Landuss

W logach nie notuję infekcji. Temat zmienia dział. Wykonaj jedynie kosmetyczny skrypt do OTL (instrukcja w spoilerze): Na tą przypadłość wykonaj testowo czysty rozruch i sprawdź jak się zachowuje system: KLIK

1. Wejdź w panel usuwania programów i odinstaluj Browsers Protector 2. AdwCleaner z opcji Delete 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-04-19 09:32:00 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\Firefox\Profiles\51m2wxc4.default\searchplugins\web-search.xml O2 - BHO: (extrafind) - {c1094249-0b50-2fd3-3e02-14b2f0cc61af} - C:\WINDOWS\system32\3f420220.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found O4 - HKLM..\Run: [ROC_roc_dec12] "C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 File not found O4 - HKCU..\Run: [Twoje TVN24] File not found [2012-04-17 18:03:23 | 000,075,045 | ---- | M] () -- C:\WINDOWS\System32\236d56ee.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

1. Użyj narzędzia AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files F:\*.lnk G:\*.lnk attrib /d /s -s -h F:\* /C attrib /d /s -s -h G:\* /C :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} IE - HKU\S-1-5-21-402750976-1213171207-3131089167-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://zonedirector.com/1/" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "SweetIM Search" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000.10011" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Microsoft Firevall Engine] c:\Windows\mdm.exe () O4 - HKLM..\Run: [Windows Login access] C:\Users\Damien\AppData\Roaming\web2net.exe () O4 - HKU\S-1-5-21-402750976-1213171207-3131089167-1000..\Run: [Java Update Manager] C:\Users\Public\HEX-5823-6893-6818\jusched.exe () O4 - HKU\S-1-5-21-402750976-1213171207-3131089167-1000..\Run: [Microsoft Firevall Engine] c:\Windows\mdm.exe () [2012-04-19 16:43:03 | 000,003,939 | ---- | M] () -- C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\obt4yx7f.default\searchplugins\sweetim.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-402750976-1213171207-3131089167-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-402750976-1213171207-3131089167-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz USBFix z Listingu.

Znów nic nie wykonane. Powtórz to w trybie awaryjnym WIndows. Wyłączyć się nie powinno samo. Jest tam po to dane pause na końcu aby się to zatrzymało i aby można było zobaczyć czy nie ma jakichś błędów podczas wykonywania.

To nie jest antywirus tylko skaner antymalware. Program bardzo dobry nawet w wersji darmowej. W wersji komercyjnej jest ta różnica, że po prostu da się włączyć ochronę w czasie rzeczywistym. Temat zamykam i uznaje za rozwiązany. Gdyby coś się działo - daj znać na PW to go otworzę.

Nie uda, wyczerpałem swoje pomysły, poza tym nie uważam tego za "problem". Nie mam pojęcia dlaczego tak się dzieje.

ComboFix niczego konkretnego nie wykonał według kwarantanny. Logi również nie wykazują tu żadnej infekcji. Pozbądź się tylko Spybot Search & Destroy bo to program przestarzały. Tutaj może się okazać przydatne narzędzie TestDisk. Przydatne instrukcje do wglądu: Przywracanie tablicy partycji - KLIK / KLIK Instrukcja wyszukiwania plików - KLIK Temat zaś zostaje przeniesiony do innego działu.

Pliki nadal są ukryte, nie rozumiem o co tu chodzi. Zmienisz metodę. Wklej do notatnika: J: attrib /d /s -s -h J:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Zwróć uwagę czy nie ma błędów jakichś podczas wykonywania fixa. W dalszej kolejności wklejasz nowy log z USBFix.

Cóż nie wiadomo co tu się stało a z fusów nic nie wywróżymy. Wykonaj poniższe zalecenia: 1. Odnajdź na dysku systemowym folder Qoobox a w nim plik ComboFix-quarantined-files.txt i wstaw tutaj jego zawartość. 2. Sporządź logi z OTL + Gmer Wszystkie raporty proszę wkleić opcją załączniki na forum.

