Landuss

Wygląda , że jest w porządku. W takim razie przejdź jeszcze do Google Chrome i ustaw tam stronę startową jako pustą oraz wyszukiwarkę ustaw na Google. Nastepnie użyj AdwCleaner tym razem z opcji Delete. Załącz nowy log ze skanowania AdwCleaner.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\LP C:\WINDOWS\flash.exe C:\Program Files\53CFA C:\WINDOWS\Debug\mdhost.exe C:\WINDOWS\system32\crrss.exe C:\Program Files\StartSearch plugin C:\WINDOWS\System32\drivers\etc\hosts.old C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Documents and Settings\Użytkownik\Dane aplikacji\A4253 C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\4sq40c8q.default\searchplugins\startsear.xml C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\4sq40c8q.default\searchplugins\winamp-web-search.xml C:\Documents and Settings\Użytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\4sq40c8q.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403} :Services 328222 :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2025429265-179605362-725345543-1005\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-2025429265-179605362-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyEnable"=- [HKEY_USERS\S-1-5-21-2025429265-179605362-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "5F2.exe"=- "crrss"=- "MozillaAgent"=- [HKEY_USERS\S-1-5-21-2025429265-179605362-725345543-1005\Software\Microsoft\Windows\CurrentVersion\Run] "winlogon"=- [HKEY_USERS\S-1-5-21-2025429265-179605362-725345543-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "Lavalys"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_USERS\S-1-5-21-2025429265-179605362-725345543-1005\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Antiwpa] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\Temp\_ex-68.exe"=- "C:\WINDOWS\flash.exe"=- :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://search.searchcompletion.com/?si=21650&bi=2&custom=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&home=1" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programó i odinstaluj zbędne pozycje - Akamai NetSession Interface Service / Bitlord 1.2 Toolbar / VshareComplete 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Wygląda na to, że wszystko pomyślnie się wykonało i rootkita mamy z głowy. Teraz można wsiąść się tutaj za usuwanie innych drobniejszych śmieci w tym sponsoringowych toolbarów. 1. Przejdź w panel usuwania programów i odinstaluj następujące pozycje: Ask Toolbar / Bigpoint Games PL Toolbar / Conduit Engine / DVDVideoSoftTB Toolbar / HypreCam Toolbar / Winamp Toolbar / XfireXO Toolbar 2. Uruchamiasz OTL i wklejasz następujący skrypt: :OTL [2012-02-29 16:23:48 | 000,000,000 | -HS- | M] () -- C:\Windows\System32\dds_trash_log.cmd [2012-02-27 09:59:18 | 000,000,080 | ---- | M] () -- C:\Windows\4644508.dat IE - HKLM\..\URLSearchHook: {09ec805c-cb2e-4d53-b0d3-a75a428b81c7} - No CLSID value found NetSvcs: FastUserSwitchingCompatibility - File not found NetSvcs: Nla - File not found NetSvcs: Ntmssvc - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: SRService - File not found NetSvcs: WmdmPmSp - File not found NetSvcs: LogonHours - File not found NetSvcs: PCAudit - File not found NetSvcs: helpsvc - File not found NetSvcs: uploadmgr - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Wygląda na to, ze tutaj trzeba będzie użyć środowiska zewnętrznego. Przy tej infekcji to może być najlepsze wyjście bo jak widać spod działającego systemu niewiele można tu zrobić i ciągle infekowane są nowe sterowniki a ja już nie mam do tego nerwów. 1. Pobierz aktualnie zainfekowany sterownik tdx.sys: KLIK i umieść go na dysku C:\ 2. Przygotuj w Notatniku następujący skrypt: CMD: copy /y C:\tdx.sys C:\Windows\system32\drivers\tdx.sys Unlock: C:\Windows\$NtUninstallKB5202$ CMD: C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB5202$ C:\Windows\$NtUninstallKB5202$ NETSVC: winmtsrv NETSVC: bh611 NETSVC: lgsnd_filter NETSVC: om518p NETSVC: Sus2pl NETSVC: mks_scan NETSVC: nimdbgk NETSVC: vulfnths NETSVC: dklogger NETSVC: earthlinksafeconnectagent NETSVC: trcboot NETSVC: AtlsAud NETSVC: PBADRV NETSVC: eSettingsService NETSVC: qcdonner NETSVC: patrolagent NETSVC: MRESP50a64 NETSVC: ntpr_nic_service2 NETSVC: 3comtftp NETSVC: wdmaud NETSVC: wlluc48b NETSVC: uisp NETSVC: nisum NETSVC: tphdexlgsvc NETSVC: nisvcloc Plik zapisz pod nazwą fixlist.txt. 3. Pobierz narzędzie FRST. Umieść go na pendrive razem z plikiem fixlist.txt. Przy starcie komputera F8 i wybierz opcję "Napraw komputer", z poziomu linii komend uruchom FRST i klik w Fix. Na pendrive powstanie plik fixlog.txt. Restartujesz do Windows. 4. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system. 5. Już z poziomu systemu uruchom OTL na dodatkowym warunku, w sekcji Własne opcje skanowania / skrypt wklej: netsvcs C:\Windows\*. /RP /s C:\Windows|$NtUninstallKB5202$;true;true;false /FP Klik w Skanuj. 6. Do oceny dajesz log z działąnia w punkcie 3, nowy log z OTL ze skanu i nowy z Gmer oraz Farbar Service Scanner (zaznacz wszystko do skanowania).

