Landuss

Teraz jest jak należy. Logi pokazują, że tu do każdej przeglądarki podpięło się "v9". Przejdź do usuwania. 1. Wejdź w panel usuwania programów i odinstaluj pasek sponsoringowy - Babylon toolbar on IE 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\v9Soft :Reg [HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" [HKEY_LOCAL_MACHINE\software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\chrome.exe\shell\open\command] ""="C:\Documents and Settings\Seba\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe" [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\Google Chrome\shell\open\command] ""="C:\Documents and Settings\Seba\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe" [HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\Safari.exe\shell\open\command] ""="C:\Program Files\Safari\Safari.exe" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, wklejasz dodatkowy warunek jak poprzednio i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Ale co to ma być za log? Jest pusty. W dodatku brakuje drugiego loga - extras. Tak więc musisz to wszystko poprawić i przy okazji zrobisz tu log na dodatkowym warunku. Uruchom OTL, wszystkie opcje ustaw na "Użyj filtrowania" zaś w okno Własne opcje skanowania / skrypt wklej: hklm\software\clients\startmenuinternet|command /rs Klik w Skanuj i przedstaw wynikowe logi.

Spróbuj użyć firmowego narzędzia - ESET Uninstaller

W logach nic ciekawego - brak aktywnej infekcji. Użycie ComboFix nie było tu potrzebne, odinstaluj go w prawidłowy sposób: Wciśnij klawisz z flagą Windows + R wklep CMD następnie wklej i wywołaj polecenie "F:\ComboFix.exe" /uninstall Temat zmienia dział na Sieci. Sporządź na początek raport z Net-log BTW: Swoją drogą ten system ma norweskie locale (zakładam, że to celowe): Locale: 00000414 | Country: Norge | Language: NOR

To co ci teraz wykrywa Kaspersky jest nieistotne - wyniki do zignorowania. Rootkit usunięty i teraz pytanie do Ciebie czy problem zniknął? Przejdź do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Na wszelki wypadek zmień sobie hasła logowania do serwisów w sieci.

Nie osłabiaj nas. Popatrz na punkt 1. Przecież wiadomo że chodzi o ws2_32.dll

Według spodziewań jest tu aktywny rootkit co potwierdza Gmer: ---- Disk sectors - GMER 1.0.15 ---- Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283 Disk \Device\Harddisk0\DR0 PE file @ sector 625121305 Disk \Device\Harddisk0\DR0 MBRoot/Sinowal@MBR code has been found <-- ROOTKIT !!! 1. Uruchom Kasperskyego ponownie i tym razem dla wyniku Rootkit.Boot.Sinowal.b przydziel opcję Cure. Zachowaj raport z programu. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cx__l1.sys -- (cx__l1.sys) O3 - HKU\S-1-5-21-329068152-920026266-839522115-1003\..\Toolbar\WebBrowser: (no name) - {4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - No CLSID value found. :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP"=- "65533:TCP"=- "52344:TCP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3389:TCP"=- "65533:TCP"=- "52344:TCP"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer i Kasperskyego.

A gdzie log z Gmer pod kątem rootkitów? To jest obowiązkowy log i należy go wykonać. Infekcja rootkit tutaj prawdopodobnie jest, świadczą o tym te wpisy: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xpsec.sys -- (xpsec) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\xcpip.sys -- (xcpip) Na początek uruchom Kaspersky TDSSKiller i wykonaj nim skanowanie. Jeśli coś znajdzie nic nie usuwaj, przydziel na razie opcję Skip a tu wklej tylko raport.

Dobrze by było bo system nie został tu sprawdzony pod kątem rootkitów tym bardziej, ze tu były ślady rootkita ZeroAccess, który kiedyś musiał siedzieć na tym systemie. Logi z OTL nie pokazują rootkitów. A powyższy skrypt wykonany poprawnie i teraz pytanie czy problem nadal występuje? Jeśli nie - przejdziemy do czynności finalnych.

