Landuss

Logi wykazują infekcję ZeroAccess w stanie aktywnym. Rozpocznij od poniższych działań: 1. Uruchom narzędzie ComboFix z poziomu trybu awaryjnego. 2. Kiedy narzędzie ukończy pracę wklej z niego wynikowy raport i sporządź nowe logi z OTL + Gmer

1. Przejdź w panel usuwania programów i odinstaluj te pozycje - DealPly / Winamp Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\Djvloi.job C:\WINDOWS\System32\compacts.dll C:\Documents and Settings\anna\Dane aplikacji\Mozilla\Firefox\Profiles\6y8yahqd.default\searchplugins\askcom.xml C:\Documents and Settings\anna\Dane aplikacji\Mozilla\Firefox\Profiles\6y8yahqd.default\searchplugins\MyStart Search.xml C:\Documents and Settings\anna\Dane aplikacji\Mozilla\Firefox\Profiles\6y8yahqd.default\searchplugins\winamp-search.xml C:\Documents and Settings\anna\Dane aplikacji\Mozilla\Firefox\Profiles\6y8yahqd.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} C:\Documents and Settings\anna\Dane aplikacji\Mozilla\Firefox\Profiles\6y8yahqd.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Napraw wyłączone Centrum: Start > Uruchom wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie, usługę zastartuj przyciskiem. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Brakuje drugiego loga ekstras. Podczas skanu opcja "Rejestr - skan dodatkowy" powinna być zaznaczona na "Użyj filtrowania" 1. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Ask Toolbar (Nero Toolbar) / Babylon toolbar / SweetPacks Toolbar / Winamp Toolbar Usuwanie popraw narzędziem AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\IgvufpivNojw.dll C:\Users\Michal\Desktop\Smart Fortress 2012.lnk C:\Users\Michal\AppData\Roaming\Uqeszu C:\ProgramData\F4D55F38000449B8605D8FE8A60145BE C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Smart Fortress 2012 C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\aol-web-search.xml C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\askcom.xml C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\SweetIM Search.xml C:\Users\Michal\AppData\Roaming\Mozilla\Firefox\Profiles\75gsqoaq.default\searchplugins\sweetim.xml C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\75gsqoaq.default\extensions\toolbar@ask.com C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\75gsqoaq.default\extensions\ffxtlbr@babylon.com C:\Users\Michal\AppData\Roaming\mozilla\Firefox\Profiles\75gsqoaq.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{982CE4EC-C1CC-4FE1-8197-5ED6B58D08BC}] [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}] [-HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}] [HKEY_USERS\S-1-5-21-1287235045-2387776622-3465627747-1001\Software\Microsoft\Windows\CurrentVersion\Run] "{A49C4462-1C6E-AD40-E2BB-4656C1B2654B}"=- "Windows Time"=- :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=NRO&o=101913&locale=en_US&apn_uid=F1239F8A-3327-44A8-9406-7A06236DAAB2&apn_ptnrs=EW&apn_sauid=4606D67D-B1D8-462D-9B0B-12E1EC45BA83&apn_dtid=YYYYYYYYPL&&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=84a81d6c000000000000f46d04814062&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1287235045-2387776622-3465627747-1001..\Run: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe File not found O4 - Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_72894542.lnk = C:\Users\Michal\AppData\Local\Temp\_uninst_72894542.bat () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Dlaczego usunąłeś poprzednie załączniki z logami? - Tak się nie robi(!) tym bardziej, ze chciałem jeszcze coś sprawdzić w oparciu o poprzednie logi i teraz nie mogę tego zrobić. Jeśli chodzi o logi obecne to infekcja pomyślnie usunięta. Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK I teraz Avast już nie powinien ci nic wykrywać.

Znalazł to co było spodziewane. To teraz uruchom go jeszcze raz i dla wyniku Rootkit.Boot.Wistler.a zaznacz opcję Cure. Po wykonaniu dajesz nowy log z Kasperskyego i z Gmer.

