Landuss

Do skorygowania jest tu niewiele. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (ALSysIO) [2012-05-21 15:37:22 | 000,930,962 | -H-- | C] (ñklfmnbgkfn) -- C:\Users\admin\AppData\Roaming\Yktgte.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Nie szkodzi, ja chce mimo wszystko ten log obejrzeć. Pozostałe raporty sprawdzę jeśli dostarczony zostanie log z USBFix.

Na początek dla pewności podepnij wszystkie pamięci zewnętrzne jakimi dysponujesz i uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Logi wskazują na infekcję ZeroAccess w stanie aktywnym. Wykonaj poniższe kroki: 1. Uruchom w trybie awaryjnym ComboFix i zachowaj raport z programu. 2. Gdy narzędzie ukończy pracę wklej z niego log oraz wykonaj nowe logi z OTL i Gmer. Logi wstawiaj jako załączniki na forum.

Uruchom narzędzie raz jeszcze. Możesz to zrobić w trybie awaryjnym. Zadbaj tez by programy zabezpieczające były powyłączane na czas działania programu.

Użycie ComboFix na własną rękę to nie jest pomysł mile widziany na naszym forum. Nie o taki log tutaj chodzi tylko o raporty z OTL oraz Gmer. ComboFix zaś usuwał składniki infekcji Sality, która prawdopodobnie weszła z urządzenia przenośnego. Wspominasz, że był tu format i problem nie został zażegnany więc albo nie było tu formatu całego dysku (wszystkie partycje) albo podrzuciłeś sobie infekcję ponownie np. na urządzeniu przenośnym. Tego typu infekcja zaraża wszystkie pliki .exe na dysku twardym. Na teraz do wykonania te działania: 1. Pobierz SalityKiller. Wykonaj nim skan całego dysku do skutku, dopóki nie uzyskasz zwrotu zero zainfekowanych 2. Pobierz Sality_RegKeys. Rozpakuj i uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Zresetuj reguły zapory. Start > Uruchom > cmd i wpisz komendę netsh firewall reset. 4. Wykonaj z wspomnianych wczesniej OTL + GMER. Podsumuj też co robił SalityKiller.

Są tu ślady infekcji rootkitem Zero Access. Wykonaj poniższe kroki po kolei: 1. Uruchom zgodnie z wytycznymi narzędzie ComboFix i zachowaj raport z programu. 2. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 3. Wstaw na forum raport z działania ComboFIx, nowe logi z OTL + Gmer i z Farbar Service Scanner (zaznacz wszystko do skanowania)

Na razie nic nie instaluj. Masz odinstalować te programy i sprawdzić czy problemy ustąpiły i dopiero wtedy będziemy myśleć co dalej.

Logi nie wykazują tu żadnej aktywnej infekcji w systemie więc raczej nie ma się czym przejmować. Tylko drobna kosmetyka do zrobienia - wklej do notatnika ten tekst: sc delete VGPU sc delete tsusbhub sc delete Synth3dVsc pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

Według logów brak tu czynnej infekcji i to nie wygląda na tego typu przyczynę. Temat zmienia dział. Pierwsi podejrzani na podstawie logów to Avira + ZoneAlarm. Proponuję odinstalować obydwa programy i sprawdzić zachowanie się systemu. Poza tym jest tu sporo usług bezplikowych i to kosmetycznie usuń - wklej do notatnika ten tekst: sc delete zlportio sc delete btfilter sc delete BTATHUSB sc delete btathspp sc delete btathrcp sc delete BTATHPROT sc delete btathPan sc delete btatha2dp sc delete Atheros_btAudio sc delete AthDfu pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik

Logi nie wykazują śladów infekcji więc to wygląda na nadwrażliwość antywirusa. Odinstaluj sobie tylko niepotrzebny pasek DealBulldog Toolbar

Jest w porządku. Klik w Sprzątanie w OTL. Błąd już nie powinien wyskakiwać.