To już chyba trzeci temat na forum z dzisiaj z podobnym problemem. Na razie nie wiadomo dokładnie o co tutaj chodzi bo logi są czyste w każdym z przypadków. U ciebie jest podobnie, tylko drobne odpadki sponsoringowe. 1. Odinstaluj pasek sponsoringowy uTorrentBar Toolbar 2. Otwórz opcje w Google Chrome i ustaw jako domyślna przeglądarkę Google. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1976457439-2809240323-2117537754-1001\..\URLSearchHook: {8c5878d0-6106-423b-aaa8-144c143dbf44} - No CLSID value found FF - prefs.js..browser.search.defaultthis.engineName: "Bitlord 1.2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2830765&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://www.searchqu.com/406" FF - prefs.js..keyword.URL: "http://dts.search-results.com/sr?src=ffb&appid=179&systemid=406&sr=0&q=" [2012/01/20 10:22:09 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012/01/01 16:30:12 | 000,000,925 | ---- | M] () -- C:\Users\Stasiek\AppData\Roaming\Mozilla\Firefox\Profiles\nwf14k2e.default\searchplugins\conduit.xml O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found. O2 - BHO: (Yontoo Layers) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo Layers Runtime\YontooIEClient.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - !{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKU\S-1-5-21-1976457439-2809240323-2117537754-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found O4 - HKU\S-1-5-21-1976457439-2809240323-2117537754-1001..\Run: [AdobeBridge] File not found [2011/12/06 11:53:28 | 000,000,000 | ---D | M] -- C:\Users\Stasiek\AppData\Roaming\Babylon :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Jakiej przeglądarki dotyczy ten problem? 1. Przejdź w panel sterowania i odinstaluj śmieci - Babylon toolbar on IE / Complitly / DealPly / vShare.tv plugin 1.3 / Winamp Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\v9.xml C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Users\Kata\AppData\Roaming\Mozilla\Firefox\Profiles\nkb39fag.default\searchplugins\aol-web-search.xml C:\Users\Kata\AppData\Roaming\Mozilla\Firefox\Profiles\nkb39fag.default\searchplugins\askcom.xml C:\Users\Kata\AppData\Roaming\Mozilla\Firefox\Profiles\nkb39fag.default\searchplugins\searchya.xml C:\Users\Kata\AppData\Roaming\Mozilla\Firefox\Profiles\nkb39fag.default\searchplugins\startsear.xml C:\Users\Kata\AppData\Roaming\mozilla\Firefox\Profiles\nkb39fag.default\extensions\ffxtlbr@babylon.com C:\Users\Kata\AppData\Roaming\mozilla\Firefox\Profiles\nkb39fag.default\extensions\ffxtlbr@searchya.com C:\Users\Kata\AppData\Roaming\mozilla\Firefox\Profiles\nkb39fag.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} C:\Users\Kata\AppData\Roaming\mozilla\Firefox\Profiles\nkb39fag.default\extensions\{33e0daa6-3af3-d8b5-6752-10e949c61516} C:\Users\Kata\AppData\Roaming\mozilla\Firefox\Profiles\nkb39fag.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20120127141425740&tb_oid=27-01-2012&tb_mrud=27-01-2012&query=" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "pl.v9.com/ins/ins_1330352393_718026" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&invocationType=tb50-ff-winamp-ab-en-us&tb_uuid=20120127141425740&tb_oid=27-01-2012&tb_mrud=27-01-2012&query=" :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-878059811-3187634736-2165975479-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Teraz można uznać sprawę za ukończoną. Drobnostki na koniec. 1. Odinstaluj prawidłowo ComboFix - wciśnij klawisz z flagą Windows + R wklej i wywołaj polecenie "C:\Users\cAst0r\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj sobie IE do najnowszej wersji 9 - KLIK 4. Opróżnij folder przywracania systemu: KLIK

Ten folder nadal jest nie usunięty: 2012-02-27 17:18 . 2012-02-27 17:18 -------- d-sh--w- c:\windows\system32\%APPDATA% Spróbuj go usunąć ręcznie, ale uprzednio zmień opcję widoku gdyż folder jest ukryty. A więc w panelu sterowania zaznaczasz pokazywanie ukrytych plików i folderów oraz odznaczasz ukrywanie chronionych plików i folderów systemowych. Poza tym wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zaprezentuj już ostatni log z OTL.

Uruchom na systemie jeszcze raz ComboFix i załącz z niego raport oraz nowy log z Gmer.