Log z Gmer wskazuje ze tu może być rootkit w MBR. Zastosuj Kaspersky TDSSKiller, jeśli coś wykryję ustaw na razie opcję Skip i tu wklej tylko raport.

1. Wykonaj kolejny skrypt do OTL o takiej zawartości: :Files C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\tmp\loader.tlb C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} C:\Program Files (x86)\mozilla firefox\searchplugins\ask.xml :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0695DB42-EE63-4358-AA98-A9A69F156BB3}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B9C7CE32-DA91-43C2-B7E9-0E9AAFC675CD}] Kliknij w Wykonaj skrypt. Powstanie log, który zachowaj w celu prezentacji. 2. Winsock nie został zresetowany. Trzeba zmienić metodę (przy okazji naprawa Windows Defender) - wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal 3. Wejdź do tego tematu: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw pozycję Zapora systemu Windows (MpsSvc) oraz Podstawowy aparat filtrowania (BFE) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tychj usług naprawę przez SetACL. Następnie przejdź w Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj je przyciskiem. 4. Wklejasz nowy log z OTL powstały w punkcie 1, nowy log z OTL ze skanowania oraz nowy z FSS.

Gdzie poprzednio korzystałeś z pomocy? To istotne byśmy wiedzieli co tu było wykonywane. Jeśli chodzi o samą infekcję to nie wygląda ona do końca na aktywną. Tu jest system 64 bitowy więc infekcja nie jest rootkitem. 1. Przejdź w panel usuwania programów i odinstaluj sponsoring Ask Toolbar oraz DVD Video Soft Toolbar Usuwanie popraw narzędziem AdwCleaner użytym z opcji Delete. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysNative\dds_log_ad13.cmd C:\Windows\SysNative\dds_log_trash.cmd :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :OTL O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [intelAgent] C:\Windows\Temp\temp68.exe () FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Reset Winsock: Start > w polu szukania wpisz Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Nowe logi do oceny z Farbar Service Scanner (zaznacz wszystko do skanowania) oraz z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s C:\Windows\system32\consrv.dll /64 C:\Windows\assembly\GAC_64\*.* C:\Windows\assembly\GAC_32\*.* C:\Windows\assembly\tmp\*.* Klik w Skanuj.

Wszystko zostało poprawnie wykonane i nie widać już tutaj nic szkodliwego. Możesz przejść do kroków finalnych. 1. Wciśnij kombinacje klawisza z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "c:\users\Paula\Desktop\Desktop\ComboFix.exe" /uninstall 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj poniższe oprogramowanie: Internet Explorer (Version = 8.0.6001.18943) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.6 "Mozilla Thunderbird 10.0.1 (x86 pl)" = Mozilla Thunderbird 10.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

MSSE wystarczy, masz jeszcze przecież Malwarebytes z tego co widzę jako skaner więc bardziej przeciążać systemu nie ma sensu. Skrypt pomyślnie wykonany i logi obecne są już czyste. Przejdź do czynności końcowych. 1. Usuń szczątki po ComboFix wklejając ten skrypt do OTL: :Files C:\Qoobox C:\WINDOWS\PEV.exe C:\WINDOWS\MBR.exe C:\WINDOWS\sed.exe C:\WINDOWS\grep.exe C:\WINDOWS\zip.exe C:\WINDOWS\ERDNT C:\WINDOWS\SWREG.exe C:\WINDOWS\SWSC.exe C:\WINDOWS\SWXCACLS.exe C:\WINDOWS\NIRCMD.exe C:\1e25787dfbaa7e0897408988219d65 :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- Klikasz w Wykonaj skrypt. Logów żadnych już nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj do najnowszych wersji poniższe pozycje: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.7 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK

8 Giga? Gdzie tak masz napisane? Instalator SP1 dla Windows 7 w wersji 64 bitowej (takiej jak twój) waży dokładnie 903 MB Ty masz pobrać pozycję windows6.1-KB976932-X64.exe A z miejscem na partycji systemowej rzeczywiście nie wesoło ale to swoją drogą. Do analizy miejsca i śledzenia zajętości dysku możesz wykorzystać przydatny program SpaceSniffer. Wywołany przez Uruchom jako Administrator, a przed uruchomieniem skanu dysku ustaw z menu Edit > Configure > Show Unknown Space. W taki sposób dowiesz się co zajmuje ci najwięcej miejsca.

