

Skrót należy usunąć i utworzyć na nowo z lokalizacji zainstalowanej przeglądarki więc wykonaj to i sprawdź efekty. Jeśli będzie dobrze przejdziemy do dalszych czynności.

To nic dziwnego. Ta usługa może się tak zachowywać a pochodzi od CoreTemp, którego używasz:

O4 - HKLM..\Run: [CoreTemp] D:\hdd\Util\system\Drivers\HP_DV9690\pomiar_temperatury_rdzeni\Core_temp\CoreTemp.exe ()

Dałem na usuwanie to tylko kosmetycznie, natomiast to się będzie pewnie odradzać i tak ma być. Usługi mogą być "bezplikowe" i takich jest wiele np. na Windows XP gdyż sam plik może tworzyć się tylko tymczasowo.

Jak widać AdwCleaner nie adresuje usuwania URL feed.helperbar.com i trzeba to zrobić samodzielnie.

1. Wejdź w panel usuwania programów i odinstaluj pozycję DebugBar v6.0.1 for Internet Explorer (remove only)

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files (x86)\Freecorder\FLVSrvc.exe" /run File not found
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search Bar"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Search Page"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

3. Wejdź w ustawienia Google Chrome i ustaw tam domślną wyszukiwarkę na Google usuwając tą obecną "Enter to"

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL