Landuss

No jak to? Przecież dałem ci linka do niego wcześniej. Jeśli chodzi o logi - jest czysto. Można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System wymaga aktualizacji do Service Pack 1 więc to wykonaj oraz zaktualizuj też poniższe oprogramowanie do najnowszych wersji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish Szczegóły aktualizacyjne: KLIK

uTorrentControl2 Toolbar nadal widnieje w logu i nie został odinstalowany, masz z tym jakiś problem? Przy okazji (co teraz pokazał log ekstras) do usunięcia też pozycja Deinstalator Strony V9. Wykonaj kolejny skrypt do OTL o takiej zawartości: :Files D:\autorun.inf E:\Facemoods.exe C:\Program Files (x86)\Conduit C:\Users\Lemon\AppData\Local\Conduit C:\Users\Lemon\Desktop\softonic_ggl_1.5.11.5.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- Do oceny dajesz nowy log z OTL (bez ekstras) oraz z AdwCleaner z opcji Search

"OTL log" - tak się nie tytułuje tematów na forum. W temacie powinien być określony główny problem. W dodatku logi z OTL powinny być dwa, zabrakło loga ekstras. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Następnym razem to wykonaj w kolejnym poście. Nie piszesz nic jaki masz problem, ale sądząc po logach jest tu infekcja z urządzeń przenośnych i nie tylko oraz sponsoringowe toolbary. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - Softonic Toolbar / uTorrentControl2 Toolbar / Babylon Toolbar Usuwanie popraw za pomocą narzędzia AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files w9.exe /alldrives autorun.inf /alldrives C:\Users\Lemon\AppData\Roaming\mservice32_t.exe C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml C:\Users\Lemon\AppData\Roaming\Mozilla\Firefox\Profiles\g1l1xtd6.default\searchplugins\softonic.xml C:\Users\Lemon\AppData\Roaming\mozilla\Firefox\Profiles\g1l1xtd6.default\extensions\ffxtlbr@babylon.com C:\Users\Lemon\AppData\Roaming\mozilla\Firefox\Profiles\g1l1xtd6.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6C6AE2E4-3EB2-4F8A-B8BC-D6A15D8FE01C}] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] "UpdateT"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.softonic.com/MON00085/tb_v1?SearchSource=13&cc=" FF - prefs.js..browser.search.selectedEngine: "Search the web (Softonic)" FF - prefs.js..keyword.URL: "http://search.softonic.com/MON00085/tb_v1?SearchSource=2&cc=&q=" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKCU..\RunOnce: [update] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Dajesz nowe logi do oceny z OTL (przypominam o logu ekstras) na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C DIR /A F:\ /C Klik w Skanuj

Z tego co pokazuje log z Gmer to jest tu rootkit TDL: ---- Kernel code sections - GMER 1.0.15 ---- .rsrc C:\WINDOWS\system32\DRIVERS\mouclass.sys entry point in ".rsrc" section [0xB843C814] ? C:\WINDOWS\system32\DRIVERS\mouclass.sys suspicious PE modification ---- Files - GMER 1.0.15 ---- File C:\WINDOWS\system32\DRIVERS\mouclass.sys suspicious modification; TDL3 <-- ROOTKIT !!! 1. Uruchom narzędzie Kaspersky TDSSKiller i kiedy wykryje rootkita TDL3 przyznaj opcję Cure. Zachowaj raport z programu. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\compobj4.dll C:\Documents and Settings\Administrator.DOM-64737011F72\Dane aplikacji\Mozilla\Firefox\Profiles\2jduk4qi.default\searchplugins\absearch-search.xml C:\Documents and Settings\Administrator.DOM-64737011F72\Dane aplikacji\Mozilla\Firefox\Profiles\2jduk4qi.default\searchplugins\askcom.xml :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Start > Uruchom > wpisz services.msc Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie, usługę zastartuj przyciskiem. 4. Przejdź w panel usuwania programó i odinstaluj sponsoring - Astroburn Toolbar oraz zbędny pobieracz Adobe - Akamai NetSession Interface 5. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer, Kaspersky TDSSKiller oraz z AdwCleaner z opcji Search.

Teraz to jest już błąd od SetACL ale dlaczego to nie mam pojęcia. Może wykonaj wszystko od początku czyli pobierz narzędzie od nowa i fix.txt też wykonaj od nowa. Wyłącz wszelkie programy zabezpieczające na czas wykonywania.