Według kwarantanny ComboFix niczego wielkiego nie wykonał. Usunął tylko mało istotne obiekty w Temp, sponsoring Windows Searchqu Toolbar oraz podejrzany autorun.inf z dysku G. Program możesz odinstalować bo nie będzie ci potrzebny a więc: Wciśnij klawisz z flagą Windows + R wklep CMD a następnie wklej i wywołaj polecenie "c:\users\SOTRA\Desktop\ComboFix.exe" /uninstall Czekamy na logi z OTL.

Plik ma rozszerzenie.log dlatego nie możesz go wrzucić. Wystarczyło zmienić na .txt. Skrypt poprawnie wykonany i nie ma tu więcej co usuwać. Wystarczy MSSE. Przejdź do czynności standardowych na koniec (przy okazji odchudze jeszcze nieco autostart ze zbędników). 1. Wklej do OTL ten tekst: :OTL O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} http: //www.mks.com.pl/skaner/SkanerOnline.cab (MksSkanerOnline Class) :Files C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk C:\Users\Daniello\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2010 Screen Clipper and Launcher.lnk :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Acrobat Assistant 8.0"=- "Adobe Acrobat Speed Launcher"=- "avast5"=- "NSU_agent"=- "SwitchBoard"=- [HKEY_USERS\S-1-5-21-1797371142-420387594-1628759501-1006\Software\Microsoft\Windows\CurrentVersion\RunOnce] "Report"=- "SPReview"=- Klikasz w Wykonaj skrypt. Logów nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Firefox 8.0.1 (x86 en-US)" = Mozilla Firefox 8.0.1 (x86 en-US) Szczegóły aktualizacyjne: KLIK

To infekcja raczej na dyskach przenośnych a nie na dysku komputera. Zresztą tutaj też jej na dysku systemowym nie było. Możesz więc być spokojny. Temat zamykam.

Odinstaluj testowo Avasta. To najbardziej podejrzany tutaj na podstawie logów. Tymczasem drobna poprawka - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{AA917617-DE6E-4B23-B215-457D41387C80}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=7ecff965-de40-11e0-a51a-fedc39e22565&q={searchTerms} IE - HKU\S-1-5-21-1797371142-420387594-1628759501-1001\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found IE - HKU\S-1-5-21-1797371142-420387594-1628759501-1006\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http: //vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp IE - HKU\S-1-5-21-1797371142-420387594-1628759501-1006\..\SearchScopes\{AA917617-DE6E-4B23-B215-457D41387C80}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=7ecff965-de40-11e0-a51a-fedc39e22565&q={searchTerms} O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O3 - HKU\S-1-5-21-1797371142-420387594-1628759501-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-1797371142-420387594-1628759501-1006\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found O4 - HKU\S-1-5-21-1797371142-420387594-1628759501-1001..\Run: [AdobeBridge] File not found O4 - HKU\S-1-5-21-1797371142-420387594-1628759501-1006..\Run: [] File not found [2012-04-18 12:40:39 | 000,000,000 | ---D | C] -- C:\Users\test\AppData\Local\adaware [2012-04-18 12:40:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Ad-Aware Browsing Protection :Files C:\Windows\tasks\*.job :Reg [HKEY_USERS\S-1-5-21-1797371142-420387594-1628759501-1006\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{A96FBD8F-FFD1-496F-B19F-77D14B06E22E}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Operacja poprawnie wykonana i pliki się uwidoczniły. Więcej nic tu nie ma do roboty. Użyj opcji Sprzątanie z OTL.

Atrybuty nadal nie zostały przestawione i pliki wciąż są ukryte. Wykonaj kolejny skrypt o tej zawartości: :Files attrib /d /s -s -h J:\* /C Po wykonaniu dajesz nowy log z USBFix.

