Landuss

A spróbuj to zrobić przez OTL - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files attrib /d /s -s -h N:\* /C :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zaprezentujesz tutaj oraz nowy z USBFix.

Aktywnej infekcji tutaj nie widać, jedynie pusty folder po infekcji i Winsock wymaga naprawy. 1. Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. [2012/03/06 20:36:56 | 000,000,000 | ---D | C] -- C:\ProgramData\F4D55F3B000025CB036E3A7BA60145BE :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Skróty zostały usunięte ale foldery właściwe nadal są poukrywane. Powtórz więc operację z notatnika w tej postaci: N: attrib /d /s -s -h N:\* pause Patrz czy nie ma błędów przy wykonywaniu. Dołącz nowy log z USBfix.

Plików z logami nie ma sensu trzymać więc jeśli coś zostało to pousuwaj. W kwestii antywirusa to przy tej infekcji raczej ciężko jest o ochronę więc sam antywirus nie wystarczy. Po prostu musisz być ostrożny w sieci. Temat zamykam.

Log, który ci się wyświetlił to raport z usuwania. Opcjonalnie mogłeś go też pokazać zmieniając rozszerzenie na .txt ale już nie musisz bo wszystko się wykonało co widać w nowym logu. Na zakończenie ostatnie rzeczy do roboty: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Janusz\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL oraz opcji Delete z AdwCleaner. Potem możesz go odinstalować opcją Uninstall 3. Na wszelki wypadek zmień hasła logowania do serwisów. 4. Opróżnij folder przywracania systemu: KLIK 5. Na koniec zaktualizuj do najnowszych wersji wymienione oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java 6 Update 30 "Mozilla Firefox 9.0.1 (x86 pl)" = Mozilla Firefox 9.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK

Loga ekstras nie otrzymałeś bo nie zaznaczyłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania". Niemniej ten log nie jest już potrzebny i nie musisz go wykonywać. Dalsze czynności teraz do zrobienia: 1. Przejdź w panel usuwania programów i odinstaluj zbędne sponsoringi - Conduit Engine / IncrediMail MediaBar 2 Toolbar / Winamp Toolbar for Firefox 2. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=- "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\ 00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\ 6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\ 00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\ 57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SDdriver.dll -- (z525mdfl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lvupdtio.dll -- (YahooAUService) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\iAimFP6.dll -- (Wtcls2k) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Freedom.dll -- (WinDriver6) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\IBM_LLC2.dll -- (w810mgmt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dmload.dll -- (w200mdfl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\service1.dll -- (vrfwsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\knobserv.dll -- (vmodem) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\livesrv.dll -- (videX32) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\EPOWER.dll -- (vcomm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MaRdPnp.dll -- (utilman) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tosrfusb.dll -- (Udfreadr_xp) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mctskshd.exe.dll -- (tvtfilter) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se44mdm.dll -- (TPM) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cpsvc.dll -- (tifm21) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zdeviceservice.dll -- (TICalc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tfsndres.dll -- (thpsrv) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\radclock.dll -- (teefer) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\rpskt.dll -- (symevent) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\iomegaaccess.dll -- (ssm_bus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\VRcore.dll -- (ss_bus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\superproserver.dll -- (SQLAgent$MICROSOFTBCM) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\MASPINT.dll -- (Spsmqvsm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\db2.dll -- (snareiis) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SE2Bmdm.dll -- (smtpd32) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\datunidr.dll -- (SMNDIS5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mcmscsvc.dll -- (sis162u) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sansaservice.dll -- (Shockprf) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SDdriver.dll -- (sgectl) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\statusagent4.dll -- (sfilter) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\soma.dll -- (sfdrv01) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\intelppm.dll -- (ser2plms) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tfsnudfa.dll -- (SED133x) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\upsmonservice.dll -- (se44obex) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\imapiservice.dll -- (SE2Bmdm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\FET5X86V.dll -- (sdcoreservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\exfat.dll -- (ScFBPNT3) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cpqarray.dll -- (savscan) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CXTUNE.dll -- (SaiU040B) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pnrouter.dll -- (s217obex) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ELmon.dll -- (s117bus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\itmrtsvc.dll -- (ROB_V) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\snoopfreesvc.dll -- (retrolauncher) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SunkFilt39.dll -- (raysatxsi5_0server) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cypresslink.dll -- (PSSdk23) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdlnatcm.dll -- (pptchpad) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lxcj_device.dll -- (pnarp) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\netdetect.dll -- (pivot) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\btwdins.dll -- (pdlnatcm) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se59mdm.dll -- (pdiddcci) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\sfhlp02.dll -- (pcx1nd5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mi-raysat_3dsmax8.dll -- (pcscnsrv) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\svv.dll -- (pchost) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\USRpdA.dll -- (pcampr5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\incdpass.dll -- (patrol_scheduler) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dirms_defragmentation.dll -- (PAR1284) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\PEVSystemStart.dll -- (P16X) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pctoolsfirewallplus.dll -- (OVT511Plus) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\USB_RNDIS.dll -- (NxSysMon) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\TestHandler.dll -- (nvstor64) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\olcamsrv.dll -- (nipxirmu) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ql1080.dll -- (nimdbgk) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\aswupdsv.dll -- (NICSer_WPC300N) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\splitter.dll -- (nbservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ramaint.dll -- (mwspollserver) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CVirtA.dll -- (Mvc25U870_VID_1262&PID_25FD) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zfdwm.dll -- (mssql$sony_mediamgr) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\elnkfwppservice.dll -- (mfeapfk) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\btwdins.dll -- (mcrdsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\acedrv07.dll -- (mcnasvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\gs30s.dll -- (lxce_device) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\wlankeeper.dll -- (lxcd_device) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pav_security.dll -- (LMouKE) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lightscribeservice.dll -- (lightscribeservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\LXARScan.dll -- (LHidFilt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ScsiPort.dll -- (LEX_AS_NIC_SERVICE_YNOS) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\WUSB54GPV4SRV.dll -- (jukebox3) SRV - File not found [On_Demand | Stopped] -- C:\Program Files\iPod\bin\iPodService.exe -- (iPod Service) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\regspy.dll -- (interactivelogon) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\GoBack2K.dll -- (intelroam) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mmc_2K.dll -- (inorpc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SGHIDI.dll -- (id2scaps) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pvservice.dll -- (hpqcxs08) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pdlnebas.dll -- (hpci) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pptchpad.dll -- (hidir) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\iclarityqosservice.dll -- (ha10kx2k) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\lxcc_device.dll -- (GTWModem) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\netmnt.dll -- (GTPTSER) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\wmdmpmsp.dll -- (grmnusb) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\x10nets.dll -- (GMSIPCI) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\botcbs.dll -- (GameConsoleService) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\tavsvc.dll -- (FreshIO) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Epfwndis.dll -- (FETNDIS) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\SNP2UVC.dll -- (fasttraksvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\epson_pm_rpcv4_01.dll -- (epsonbidirectionalservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\pxhelp20.dll -- (efs) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\cyberpowerups.dll -- (DXEC02) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\CTEXFIFX.DLL.dll -- (dnetc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\siside.dll -- (dlbu_device) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NetTcpPortSharing.dll -- (DellAMBrokerService) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\IntelC52.dll -- (dcpflics) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\atkdisplf.dll -- (CYGF32X) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\UxTuneUp.dll -- (cwafeventrouter) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mscsptisrv.dll -- (CSRBC) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\zendcoreapache.dll -- (cq_mem) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mvdcodec.dll -- (clisvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\msk80service.dll -- (cdfsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\NWDNS.dll -- (carboniteservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\elotouchscreen.dll -- (bwcsrv) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\el90xbc.dll -- (btaudio) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\se27nd5.dll -- (bmwebcfg) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\webclient.dll -- (bcm43xx) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ccdecode.dll -- (backupexecjobengine) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\d-link_st3402.dll -- (backupexecdevicemediaservice) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\atikmdag.dll -- (backupclientsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\adihdaudaddservice.dll -- (avg7updsvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ErrDev.dll -- (avg7alrt) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\psasrv.dll -- (AVCamUSB20) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\ROOTUSB.dll -- (autocomplete) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\eventclientmultiplexer.dll -- (ASNDIS5) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\AlteraByteBlaster.dll -- (AsIO) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\vmnetuserif.dll -- (ASDR) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\rimsptsk.dll -- (AppnBase) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\googledesktopmanager.dll -- (Alpham2) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\Spsmqvsm.dll -- (allegro) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\swwd.dll -- (alertmanager) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\AVCSTRM.dll -- (akshasp) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\dcevt32.dll -- (advantage) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\LUsbFilt.dll -- (acnusvc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\prodrv06.dll -- (ac97intc) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\w550mdm.dll -- (a8djusb) SRV - File not found [Auto | Stopped] -- %systemroot%\system32\mstdfrgs.dll -- ({a7447300-8075-4b0d-83f1-3d75c8ebc623}) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\wqw\USTAWI~1\Temp\mbr.sys -- (mbr) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKU\S-1-5-21-1390067357-1214440339-1801674531-1003\..\SearchScopes\{9E19DE69-F20B-4D15-A670-534F50A2241E}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92541903140975108 IE - HKU\S-1-5-21-1390067357-1214440339-1801674531-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //startsear.ch/?aff=2&src=sp&cf=4fd3532a-1cbf-11e1-bd03-001b386b0660&q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316&ilc=12" [2011-11-23 11:35:33 | 000,002,207 | ---- | M] () -- C:\Documents and Settings\wqw\Dane aplikacji\Mozilla\Firefox\Profiles\fizlhfu4.default\searchplugins\MyStart Search.xml [2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - No CLSID value found. O3 - HKU\S-1-5-21-1390067357-1214440339-1801674531-1003\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare applications\BearShare MediaBar\MediaBar.dll File not found [2012-03-18 22:05:02 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\wqw\Ustawienia lokalne\Dane aplikacji\72fa0318 :Reg [HKEY_USERS\S-1-5-21-1390067357-1214440339-1801674531-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Usługi wróciły ale log pokazuje, ze nie są zastartowane a więc: Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator > na liście wyszukaj usługę Zapora systemu Windows oraz Podstawowy aparat filtrowania, z dwukliku wejdź do właściwości i zastartuj przyciskiem. Uruchamianie oczywiście ma być ustawione na tryb Automatyczny. I jeszcze jedna sprawa bo wcześniej tego nie zauważyłem a to tez jest pochodna ZeroAccess czyli usługa Windows Defender kierująca na nieprawidłowy (32-bitowy) plik zamaist w twoim przypadku na 64 bitowy: The ServiceDll of WinDefend: "%ProgramFiles(x86)%\Windows Defender\mpsvc.dll". Wklej więc do notatnika taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender] "DisableAntiSpyware"=dword:00000000 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku Scal Wykonaj restart systemu i zaprezentuj nowy log z FSS.