Próbowałeś z Gmerem w trybie awaryjnym? W obecnych logach widać infekcje i można już przejść do usuwania. 1. Wejdź w panel usuwania programów i odinstaluj - Browsers Protector / Contextual Tool Extrafind / StartSearch Toolbar 1.3 / vShare.tv plugin 1.3 2. Użyj AdwCleaner z opcji Delete 3. Uruchom GrantPerms, w oknie wklej: C:\Windows\System32\drivers\etc\hosts Klik w Unlock. 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files attrib -r -s -h C:\Windows\System32\drivers\etc\hosts /C C:\WINDOWS\Tasks\At*.job C:\WINDOWS\System32\e105088c.exe C:\WINDOWS\System32\86fc468c.dll C:\WINDOWS\System32\dds_trash_log.cmd C:\Documents and Settings\Jolanta\4ed50ebe-5689.exe C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\luposde.dll :Services upperdev pccsmcfd catchme AmdPPM AmdLLD adfs :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\luposde] [HKEY_USERS\S-1-5-21-583907252-1606980848-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Update Server"=- [HKEY_USERS\S-1-5-21-583907252-1606980848-725345543-1004\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{760C2538-FF5E-45AB-97A0-C71755324B0B}" [HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL O2 - BHO: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [AmdAgent] C:\WINDOWS\Temp\temp94.exe File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O7 - HKU\S-1-5-21-583907252-1606980848-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 IE - HKLM\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=eb50b4ca-2375-11e1-9bce-00241d84cc9d&q={searchTerms} IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=eb50b4ca-2375-11e1-9bce-00241d84cc9d&q={searchTerms} IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{484D9131-53A6-4759-B0A1-B57C679B5D02}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=ac0efe1900000000000000241d84cc9d IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=eb50b4ca-2375-11e1-9bce-00241d84cc9d&q={searchTerms} IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{73DAF6F5-2ECF-431A-A1AA-E50AABC02D30}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=8D0960AF-8CE8-498B-8ADB-CB6DF2EB2107&apn_sauid=3C2D5A60-AE76-4918-AEF0-845302A44B93& IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{8A244612-A1F7-11E0-95C0-E71F4824019B}: "URL" = http: //badoo.com/startpage/?source=bsb&q={searchTerms} IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http: //www.daemon-search.com/search/web?q={searchTerms} IE - HKU\S-1-5-21-583907252-1606980848-725345543-1004\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredibar.com/mb119/?search={searchTerms}&loc=IB_DS&a=6PQsbwezYX&i=26 FF - prefs.js..browser.search.defaultenginename: "Search the web" FF - prefs.js..browser.search.order.1: "Search the web" FF - prefs.js..browser.search.selectedEngine: "Search the web" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=eb50b4ca-2375-11e1-9bce-00241d84cc9d" FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" FF - user.js..browser.search.selectedEngine: "Search the web" FF - user.js..browser.search.order.1: "Search the web" FF - user.js..browser.search.defaultenginename: "Search the web" FF - user.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q=" [2012-04-01 14:19:37 | 000,002,023 | ---- | M] () -- C:\Documents and Settings\Jolanta\Dane aplikacji\Mozilla\Firefox\Profiles\v3bvprcy.default\searchplugins\badoo.xml [2012-03-23 18:06:27 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Jolanta\Dane aplikacji\Mozilla\Firefox\Profiles\v3bvprcy.default\searchplugins\MyStart Search.xml [2012-04-21 21:01:32 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Jolanta\Dane aplikacji\Mozilla\Firefox\Profiles\v3bvprcy.default\searchplugins\startsear.xml [2012-04-23 00:28:56 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{9f01146d-1a62-b2a4-f7ef-2f9d65e1e3fb} [2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-02-19 01:12:23 | 000,000,158 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search the web.src :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jeśli założyłeś temat w tym dziale to bez logów się nie obejdzie. Sporządź raporty z OTL + Gmer i dodaj na forum opcją załączniki.