W obecnych logach nie notuję aktywnej infekcji. Wykonaj tylko kosmetyczny skrypt do OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services WinDriver6 usb6xxxk nimsrlk nimslk niimaqk libusb0 GIVEIO epfwwfpr ehdrv eamonm dgderdrv :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zacznijmy od tego, że ComboFix użyty bez potrzeby i to na pewno nie jest log, którego tutaj potrzebujemy na starcie. W dodatku ten log pochodzi z drugiego uruchomienia programu: Czas ukończenia: 2012-04-18 11:19:51 - komputer został uruchomiony ponownie ComboFix-quarantined-files.txt 2012-04-18 09:19 ComboFix2.txt 2012-04-11 05:14 Pokaż zawartość pliku ComboFix-quarantined-files.txt z C:\Qoobox bo nie wiadomo co tu program wykonywał. Następnie wykonaj wymagany tutaj w twoim wypadku logi z OTL

No i po problemie. Na koniec Użyj opcji Sprzątanie z OTL i próżnij folder przywracania systemu: KLIK

Usunięte. Użyj Sprzątanie z OTL. Mam nadzieje, że to już nie wróci bo nie powinno. A jeśli wraca to sprawdź czy nie popełniasz jakiegoś błędu, który zaognia infekcja na nowo. I nie napisałeś czy skanowałeś dysk przez Malwarebytes jak podałem wcześniej.

1. Wejdź w panel usuwania programów i odinstaluj te pozycje - LiveVDO plugin 1.3 2. Zastosuj narzędzie AdwCleaner z opcji Delete Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files Recycler /alldrives attrib /d /s -s -h J:\* /C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1801674531-73586283-2147047481-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=2&src=sp&cf=80b88bfc-60a0-11e1-b550-00197e1a1cb3&q=" [2012-02-07 23:34:56 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\D@M!@N\Dane aplikacji\Mozilla\Firefox\Profiles\g6gtdcxe.default\searchplugins\daemon-search.xml [2012-02-26 19:37:21 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\D@M!@N\Dane aplikacji\Mozilla\Firefox\Profiles\g6gtdcxe.default\searchplugins\startsear.xml O3 - HKU\S-1-5-21-1801674531-73586283-2147047481-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z USBFix z opcji Lising.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files F:\*.lnk G:\*.lnk attrib /d /s -s -h F:\* /C attrib /d /s -s -h G:\* /C :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. Pokazujesz nowy log z USBFix z Listingu i ten, który powstał z usuwania.

vShare to jest szkodliwa wtyczka i ja nie wiem skąd wy to bierzecie że niby do oglądania meczy. To wcale nie jest potrzebne do oglądania meczy. Wtyczka instaluje swój toolbar, zmienia bez zgody użytkownika strony startowe i wyszukiwarki w przeglądarkach więc takiej wtyczce ufać na pewno nie można. Musisz się tego pozbyć. W logach nie notuję infekcji jedynie śmieci sponsoringowe. 1. Wejdź w panel usuwania programów i odinstaluj pozycje - Ask Toolbar / Browsers Protector / StartSearch Toolbar 1.3 / vShare Plugin / vShare plugin 1.3 / vShare.tv plugin 1.3 2. Zastosuj AdwCleaner z opcji Delete. 3. Pokazujesz nowe logi z OTL.

Log z USBFix jest źle wykonany. To miał być log z opcji Listing. Wykonaj go raz jeszcze przy podpiętych urządzeniach i przejdziemy do dalszych zaleceń.

@edith wykonaj poniższe zalecenia: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-2831789255-1024148626-2591073585-1000..\Run: [LQUXJGUU] rundll32 "C:\Users\L01\AppData\Roaming\mtxclu9.dll",WQDOCT File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Log z FSS nie wykazuje tu naruszeń w usługach. Czy na pewno mówimy o logu filtrowanym komendą: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Bo taka wielkość sugeruje, że nie. BTW: Temat zmienia dział bo tu infekcji nie ma.