1. Sporządź skrypt do OTL o takiej zawartości: :OTL F3 - HKU\S-1-5-21-2000478354-838170752-725345543-1004 WinNT: Load - (C:\DOCUME~1\xp2\USTAWI~1\Temp\{34367~1.EXE) - File not found :Services gupdatem gupdate :Commands [emptytemp] Klik w Wykonaj skrypt. Odbędzie się restart komputera. 2. Na pulpicie i w moich dokumentach masz niekasowalne tradycyjną metodą, wadliwe pliki: File not found -- C:\Documents and Settings\xp2\Moje dokumenty\xp2. File not found -- C:\Documents and Settings\xp2\Pulpit\Vesania Usuń te obiekty za pomocą narzędzia Delete FXP Files 3. Po wykonaniu powyższych kroków prezentujesz nowy log z OTL (bez ekstras).

W rejestrze musi odnosić się wpis do nieistniejącego obiektu i stąd tego typu błędy. Zacznij od pokazania raportów z OTL

Tak naprawdę to nic tutaj szczególnego nie ma. Do usunięcia tylko ten folder po infekcji: C:\Documents and Settings\All Users\Dane aplikacji\F4D562680005D59D000024B10CDF10C2 On może być ukryty więc przestaw wcześniej opcję widoku w panelu sterowania i usuń go. Pozostaje tylko pytanie czy jest tu jeszcze jakiś problem na obecny moment?

To jeszcze wykonaj czynności na sam koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny. Należy zainstalować Service Pack 1 i zaktualizować Jave: 64bit- Professional (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK

To tematyka nie do tego działu tylko do działu Hardware i tam możesz się udać. Zakończ sprawę tutaj wykonując poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny. Należy zainstalować Service Pack 1 i zaktualizować wymienione oprogramowanie: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Firefox 11.0 (x86 pl)" = Mozilla Firefox 11.0 (x86 pl) Szczegóły aktualizacyjne: KLIK

Skrypt poprawnie wykonany natomiast nic nie piszesz czy problem minął? Jeśli tak przejdziemy do czynności finalnych.

1. Wejdź w panel usuwania programów i odinstaluj pozycje - Deinstalator Strony V9 oraz Akamai NetSession Interface 2. Usuń skróty przeglądarek z pulpitu, na których występuje problem i utwórz je na nowo. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found :Files C:\Program Files (x86)\v9Soft C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Program sobie nie poradził więc trzeba będzie usunąć to za pomocą skryptu. Tak więc montuj kolejny skrypt o takiej zawartości: :Files C:\Windows\SysWOW64\drivers\prohlp02.sys C:\Windows\SysWOW64\drivers\sfhlp01.sys C:\Windows\SysWOW64\drivers\prodrv06.sys C:\Windows\SysWOW64\drivers\prosync1.sys :Services prohlp02 sfhlp01 prodrv06 prosync1 :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-529332830-1453770017-376961339-1001\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Commands [reboot] Do wglądu dajesz nowy log z OTL (bez ekstras) i daj znać jak z tym spowolnieniem, czy to nadal wystepuje.

Sam Gmer tu nie wystarczy - to log pod infekcję rootkit a taką infekcją na pewno nie jest Smart Fortress. Zobacz czy OTL, OTS lub inne uruchomią ci się w trybie awaryjnym. I radzę wyłączyć oprogramowanie zabezpieczające na czas uruchamiania tego typu narzędzi. Jeśli to zawiedzie wykonaj log ze środowiska zewnętrznego za pomocą OTLPE

Na wszelki wypadek wykonaj tu jeszcze skan za pomocą Kaspersky TDSSKiller. Kiedy coś wykryje przydziel opcję Skip a tu zaprezentuj raport z programu.