W takim razie wykonaj sprawdzenie zmiennych środowiskowych: Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemu sprawdź czy zmienna Path ma taki ciąg: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\ Jeśli ma inny ciąg, zedytuj do powyższej wartości a jeśli w ogóle jej nie ma utwórz ją z opcji Nowa.

Wolnym działaniem zajmiemy sie na końcu, najpierw trzeba naprawić wszystkie szkody po infekcji. A czy SetACL na pewno masz w katalogu C:\Windows ?

Tutaj jest jeszcze trochę do roboty. Między innymi skasowana usługa od zapory Windows i to też robota ZeroAccess. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] @="C:\\Program Files\\Mozilla Firefox\\firefox.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files\\Internet Explorer\\iexplore.exe" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Wejdź w ten temat: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL. Następnie Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem. 3. Po wykonaniu wszystkiego zgłoś się z nowym logiem z FSS.

Oczywiście bo wyraźnie jest napisane, że załączniki mają być w formie .TXT a nie .LOG i tylko rozszerzenie wystarczyło zmienić. Patrząc jednak na logi z OTL infekcja nie wydaje się być tutaj w pełni aktywna więc może przez OTL uda się usunąć resztę składników ZeroAccess. Usuwam też resztki po Spybot oraz śmiecia v9. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB40952$ /C C:\Windows\$NtUninstallKB40952$ C:\Windows\System32\%APPDATA% C:\Users\Daniel\AppData\Local\6e1a0e1d C:\Windows\System32\dds_log_ad13.cmd C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\ProgramData\Spybot - Search & Destroy :Services VGPU mcproxy EverestDriver :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2861096368-1483153516-3102804274-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="about:blank" [HKEY_USERS\S-1-5-21-2861096368-1483153516-3102804274-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2861096368-1483153516-3102804274-1000\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL FF - prefs.js..browser.startup.homepage: "http://www.v9.com/v9tb/v9tb_1332938099_434680" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Daniel\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O4 - HKLM..\Run: [TaskTray] File not found O4 - HKU\S-1-5-21-2861096368-1483153516-3102804274-1000..\Run: [Facebook Update] "C:\Users\Daniel\AppData\Local\Facebook\Update\FacebookUpdate.exe" /c /nocrashserver File not found O4 - HKU\S-1-5-21-2861096368-1483153516-3102804274-1000..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 2. Reset Winsock: Start > w polu szukania wpisz Uruchom> cmd i wpisz komendę netsh winsock reset. Zresetuj system. 3. Logi pokazują ubytek w postaci braku pliku afd.sys. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. 4. Dajesz nowe logi do oceny z wynikami przetwarzania skryptu z punktu 1, z Farbar Service Scanner (zaznacz wszystko do skanowania) oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows\$NtUninstallKB40952$;true;true;false /FP HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command Klik w Skanuj.

Wszystko wykonane prawidłowo według spodziewań. Problemu z zaporą już mieć nie powinieneś tylko potwierdź to. Wykonaj czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Wykonaj aktualizację IE oraz javy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 30 Instrukcje: KLIK

To jest nic nie znaczący błąd i nie zważaj na to. Import powinien wykonać się mimo to prawidłowo. Wykonaj dalsze czynności i załącz wymagane logi.

W takim razie spróbuj w trybie normalnym.

Według tego co log pokazuje to rzeczywiście nie ma tutaj wcale usługi MRxSmb i pliku też nie ma we właściwym miejscu. 1. Pobierz czysty plik pod XP SP3: KLIK i umieść w lokalizacji C:\WINDOWS\System32\drivers 2. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb] "Type"=dword:00000002 "Start"=dword:00000001 "ErrorControl"=dword:00000001 "Tag"=dword:00000005 "ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\ 52,00,49,00,56,00,45,00,52,00,53,00,5c,00,6d,00,72,00,78,00,73,00,6d,00,62,\ 00,2e,00,73,00,79,00,73,00,00,00 "DisplayName"="MRXSMB" "Group"="Network" "Description"="MRXSMB" "LastLoadStatus"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Parameters] "CscEnabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxSmb\Enum] "0"="Root\\LEGACY_MRXSMB\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj system. 3. Wykonaj nowy log z OTL tak jak poprzednio na warunku dostosowanym i daj znać czy problem nadal występuje.

