Landuss

Teraz jest czysto a więc Sprzątanie z OTL. Widze, że między czasie wykonałeś aktualizację systemu oraz IE i bardzo dobrze bo to jest ważne. Czy jest tu jeszcze jakiś problem?

W takim razie użyj jeszcze opcji Sprzątanie z OTL. Opróżnij folder przywracania systemu: KLIK Możesz zaktualizować Jave i Adobe Readera do najnowszych wersji: KLIK Temat jako rozwiązany zamykam.

Skrypt się nie wykonał, powtórz całą akcję, w razie problemów w trybie awaryjnym. Daj też znać czy nadal masz te przekierowania.

Dlaczego nie załączyłeś tutaj logów z OTL? Muszę je przeglądać na tamtym forum. Nic w MBRCheck nie wykonuj i zostaw to tak jak jest. To nie jest żadna infekcja. W logach ogólnie brak śladów jakiejkolwiek aktywnej infekcji. Drobne zastrzeżenia na podstawie logów: 1. Odinstaluj Spybot Search & Destroy - program przestarzały i nie ma pełnego wsparcia dla systemów 64 bitowych a więc taki jak twój. 2. Winsock wydaje się być tu naruszony: O10:[b]64bit:[/b] - NameSpace_Catalog5\Catalog_Entries64\000000000009 [] - C:\Program Files\Bonjour\mdnsNSP.dll File not found Wklej więc do notatnika ten tekst (w spoilerze): Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Temat raczej nie nadaje sie do tego działu więc zostaje przeniesiony do Sieci. Jeżeli nadal problem pozostanie załącz raport z Net-log

1. Wejdź do Google Chrome i w ustawieniach usuń widoczną tam wyszukiwarkę "Web Search", natomiast domyślnie ustaw tam adres Google. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-602162358-1220945662-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http: //www.searchqu.com//web?src=ieb&appid=0&systemid=419&sr=0&q={searchTerms} O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-602162358-1220945662-725345543-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-602162358-1220945662-725345543-1003\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez ekstras)

Wiem, że "nadal nic" bo przecież nie wykonujesz teraz żadnych czynności usuwających, ja tylko oglądam twoje logi. Jest nowa rzecz do usuwania i teraz będziesz to przeprowadzał. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] @="C:\\Program Files\\Mozilla Firefox\\firefox.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] @="C:\\Program Files\\Internet Explorer\\iexplore.exe" Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Daj znać czy coś się zmieniło.

To akurat wygląda na sterownik samego Gmera a dlaczego bluescreen to jest zagadka. Gmer to taki program, że nie zawsze działa poprawnie na każdym systemie. Być może tu jest jakiś konflikt z innym oprogramowaniem. Sporządź nowe logi z OTL i załącz do posta.

Rzeczywiście jest tutaj Virut i to nie jest dobra wiadomość gdyż to jest infekcja w plikach wykonywalnych i trudna do leczenia. Dr. Web sporo zrobił ale to może być nie wszystko, w dodatku Gmer pokazuje że infekcja jest aktywna. Przejdź w tryb awaryjny i wykonaj skan wszystkich partycji za pomocą specjalnego narzędzia pod tą infekcję VirutKiller. Skanowanie wykonuj dotąd dopóki nic już nie będzie wykrywane. Po tym wszystkim zaprezentuj nowe logi z OTL oraz Gmer

W takim razie standardowo wykonaj na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj do najnowszych wersji Adobe Readera, Firefoxa i Thunderbirda: KLIK Temat jako rozwiązany zamykam.

To wykrycia w folderze przywracania systemu a więc kompletnie nieistotne. W dodatku to co jest wykrywane wcale nie musi być szkodliwe. Folder ten będziesz i tak opróżniał ale tym się zajmiemy na końcu. Na teraz wykonaj poniższe zalecenia: 1. Użyj opcji Delete z AdwCleaner. 2. Jedna z usług systemowych wymaga naprawy (skutek uboczny stosowania ComboFix na systemach które są na innej partycji niż C): SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na D:\Windows\System32\wuauserv.dll 3. Zaprezentuj nowe logi z OTL

W obecnych logach brak śladów infekcji, a jedynie do usunięcia szczątki po sponsoringach. 1. Przejdź w panel usuwania programów i odinstaluj Windows Searchqu Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Sporządź nowe logi z OTL oraz z Kaspersky TDSSKiller