Nie pisz mi tu posta pod postem(!) Jak coś chcesz dopisać używaj opcji Edytuj gdy nikt jeszcze nie odpowiedział. Posty łącze w całość. Jeśli chodzi o problem z Facebookiem, jeśli nadal się nie uruchamia to znaczy, że nie chodzi tu o infekcję bo ta według najnowszych logów została pomyślnie usunięta. Widać tu pozostałości po Symantec, usuń więc te szczątki za pomocą narzędzia Norton Removal Tool Kolejne pytanie czy problem występuje na każdej przeglądarce czy tylko na konkretnej?

Jeszcze pewne operacje będą tu przeprowadzane. 1. Są tu bardzo stare sterowniki zabezpieczenia StarForce i stosowny błąd w dzienniku zdarzeń: DRV - [2003-09-06 15:37:22 | 000,062,656 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\prohlp02.sys -- (prohlp02) DRV - [2003-09-06 14:27:06 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\sfhlp01.sys -- (sfhlp01) DRV - [2003-09-06 14:25:52 | 000,051,744 | ---- | M] (Protection Technology) [Kernel | System | Stopped] -- C:\Windows\SysWOW64\drivers\prodrv06.sys -- (prodrv06) DRV - [2003-09-06 14:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\prosync1.sys -- (prosync1) + Error - 2012-05-13 09:02:38 | Computer Name = Dawid-Komputer | Source = Service Control Manager | ID = 7026 Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: prodrv06 prohlp02 prosync1 sfhlp01 Wykonaj deinstalację tych staroci za pomocą firmowego narzedzia: KLIK 2. Także sterownik wirtualnych napędów w starej wersji + błędy w dzienniku: DRV - [2010-11-01 18:52:30 | 000,018,048 | ---- | M] () [Kernel | Auto | Stopped] -- C:\Windows\SysWOW64\drivers\lirsgt.sys -- (lirsgt) + Error - 2012-05-13 09:02:15 | Computer Name = Dawid-Komputer | Source = Application Popup | ID = 1060 Description = Ładowanie sterownika \SystemRoot\SysWow64\DRIVERS\lirsgt.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error - 2012-05-13 09:02:15 | Computer Name = Dawid-Komputer | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%1275 Tutaj też przeprowadź deinstalację - deinstalator masz w paczce instalacyjnej Tages: KLIK 3. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar oraz DAEMON Tools Toolbar 4. Użyj narzędzia AdwCleaner z opcji Delete 5. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms} IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms} IE - HKU\S-1-5-21-529332830-1453770017-376961339-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //www.searchqu.com/410 IE - HKU\S-1-5-21-529332830-1453770017-376961339-1001\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2410}: "URL" = http: //dts.search-results.com/sr?src=ieb&appid=0&systemid=410&q={searchTerms} IE - HKU\S-1-5-21-529332830-1453770017-376961339-1001\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-529332830-1453770017-376961339-1001\..\SearchScopes\{E784CD66-D895-4097-A8ED-14173AEAA5F7}: "URL" = http: //home.speedbit.com/search.aspx?aff=206&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "Search Results" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=0&systemid=410&q=" [2011-07-29 22:44:53 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Błażej\AppData\Roaming\mozilla\Firefox\Profiles\f6jm3icq.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7} [2010-11-08 12:46:49 | 000,002,059 | ---- | M] () -- C:\Users\Błażej\AppData\Roaming\Mozilla\Firefox\Profiles\f6jm3icq.default\searchplugins\daemon-search.xml [2011-07-29 22:44:33 | 000,002,497 | ---- | M] () -- C:\Users\Błażej\AppData\Roaming\Mozilla\Firefox\Profiles\f6jm3icq.default\searchplugins\SearchResults.xml [2011-07-29 22:44:33 | 000,002,497 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\SearchResults.xml O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. :Files C:\Users\Błażej\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-529332830-1453770017-376961339-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 6. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Po co drugi temat w tym dziale? Sprawdziłem ci system pod kątem infekcji w poprzednim temacie i takowej tutaj nie ma więc nie tędy droga. Temat zmienia dział. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK Niewykluczone, że to sprawka Aviry.