Log z FSS wskazał przyczynę - całkowicie skasowana usługa MpsSvc odpowiedzialne za zaporę Windows. Więc już wszystko jasne. Podobnie jest z usługą Windows Defender i to też będzie przywracane. 1. Wejdź do tego tematu: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw pozycję Zapora systemu Windows (MpsSvc) importując podany wpis rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tej usługi naprawę przez SetACL. Następnie przejdź w Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj je przyciskiem. 2. Zrekonstruuj usługę Windows Defender - wklej do notatnika taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Jaro\AppData\Roaming\Mozilla\Firefox\Profiles\tit9lrc1.default\searchplugins\daemon-search.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-3243655807-3697560734-3283573700-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"="about:blank" [-HKEY_USERS\S-1-5-21-3243655807-3697560734-3283573700-1000\Software\Microsoft\Internet Explorer\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}] [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files (x86)\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files (x86)\Mozilla Firefox\firefox.exe" :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found O3:64bit: - HKU\S-1-5-21-3243655807-3697560734-3283573700-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 4. Dajesz nowe logi do oceny z FSS + log z wynikami przetwarzania skryptu z punktu 3 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command Klik w Skanuj. BTW: Complitly nadal widnieje na liście zainstalowanych programów: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "Complitly_is1" = Complitly Masz z tym jakiś problem?

Logi z OTL miały być zrobione po ComboFix i nie bez przyczyny podałem taką kolejność. Obecne logi pokazują mi to czego się spodziewałem czyli infekcję ZeroAccess w stanie aktywnym. ComboFix ma za zadanie usunąć tą infekcję i dopiero wtedy pokarzesz mi nowo zrobione logi z OTL (po jego działaniu) żeby było wiadome co zostało usunięte a co nie.

Gmera nadal nie załączyłeś, ale już widać że jest znacznie lepiej. Teraz wykonasz kolejny skrypt już spod normalnie uruchomionego systemu. 1. Uruchom GrantPerms, w oknie wklej: C:\Windows|$NtUninstallKB48361$ Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows|$NtUninstallKB48361$ C:\windows\System32\se44mdm.dll C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Program Files\mozilla firefox\searchplugins\BearShareWebSearch.xml netsh winsock reset /C ;Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Search Bar"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\uisp.dll -- (ngserver) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ugldrpod.sys -- (ugldrpod) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bDMusicb.sys -- (bDMusicb) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. O4 - HKLM..\Run: [HKLM] C:\windows\system32\install\Update.exe File not found O4 - HKCU..\Run: [HKCU] C:\windows\system32\install\Update.exe File not found NetSvcs: ATNT40K - File not found NetSvcs: sr_watchdog - File not found NetSvcs: sshrmd - File not found NetSvcs: lxbu_device - File not found NetSvcs: se45obex - File not found NetSvcs: se44mdm - C:\windows\System32\se44mdm.dll (Iomega) NetSvcs: steamdvr - File not found NetSvcs: UCTblHid - File not found NetSvcs: PGPsdkDriver - File not found NetSvcs: ctxhttp - File not found NetSvcs: mmc_2K - File not found NetSvcs: incdrec - File not found NetSvcs: crauto - File not found NetSvcs: service1 - File not found NetSvcs: rismxdp - File not found NetSvcs: WLAN_USB - File not found NetSvcs: SDdriver - File not found NetSvcs: mcusrmgr - File not found NetSvcs: SrvcEKIOMngr - File not found NetSvcs: ds1 - File not found NetSvcs: egathdrv - File not found NetSvcs: bthidmgr - File not found NetSvcs: symfw - File not found NetSvcs: alcxwdm - File not found NetSvcs: aw_host - File not found NetSvcs: Gernuwa - File not found NetSvcs: ngserver - %systemroot%\system32\uisp.dll File not found NetSvcs: WmdmPmSp - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Wykonujesz nowe logi z OTL na dodatkwoym warunku: netsvcs C:\Windows|$NtUninstallKB48361$;true;true;false /FP

Logi nie wykazują by tu była jakaś infekcja. Jedynie odinstaluj pasek sponsoringowy Winamp Toolbar a usuwanie popraw za pomocą AdwCleaner użytego z opcji Delete O jakiej przeglądarce mowa? Czy dzieje się to na każdej czy tylko na określonej?