Dałeś log z DDS a nie z OTL (chyba, że OTL ci się też nie uruchamia) Wykonasz podmianę z zewnątrz w takim razie. 1. Pobierz czysty plik ws2_32.dll: KLIK. Umieść go bezpośrednio na dysku C:\ 2. Przygotuj w Notatniku następujący skrypt: CMD: copy /y C:\ws2_32.dll C:\Windows\SysWow64\ws2_32.dll Plik zapisz pod nazwą fixlist.txt 3. Pobierz narzędzie FRST x64. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera daj F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. 4. Restartujesz do Windows. 5. Pokazujesz log powstały w punkcie 3 oraz postaraj się dać logi z OTL (o ile się uruchomi)

Usunięte. Możesz przejść do czynności końcowych. 1. Mała poprawka do OTL - wklej ten skrypt: :OTL FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm405YYPL&ptnrS=GRxdm405YYPL&si=CD5517&ptb=2SCE.0VGvc3KXX2dXt5cwg&ind=2012011114&n=77ecda6a&psa=&st=kwd&searchfor=" Klik w wykonaj skrypt. Logów żadnych nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System masz nieaktualny. Należy zainstalować Service Pack 3 oraz zaktualizować wymienione programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Szczegóły aktualizacyjne: KLIK

Jest lepiej, ale jeszcze poprawka. Wykonaj skrypt do OTL o tej zawartości: :Files C:\Program Files\SweetIM\Toolbars :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{EEE6C35B-6118-11DC-9C72-001320C79847}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{EEE6C35B-6118-11DC-9C72-001320C79847}"=- :OTL IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm405YYPL&ptnrS=GRxdm405YYPL&si=CD5517&ptb=2SCE.0VGvc3KXX2dXt5cwg&ind=2012011114&n=77ecda6a&psa=&st=sb&searchfor={searchTerms} IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={76E031EF-0345-4C90-B8D4-A189EE95185B} IE - HKCU\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A} IE - HKCU\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http: //start.funmoods.com/?a=ironto&s={searchTerms}&f=4 IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=BLT&o=15558&src=crm&q={searchTerms}&locale=en_US IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm405YYPL&ptnrS=GRxdm405YYPL&si=CD5517&ptb=2SCE.0VGvc3KXX2dXt5cwg&ind=2012011114&n=77ecda6a&psa=&st=sb&searchfor={searchTerms} IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http: //search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1392740 IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={76E031EF-0345-4C90-B8D4-A189EE95185B} IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local> FF - prefs.js..browser.search.selectedEngine: "My Web Search" FF - prefs.js..keyword.URL: "http: //search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=GRxdm405YYPL&ptnrS=GRxdm405YYPL&si=CD5517&ptb=2SCE.0VGvc3KXX2dXt5cwg&ind=2012011114&n=77ecda6a&psa=&st=kwd&searchfor=" [2010-07-29 14:26:31 | 000,000,000 | ---D | M] (MyPlayCity Toolbar) -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\extensions\{4724c5d8-dfa7-417a-a2f5-1eabfee9b4ac} [2012-04-21 21:08:35 | 000,000,000 | ---D | M] (Funmoods.com) -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\extensions\ffxtlbr@funmoods.com [2012-04-21 21:08:35 | 000,000,000 | ---D | M] (Yontoo) -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\extensions\plugin@yontoo.com [2010-05-05 17:07:32 | 000,002,424 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\searchplugins\askcom.xml [2009-05-19 11:25:10 | 000,000,882 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\searchplugins\conduit.xml [2012-04-21 21:08:25 | 000,001,800 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\searchplugins\funmoods.xml [2012-04-22 19:57:13 | 000,009,933 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\searchplugins\mywebsearch.xml [2012-04-10 10:25:24 | 000,003,974 | ---- | M] () -- C:\Documents and Settings\Zbyszek\Dane aplikacji\Mozilla\Firefox\Profiles\zshytx47.default\searchplugins\sweetim.xml O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {4724C5D8-DFA7-417A-A2F5-1EABFEE9B4AC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Documents and Settings\Zbyszek\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe" File not found O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html () [2012-04-22 21:33:12 | 000,824,840 | ---- | C] (MyWebSearch.com) -- C:\Program Files\Uninstall Fun Web Products.dll :Commands [reboot] Do oceny nowy log z OTL.

Nie spowoduje, to jest zbędny pobieracz Adobe, usuń.