Pierwsza sprawa to logi zrobione z przestarzałego OTL w dodatku pobranego z serwisu zewnętrznego: OTL by OldTimer - Version 3.2.22.3 Folder = C:\Users\Roger\Desktop [2012-03-24 13:11:48 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Users\Roger\Desktop\OTL_3.2.22.3(dobreprogramy.pl).exe Obecna wersja to 3.2.39.2 zaś program zawsze pobieraj z linków oryginalnych umieszczonych tutaj na forum w temacie przyklejonym. Serwisy zewnętrzne nie nadążają z aktualizacjami i nie zawsze mają dostępną najnowszą wersję narzędzia czego masz najlepszy przykład. W raportach nic tutaj szkodliwego nie notuję. Możesz pozbyć się już tego starego OTL używając w nim opcji Sprzątanie. Wynik w MBAM dotyczący gry to oczywiście pomyłka programu, natomiast te pozostałe do usunięcia. I ten system wymaga aktualizacji do Service Pack 1

Aby takie sytuacje się nie powtórzyły sam program zabezpieczający nie wystarczy, potrzeba jeszcze własnej uwagi podczas korzystania z sieci. A skąd się to wzięło? Tego nie wiem bo nie ja jestem użytkownikiem tego komputera, ale najpewniej kwestia pobrania jakiegoś pliku z niepewnego źródła czy odwiedzenie zainfekowanej strony www. Sam przypadek zaś nie jest wcale taki nietypowy bo to dobrze znana nam tutaj infekcja i już u niejednego użytkownika wystąpiła, a to że usuwanie nie zawsze idzie jak po maśle to ciężko przewidzieć. Temat myślę, że mogę już zamknąć jako rozwiązany. Gdyby coś się działo daj znać na PW i w razie potrzeby go otworze.

Zapomniałem, że to jest 32 bitowy system i podałem klucze do 64 bitowego przez pomyłkę. Powtórz więc skrypt do SystemLook o tej zawartości: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command Pokazujesz z niego raport. Z OTL nie pokazuj.

Infekcja cały czas aktywna więc zmiana metody. Tak jak wspomniałem trzeba będzie to usunąć z zewnątrz. 1. Pobierz i wypal płytę OTLPE (z niej będziesz prowadził usuwanie) 2. Pobierz czysty plik ipsec.sys pod XP SP3: KLIK. Plik umieść bezpośrednio na dysku C:\ 3. Przygotuj w Notatniku plik tekstowy z treścią skryptu: :Files copy /y C:\ipsec.sys C:\WINDOWS\System32\drivers\ipsec.sys /C C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB48361$ /C C:\Windows\$NtUninstallKB48361$ C:\Documents and Settings\Administrator\My Documents\BFBC2 C:\Documents and Settings\Administrator\Local Settings\Application Data\f66fb579 C:\Documents and Settings\All Users\Application Data\F4D55F3B212C2CDD0021D13AD151FC4E C:\windows\System32\dds_log_ad13.cmd C:\windows\tasks\At*.job C:\windows\digtss.exe C:\windows\pfbstar.exe C:\windows\cpdat.exe C:\windows\ptw32.exe :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\mcdbus.sys -- (mcdbus) SRV - [2008-04-14 11:00:00 | 000,005,120 | ---- | M] (Iomega) [Auto | Running] -- C:\WINDOWS\system32\uisp.dll -- (ngserver) NetSvcs: ngserver - C:\WINDOWS\system32\uisp.dll (Iomega) :Commands [resethosts] [emptytemp] Plik skryptu należy umieścić na pendrive, który będzie obecny w trakcie startu z płyty OTLPE. 4. Start z OTLPE i do wykonania zadanie: - uruchamiasz OTL, do okna Custom Scans/Fixes przeklejasz treść skryptu zapisaną w Notatniku na pendrive i klikasz w Run Fix. Z tego działania powstanie log, który będziesz prezentować. 5. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 6. Dajesz nowe logi do oceny z GMER + log z wynikami przetwarzania skryptu z punktu 3 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB48361$;true;true;false /FP Klik w Skanuj.

Wcześniej przeoczyłem jedną rzecz - odinstaluj z panelu usuwania programów pozycję V9 HomeTool. Uruchom SystemLook, w oknie wklej poniższy tekst: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Google Chrome\shell\open\command HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command Załącz raport z programu.