Użycie ComboFix nie było tutaj potrzebne. Infekcja jest nadal aktywna. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Tasks\Zgaxupeuag.job C:\Windows\System32\ws2_32Y.dll C:\users\Paula\AppData\Roaming\*.exe C:\Users\Paula\AppData\Local\Temp*.html :OTL SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ManyCam.sys -- (ManyCam) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Paula\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKU\S-1-5-21-3231480573-421141693-3271003740-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=CDS&o=16205&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=QR&apn_dtid=YYYYYYYYPL&apn_uid=6AE7B3A2-E4CE-439F-9FCB-36D692110342&apn_sauid=52F84A7B-0B5E-4288-AD86-12A15FFEB379 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Raport niczego nie wykazał więc myslę, że można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner 2. Zaktualizuj system do stanu Service Pack 1 oraz poniżej wymienione oprogramowanie do najnowszych wersji: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK

W którym momencie pojawia się ten komunikat? Log nie wykazuje już infekcji. Na wszelki wypadek wykonaj jeszcze skan za pomocą Malwarebytes Anti-Malware i zaprezentuj raport.

W logach brak śladów jakiejkolwiek infekcji. Na wszelki wypadek przeskanuj się jeszcze przez Malwarebytes Anti-Malware

Załącz tu nowy log z OTL jeszcze (bez ekstras) dla pewności.

AdwCleaner znalazł jeszcze trochę odpadków więc użyj go tym razem z opcji Delete. I zasadnicze pytanie czy problemy nadal występują?

Nie do końca prawidłowo bo logi z OTL powinny być dwa, brakuje ekstras. Opcja "Rejestr - skan dodatkowy" powinna być zaznaczona na "Użyj filtrowania". Ten log ci jednak podaruję gdyż wyraźnie widać, że tu infekcji nie ma. Bluescreeny na atapi i ntoskrnl to raczej wskazywałoby na problem sprzętowy i do takiego działu zostaje przeniesiony ten temat. Zapoznaj się wczesniej z zasadami tego działu: KLIK

Ja ci tylko przypomniałem gdzie szukać tej opcji, ale przywracania systemu to się tymczasowo wyłącza dopiero po usuwaniu infekcji na samym końcu. Jednak ty już to wyłączyłaś wcześniej jak wspominałaś więc wykonywac tego nie będziesz, natomiast samo przywracanie możesz ponownie włączyć gdyż ta opcja na systemie Windows 7 jest przydatna.

Tracking cookies to wyniki do zignorowania a nie do przejmowania się nimi. To nie jest żadna infekcja i również nie wydaje się by to była wina przekierowań. Cookies a więc ciasteczka były, są i będą u każdego użytkownika internetu. A co to takiego to jest do poczytania w pierwszym lepszym linku google: http://support.microsoft.com/gp/cookies/pl ComboFix to zaś nie jest narzędzie do używania na start a już na pewno nie na tym forum. Proszę ten program w prawidłowy sposób odinstalować bo potrzebny już nie będzie. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Radek\Pulpit\ComboFix.exe" /uninstall Jeśli zaś chodzi o dalsze czynności to wykonaj wymagane tutaj logi z OTL + Gmer

Logi z OTL powinny być dwa, brakuje loga ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". Kolejna sprawa to ślady używania ComboFix i ani słowa o tym. W dodatku program ściągany z serwisu zewnętrznego instalki.pl (co nie gwarantuje najnowszej wersji narzędzia) a nie z linków oryginalnych. Użyty bez potrzeby. Jeśli chodzi o logi nie bardzo jest się do czego przyczepić, ale log z Gmer wygląda na urwany gdyż nie ma końcowego zwrotu: ---- EOF - GMER 1.0.15 ---- Tu może być rootkit. Uruchom Kaspersky TDSSKiller i jeśli coś wykryje na razie nic nie usuwaj tylko kliknij opcję Skip a tu wklej tylko raport z narzędzia.