Infekcja pomyślnie została usunięta. Teraz drobna poprawka. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services mbr catchme Cardex MpKsl852775de :OTL IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = http: //search.sweetim.com/search.asp?src=6&q={searchTerms} O3 - HKU\S-1-5-21-746137067-1715567821-725345543-1004\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z AdwCleaner z opcji Search.

Infekcja została pomyślnie usunięta, ale jeszcze korekty wymaga odtworzenie dwóch usuniętych tutaj całkowicie usług: MpsSvc Service is not running. Checking service configuration: Checking Start type: Attention! Unable to open MpsSvc registry key. The service key does not exist. Checking ImagePath: Attention! Unable to open MpsSvc registry key. The service key does not exist. Checking ServiceDll: Attention! Unable to open MpsSvc registry key. The service key does not exist. bfe Service is not running. Checking service configuration: Checking Start type: Attention! Unable to open bfe registry key. The service key does not exist. Checking ImagePath: Attention! Unable to open bfe registry key. The service key does not exist. Checking ServiceDll: Attention! Unable to open bfe registry key. The service key does not exist. Wejdź w ten temat: KLIK. Przejdź w sekcje "Rekonstrukcja kluczy usług" i napraw dwie pierwsze - Podstawowy aparat filtrowania (BFE) oraz Zapora systemu Windows (MpsSvc) importując podane wpisy rejestru. Następnie przejdź niżej do rekonstrukcji uprawnień kluczy i wykonaj też dla tych dwóch naprawę przez SetACL. Po wykonaniu wszystkiego zgłoś się z nowym logiem z FSS

Skrypt został poprawnie wykonany, zaś USBFix notuje owe skróty na dysku przenośnym. 1. Użyj opcji Delete z AdwCleaner 2. Wklej do notatnika ten tekst: N: del /q N:\*.lnk attrib /d /s -s -h N:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 3. Prezentujesz nowy log z USBFix z opcji Listing.

Jeśli ODfajczyć to znaczy, ze przywracanie było na tym systemie już uprzednio wyłączone. Rzeczywiście sytuacja niespodziewana bo podane wyżej zalecenia zupełnie nie powinny przynieść takiego efektu. Zastartuj do Konsoli Odzyskiwania i jak już w niej będziesz uruchom checkdisk wklepując chkdsk /p

Nie wiesz co to jest tryb awaryjny Windows? To poczytaj i uruchom system w tym trybie a następnie ComboFix: KLIK

Temat obecnie przerzucony zostaje do działu systemowego bo to wszystko nie ma związku z infekcją. Mowa o bluescreenach więc do wykonania punkt 5 z tego tematu: KLIK

Infekcji w logach ani śladu tak więc nie tędy droga. Temat zmienia dział na bardziej odpowiedni. Przede wszystkim ComboFix należy teraz poprawnie odinstalować a więc: wciśnij klawisz z flagą Windows + R wpisz CMD a następnie wklej i wywołaj polecenie "C:\Users\Włochaty flet\Desktop\ComboFix.exe" /uninstall Ten program w trybie natychmiastowym odinstaluj i zapomnij o nim. Przestarzały i niezgodny z systemem 64-bitowym a więc takim jak twój. No właśnie na podstawie logów Nod32 jest najbardziej podejrzany w kwestii zaistniałych problemów i jego należałoby sprawdzić a więc tymczasowo odinstalować.

Logi z OTL wykazują, że toolbary wcale nie zostały tutaj odinstalowane więc? Proszę je odinstalować i następnie użyć ADwCleaner z opcji Delete. Następnie pokazać nowe logi z OTL i AdwCleaner z opcji Search. To wygląda na błąd związany z IE bo to nie tylko sama przeglądarka ale komponent mocno ingerujący w system dlatego zalecam aktualizację do najnowszej wersji tak więc musisz to wykonać i problem powinien zniknąć.