W takim razie to by było na tyle z usuwania. Można przejść do kroków końcowych. 1. Wciśnij kombinację klawisza z flagą Windows + R wpisz CMD następnie wklej i wywołaj polecenie "c:\users\Rapidsebuja\Downloads\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Na wszelki wypadek zmień hasła logowania do serwisów.

@jessica zasady działu: KLIK To jest program od Hace do zarządzania menu kontekstowym: http://www.hace.us-inc.com/mmm.shtml Logi zaś nie wykazują infekcji. @mojomr Temat zmienia dział, natomiast sprawdź czy ten problem występuje też w trybie awaryjnym

Jeśli nie pisze abyś zrobił w awaryjnym to znaczy ze masz robić w normalnym.

Pokaż nowe logi z OTL oraz Gmer. Najwyżej usuwanie będziesz prowadził z zewnątrz.

W takim razie jeśli chodzi o finalizacje usuwania infekcji to: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Na wszelki wypadek zmień hasła logowania do serwisów. Poczytaj tutaj: KLIK Temat jako rozwiązany zamykam.

Teraz jest czysto i nie ma już się do czego przyczepić. Można kończyć sprawę. Podsumuj tylko czy wszystko jest z systemem jak należy. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. Zaktualizuj poniższe oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK

Musisz napisać w jakich lokalizacjach było coś wykrywane i na jakich plikach. W logach nie widać żadnej infekcji, jedynie drobne szczątki po sponsoringach i puste usługi. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS1\system32\mnmsrvc.exe -- (mnmsrvc) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (Rasirda) WAN Miniport (IrDA) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (irsir) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\iiusbisp.sys -- (IIUSBISP) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\FTD2XX.sys -- (FTD2XX) DRV - File not found [Kernel | System | Stopped] -- -- (ehdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS1\system32\Drivers\DrvAgent32.sys -- (DrvAgent32) DRV - File not found [Kernel | Auto | Stopped] -- -- (DgiVecp) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\jacek\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (BulkUsb) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (AIDA32Driver) IE - HKU\S-1-5-21-790525478-1275210071-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=101538&mntrId=8cc009c40000000000000008028e05aa IE - HKU\S-1-5-21-790525478-1275210071-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http: //websearch.ask.com/redirect?client=ie&tb=ALSV5&o=1665&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=AU&apn_dtid=YYYYYYYYPL&apn_uid=b45bb692-8e56-4644-80d0-17b8661171c3&apn_sauid=B97356F2-943D-4763-8E9B-E64F25249D10 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?babsrc=HP_Prot" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.1.20007 FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.9 FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&affID=101538&mntrId=8cc009c40000000000000008028e05aa&q=" [2011-11-26 07:19:30 | 000,000,000 | ---D | M] (Babylon) -- D:\Documents and Settings\JACEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3tu66u7.default\extensions\ffxtlbr@babylon.com [2011-12-25 23:48:16 | 000,002,572 | ---- | M] () -- D:\Documents and Settings\JACEK\Dane aplikacji\Mozilla\Firefox\Profiles\p3tu66u7.default\searchplugins\ASKCOM.XML [2011-09-04 18:04:34 | 000,002,288 | ---- | M] () -- g:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found [2012-03-18 11:30:02 | 000,518,144 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWREG.exe [2012-03-18 11:30:02 | 000,406,528 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWSC.exe [2012-03-18 11:30:02 | 000,212,480 | ---- | C] (SteelWerX) -- D:\WINDOWS\SWXCACLS.exe [2012-03-18 11:30:02 | 000,060,416 | ---- | C] (NirSoft) -- D:\WINDOWS\NIRCMD.exe [2012-03-18 11:29:52 | 000,000,000 | ---D | C] -- D:\Comb4470C [2012-03-18 11:14:30 | 000,000,000 | ---D | C] -- D:\Comb [2012-03-18 11:09:10 | 000,000,000 | ---D | C] -- D:\ComboFix :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Niekoniecznie lepszy ale dobry, to moje zdanie. Jak chcesz to zostań przy Avaście to wszystko jedno.

Nic się nie zmieniło. To też mnie trochę dziwi bo z tymi wpisami nie powinno być żadnego problemu. Wykonaj to ręcznie. Wciśnij kombinację klawisza z flagą Windows + R i wpisz regedit, wejdź do poniższych kluczy: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options ... i w obydwu skasuj avastSvc.exe oraz avastUI.exe Jeśli wykonasz oczywiście do oceny dajesz log.