1. Wejdź w panel usuwania programów i odinstaluj następujące pozycje - Akamai NetSession Interface / MyPlayCity Toolbar / My Web Search (MyWebFace) 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files\Yontoo\YontooIEClient.dll File not found O4 - HKCU..\Run: [] File not found O4 - HKCU..\Run: [DriverUpdaterPro] C:\Program Files\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t File not found O4 - HKCU..\Run: [MobiLink Network Connection Manager] C:\Program Files\Novatel Wireless\MobiLink\MobiLink.exe /s -noshow -AppMode File not found O8 - Extra context menu item: &Search - http: //edits.mywebsearch.com/toolbaredits/menusearch.jhtml?s=100000341&p=GRxdm405YYPL&si=CD5517&a=2SCE.0VGvc3KXX2dXt5cwg&n=2012011114 File not found [2010-12-11 21:51:05 | 004,414,477 | ---- | C] () -- C:\WINDOWS\lsass.exe :Services EagleXNt EagleNT :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Po pierwsze temat w złym dziale. Od takich rzeczy jest dział pomocy doraźnej bo to nie należy do problemów "systemowych". Temat zostanie przeniesiony we właściwe miejsce. Po drugie zabrakło drugiego loga z OTL - extras. Podczas skanu zaznacz opcje "Rejestr - skan dodatkowy" na "Użyj filtrowania". Tak więc dołącz ten brakujący log i dopiero weźmiemy się za usuwanie.

Jest w porządku. Możesz wykonać standard na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Java wymaga tu aktualizacji do najnowszej wersji: KLIK

Tym razem infekcja usunięta w całości. Możesz zająć się drobnostkami na koniec. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\User\Pulpit\naprawa\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Masz nieaktualny system. Należy zainstalować Service Pack 3 i zaktualizować wymienione programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK

Plik podam ci do wymiany, ale logi też muszę dostać najpierw.

Skrypt poprawnie wykonany. Wykonaj jeszcze na koniec parę rzeczy. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java™ 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 10.0.1 (x86 pl)" = Mozilla Firefox 10.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

A co to znaczy "źle zainstalował"? Według nagłówka loga SP1 jest tu zainstalowany: Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation W logach do usuwania szczątki śmiecia v9 + toolbar sponsoringowy zaś za problem z explorer.exe odpowiada ten pusty wpis po infekcji: O20 - HKU\S-1-5-21-4071347749-2016269768-2659499580-1001 Winlogon: Shell - ("C:\Users\Komputer.pecet-PC\winlogon.exe") - File not found 1. Wejdź w panel usuwania programów i odinstaluj Babylon toolbar on IE 2. Użyj narzędzia AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4071347749-2016269768-2659499580-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=100482&babsrc=SP_ss&mntrId=f85fc444000000000000000000000000 [2012-02-07 20:43:48 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKU\S-1-5-21-4071347749-2016269768-2659499580-1001\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [TkBellExe] "C:\Program Files\Real\RealPlayer\Update\realsched.exe" -osboot File not found O4 - HKU\S-1-5-21-4071347749-2016269768-2659499580-1001..\Run: [Zegarynka] C:\Users\Komputer.pecet-PC\Downloads\zegarynka1.2(dobreprogramy.pl)\Zegarynka.exe File not found O4 - HKLM..\RunOnce: [NetworkAccessManager] "C:\Program Files\NVIDIA Corporation\NAM Installer\setup.exe" /s File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-4071347749-2016269768-2659499580-1001\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-4071347749-2016269768-2659499580-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files\Mozilla Firefox\firefox.exe" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach brak śladu infekcji, temat zostaje przeniesiony do działu Sieci. Na początek dostarcz raport z Net-log

No ale gdzie tu są te logi z OTL? Dałeś logi z DDS a nie z OTL. Więc?

Tak tu widać, że jest to modyfikowany system i to może być właśnie tego skutek. Pewne elementy zostały zmienione, usunięte. Jeśli zaś chodzi o logi to nic się nie zmieniło i infekcja nadal aktywna. W takiej sytuacji uruchom w trybie awaryjnym ComboFix i zaprezentuj z niego raport. Nowe logi z OTL po jego działaniu też wykonaj i załącz.