Gmer to nie jest program na systemy 64-bitowe i nie używaj tego więcej na takim systemie. FRST z kolei nie nadaje się do użytkowania z poziomu uruchomionego systemu a raczej z zewnątrz (WinRe) i tym się tutaj można będzie posłużyć w sytuacji gdy jest problem z ComboFix. Infekcja jest aktywna, ale że jest to system 64 bitowy jest ją teoretycznie prościej usunąć bo infekcja na takim systemie nie jest rootkitem. 1. Przygotuj w Notatniku następujący skrypt: SubSystems: [Windows] ==> ZeroAccess NETSVC: usb_rndisx 2 usb_rndisx; C:\Windows\System32\changer.dll [5120 2009-07-14] (Iomega) C:\Windows\System32\changer.dll C:\Windows\System32\consrv.dll C:\Windows\System32\dds_log_ad13.cmd C:\Windows\system32\%APPDATA% C:\Windows\assembly\tmp\U C:\Windows\assembly\tmp\loader.tlb C:\Windows\assembly\GAC_64\desktop.ini C:\Windows\assembly\GAC_32\desktop.ini C:\Users\Mentor\AppData\Local\298a836a Plik zapisz pod nazwą fixlist.txt 2. Narzedzie FRST umieść na pendrive razem z plikiem fixlist.txt. Przy starcie komputera daj F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i kliknij w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows. 3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 4. Do oceny dajesz log z działania w punkcie 2, log z OTL ze skanu i z Farbar Service Scanner (zaznacz wszystko do skanowania).

Zacznij od zastosowania z trybu awaryjnego Windows narzędzia ComboFix i zaprezentuj wynikowy log. Po tej czynności wykonaj nowe logi z OTL i też załącz do posta. Gmera też możesz wykonać i załączyć dopiero po działaniu ComboFix.

Sprawę usuwania infekcji można tu uznać za zakończoną bo wszystko już zostało wykonane jak należy. Kroki końcowe: 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Na wszelki wypadek zmień hasła logowania do serwisów. 5. Zaktualizuj Jave oraz Firefoxa do najnowszych wersji. Szczegóły aktualizacyjne: KLIK Na podstawie logów trudno cokolwiek stwierdzić ale czy aby Comodo tutaj czegoś nie blokuje? Warto sprawdzić bo czasem najprostsze rozwiązanie jest właściwe. Innego pomysłu na razie nie mam.

To by było na tyle. Użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK Do zaktualizowania Java, Adobe Reader oraz Firefox - szczegóły: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\LP C:\Program Files\81BF3 :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :OTL SRV - File not found [Auto | Stopped] -- -- (CLTNetCnService) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. F3 - HKCU WinNT: Load - (C:\Users\Michał\AppData\Roaming\81BF3\lvvm.exe) - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W takim razie można kończyć całą sprawę. Do wykonania kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij folder przywracania systemu: KLIK 3. System jest nieaktualny i odcięty od aktualizacji, należy go zaktualizować instalując Service Pack 3 oraz pozostałe wymienione programy do najnowszych wersji: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.11) "{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5 "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish "Mozilla Firefox 10.0 (x86 pl)" = Mozilla Firefox 10.0 (x86 pl) Szczegóły aktualizacyjne: KLIK

Niepotrzebnie powielasz logi. Wystarczą tylko z OTL i Gmera. Resztę zbędnych logów usuwam. Infekcja jest tutaj aktywna - zacznij od użycia w trybie awaryjnym ComboFix i wklej z niego raport. Potem wykonaj w trybie normalnym nowe logi z OTL I Gmer i załącz do posta.

W takim razie usuń po prostu ten folder. A OTL w żadnym wypadku nie powinno się ściągać z serwisów zewnętrznych tylko i wyłącznie z linku oryginalnego, który jest zamieszczony tutaj na forum w temacie przyklejonym. Zasadnicze pytanie teraz czy jest tu jakiś widoczny problem? Jeśli nie to będzie można przejść do czynności końcowych.

Zapewniam cię, ze warto i jest to wskazane bo tutaj jest zakaz dopisywania sie do czyjegoś tematu(!). Temat wydzielam w osobny. Na początek wykonaj logi porządnie bo to co zrobiłeś na pewno tak nie wygląda. Po pierwsze logi z OTL mają być dwa. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania" - wtedy powstanie też log ekstras. Po drugie nie podałeś obowiązkowego loga z Gmer. Tak więc wykonaj wszystko jak należy i dopiero pójdziemy dalej.

Coś tu poszło nie tak bo log nie wykazał tego co powinien. W każdym razie czy nadal masz ten błąd?