HijackThis to program przestarzały i nie wolno go używać w dzisiejszych czasach, w dodatku brak wsparcia dla systemów 64 bitowych, a z automatów do analizy nie radzę korzystać. Logi analizować powinien człowiek a nie automat bo wychodzą z tego czasami spore błędy. Czyli program usuń z dysku i zapomnij o nim na zawsze. Tutaj też mam uwagę i radzę być ostrożny w tego typu automatach do czyszczenia rejestru. Proszę nic nim nie usuwać bo możesz narobić sobie więcej problemów niż pożytku. Tego typu programy nie zawsze prawidłowo oceniają dane wpisy i niepotrzebnie mogą je usuwać. Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj Nie musisz tego pisać, przecież my to wszystko widzimy w logach. Jeśli chodzi o raporty to jest tu aktywna infekcja. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\alef\AppData\Roaming\*.exe :Reg [HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\URLSearchHooks] "{00000000-6E41-4FD3-8538-502F5495E5FC}"=- [-HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_USERS\S-1-5-21-2195184045-3265951034-2981680463-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. O3 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\..\Toolbar\WebBrowser: (no name) - {851552F5-B878-4B03-904F-2AD6A4CC8994} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 22388 = C:\PROGRA~3\LOCALS~1\Temp\msiiytic.scr O7 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 7-Zip = C:\Users\alef\AppData\Roaming\EC1B19.exe (Veoj) O7 - HKU\S-1-5-21-2195184045-3265951034-2981680463-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 :Commands [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Logi z OTL nie do końca wykonane prawidłowo w kwestii ustawień. Opcja "Pomiń pliki Microsoftu" powinna być zaznaczona natomiast opcja "Pliki młodsze niż" wystarczy jak ustawisz 30 dni. Przy następnym skanowaniu chcę abyś te opcje właśnie tak ustawił bo nie potrzebny nam jest tutaj aż tak rozbudowany log. Przy okazji to widać tutaj ślady po używaniu ComboFix (bez potrzeby) a nic o tym nie wspominasz a samo narzędzie nie wygląda na poprawnie odinstalowane. Bez Spybota I od razu bierz się za jego deinstalacje. Program przestarzały i nie nadaje się na dzisiejsze czasy. Jeśli chodzi o problem MSSE to jest tutaj infekcja, która bierze się właśnie za tą usługę oraz za Centrum zabezpieczeń. Przechodzimy do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\jkgnk.job C:\WINDOWS\System32\srrstrv.dll :OTL O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > Uruchom > services.msc Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie, usługę zastartuj przyciskiem. MSSE: podobnie jak wyżej - usługa o nazwie Microsoft Antimalware Service, a Typ uruchomienia ma mieć przestawiony na Automatyczny. 3. Następnie uruchamiasz OTL ponownie (przypominam o ustawieniach), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Zacznijmy od tego, że ComboFix to nie jest narzędzie do "robienia loga" tylko silny dezynfektor na trudne przypadki infekcji i nie wolno go używać na start na każdy problem. W dodatku zasad działu nie przeczytałeś bo my tu na pewno nie prosimy o taki log. ComboFix odinstaluj bo nie będzie ci już potrzebny: Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD następnie wklej i wywołaj polecenie "c:\users\Oskar\Desktop\ComboFix.exe" /uninstall W dalszej kolejności wykonaj prawidłowe logi z OTL Jakie blędy? A co do bluescreenów przydało by się wykonanie punktu 5 z tego tematu: KLIK

Wszystko zostało poprawnie usunięte, odczyty z Gmer czyste. Przejdź do czynności finalnych. 1. Użyj opcji Sprzątanie z OTL oraz opcji Delete w AdwCleaner. Później odinstaluj go opcją Uninstall. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji - szczegóły: KLIK