Nie widać by tu była jakaś infekcja. Tylko drobne poprawki do wykonania. 1. Przejdź w panel usuwania programów i odinstaluj pozycje - DAEMON Tools Toolbar Usuwanie popraw za pomocą AdwCleaner z opcji Delete 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\user\MOJEDO~1\air\AIRCRA~1.1_W\PEEK5.SYS -- (PEEK5) O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W obecnych logach infekcji czynnej nie widać, jedynie drobne szczątki o charakterze sponsoringowym. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - Complitly / DAEMON Tools Toolbar / DealPly / V9 HomeTool Usuwanie popraw za pomocą AdwCleaner z opcji Delete 2. Zaprezentuj nowe logi z OTL oraz log z Farbar Service Scanner (zaznacz wszystko do skanowania)

O narzędziu HijackThis jak najszybciej zapomnij i wyrzuć ten program z dysku. Jest przestarzały i nie nadaje się już na dzisiejsze czasy. Log z niego usuwam, a ty wykonaj od razu te zalecenia: 1. Użyj z trybu awaryjnego zgodnie z opisem ComboFix. Zachowaj raport z programu. 2. Gdy ComboFix ukończy pracę wklej z niego wynikowy log oraz logi z OTL + Gmer BTW: Logi proszę wklejać jako załączniki, a nie do posta.

Skrypt pomyślnie wykonany. To teraz pytanie czy problem już nie występuje? Bo nie powinien. Użyj opcji Sprzątanie z OTL oraz opcji Delete z AdwCleaner i opróżnij folder przywracania systemu: KLIK

Logi nie wykazują infekcji chodź zabrakło tutaj loga na rootkity z Gmer. Do usuwania będą tylko toolbary sponsoringowe co z problemem spowolnienia na pewno nie ma związku. Najbardziej podejrzanym jest tutaj Avast jako przyczyna problemów dlatego zacząłbym od jego tymczasowej deinstalacji w celu sprawdzenia. 1. Przejdź w panel usuwania programów i odinstaluj te pozycje - DAEMON Tools Toolbar / eType Toolbar / SFT_Polska Toolbar Usuwanie popraw za pomocą AdwCleaner z opcji Delete 2. Pokazujesz nowe logi z OTL ze skanowania.

To sterownik Gmera więc z nim był tu jakiś problem. Co to znaczy "brak możliwości uruchomienia"? W logach brak śladów infekcji, jedynie drobne szczątki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\HBCD\SuperAntiSpyware\SASKUTIL.SYS -- (SASKUTIL) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\HBCD\SuperAntiSpyware\SASDIFSV.SYS -- (SASDIFSV) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mod7700.sys -- (mod7700) IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = http: //search.bearshare.com/webResults.html?src=ieb&q={searchTerms} IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-602162358-583907252-725345543-500\..\URLSearchHook: {707db484-2428-402d-afb5-d85b387544c7} - No CLSID value found FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search" FF - prefs.js..browser.search.defaultthis.engineName: "midica Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2794175&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2794175&q=" [2011-05-20 13:24:50 | 000,000,000 | ---D | M] (MovieBario Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\{58beca16-cae6-4b7a-a0e8-153d0cbba63a} [2010-11-20 11:33:00 | 000,000,000 | ---D | M] (Mario Forever Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\{707db484-2428-402d-afb5-d85b387544c7} [2011-05-20 13:24:48 | 000,000,000 | ---D | M] (midica Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\{b7de27ca-0626-478a-95d6-6c0804782455} [2011-05-20 13:24:52 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\extensions\engine@conduit.com [2010-11-02 16:59:46 | 000,000,915 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\c95ne7oz.default\searchplugins\conduit.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-602162358-583907252-725345543-500\..\Toolbar\WebBrowser: (no name) - {707DB484-2428-402D-AFB5-D85B387544C7} - No CLSID value found. O3 - HKU\S-1-5-21-602162358-583907252-725345543-500\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-602162358-583907252-725345543-500\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj sponsoringi - Mario_Forever Toolbar / Winamp Toolbar oraz niepotrzebny Spybot Search & Destroy (program przestarzały) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1202660629-861567501-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2012-03-17 14:41:40 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{8612eef5-f30f-dfd7-e6d4-a5af268b0c2a} O3 - HKU\S-1-5-21-1202660629-861567501-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\XP\Dane aplikacji\Readar_sl.exe (Created with WinAutomation (http: //www.WinAutomation.com)) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O4 - HKLM..\Run: [vfjvgaisre] File not found [2012-03-17 14:41:29 | 000,050,168 | ---- | M] () -- C:\WINDOWS\System32\yvnkwpdgga.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj sponsoring uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Według logów wszystko jest w porządku. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK I to by było na tyle w tym temacie. Czy w trybie awaryjnym jest ten problem?