Sytuacja się poprawiła ale trzeba zastosować poprawkę. 1. Wklej do notatnika ten tekst: Folder:: c:\windows\system32\%APPDATA% c:\users\cAst0r\AppData\Roaming\TZAC Driver:: tizekdrv Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Wciśnij kombinację klawisza z flagą Windows + R wklep cmd i w oknie, które się otworzy netsh winsock reset 3. Pokazujesz nowe logi z OTL oraz ComboFix

Sytuacja właściwie bez zmian bowiem nie zauważyłem infekcji na sterowniku cdrom, którą pokazuje Gmer. 1. Pobierz oryginalny plik i umieść na C: KLIK 2. Wykonaj skrypt o tej zawartości: :Files C:\WINDOWS\System32\drivers\cdrom.sys|C:\cdrom.sys /replace C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB5202$ /C C:\Windows\$NtUninstallKB5202$ C:\ProgramData\B7E85889000D171800228B91B4EB238B netsh winsock reset /C :Commands [reboot] 3. Do obejrzenia nowe logi z OTL (bez ekstras) i Gmer.

Wklejaj logi jako załączniki na forum, a nie do posta. Przerabiam to za ciebie w pierwszym poście. Przekierowania o których wspominasz to nic innego jak rootkit ZeroAccess. Zacznij od użycia ComboFix i wklej z niego raport. Po nim wykonaj nowe logi z OTL i też załącz do posta.

Poza logiem z Gmer dorzuć jeszcze raport z Kaspersky TDSSKiller. Gdyby coś znajdywał podczas skanowania to przydzielaj na razie opcję Skip.

Logi są czyste i nie widać tu żadnej aktywnej infekcji. A problemem spowolnienia było właśnie przestawienie się trybu z DMA na PIO. To częsty powód spowolnienia. Skoro temat rozwiązany to go zamykam.

Dopisywanie się tu do czyjegoś tematu jest niemile widziane. Wydzielam w osobny. Logi nie wykonane do końca tak jak trzeba. Zabrakło loga z Gmer oraz drugiego loga z OTL - ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Logi uzupełnij w kolejnym poście a teraz można już zacząć usuwać infekcję. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\LP C:\Program Files\F1FBB C:\WINDOWS\system32\crrss.exe C:\Documents and Settings\Boss1\winlogon.exe C:\Documents and Settings\Boss1\Dane aplikacji\B48F1 :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "winlogon"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MozillaAgent"=- "crrss"=- "A4D.exe"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (pamiętaj o logu ekstras) oraz rakujący log z Gmer.

Według logów nadal systemowy mswsock.dll związany z siecią nadal jest zainfekowany i stąd problem z internetem. 1. Pobierz oryginalny plik do Windows 7 SP1: KLIK. Plik umieść bezpośrednio na dysku C:\ 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\mswsock.dll|C:\mswsock.dll /replace C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\$NtUninstallKB5202$ /C C:\Windows\$NtUninstallKB5202$ C:\Windows\System32\dds_trash_log.cmd C:\Users\Mikołaj\AppData\Local\Temp*.html C:\ProgramData\B7E85889000D171800228B91B4EB238B netsh winsock reset /C :Services wlluc48b winmtsrv wdmaud vulfnths uisp trcboot tphdexlgsvc Sus2pl qcdonner patrolagent om518p ntpr_nic_service2 Norton Internet Security nisvcloc nisum nimdbgk MRESP50a64 mks_scan lgsnd_filter earthlinksafeconnectagent dklogger bh611 AtlsAud 3comtftp :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz Gmer.

Internet mógł paść dlatego, ze po prostu został tu zainfekowany kolejny sterownik systemowy. Wykonaj log dodatkowy. Uruchom OTL, wszystkie opcje ustaw na Brak + Żadne, w sekcji Własne opcje skanowania / skrypt wklej: C:\Windows\system32\drivers\*.* /md5 Klik w Skanuj. Przedstaw wynikowy log.

Tym razem wszystko poszło jak należy. Można przejść do kończenia sprawy. 1. Wciśnij kombinację klawisza z flaga Windows + R wklej i wywołaj polecenie "C:\Users\Agnieszka\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij folder przywracania systemu: KLIK 4. Możesz wykonać dodatkowo skan przez Malwarebytes Anti-Malware

Głupie pytanie. Przecież dałem ci linka na niebiesko. Kliknij i tam masz wszystko opisane.

Na początek zaprezentuj wymagane logi z OTL

Według logów infekcji tutaj nie należy się spodziewać. Temat zmienia dział. Pierwszym podejrzanym na podstawie logów jest niestety sam ESET. Na próbę do odinstalowania aby sprawdzić stan systemu bez jego obecności w nim.

Wklej do notatnika ten tekst: File:: c:\windows\system32\crrss.exe Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "crrss"=- [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon] "shell"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Do obejrzenia dajesz nowy log z ComboFix oraz z OTL (bez ekstras)

To by było na tyle z usuwania. Na koniec ostatnie sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Obowiązkowo zaktualizuj IE do najnowszej wersji: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Wszystko poszło jak należy. Na koniec parę rzeczy do wykonania. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj aktualizację systemu do Service Pack1 oraz pozostałe wymienione oprogramowanie: Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216010FF}" = Java 6 Update 22 "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Logi nie wykazują aktywnej infekcji i to raczej nie będzie ten problem. Temat zmienia dział. Na początek zacznij od tego jak się zachowuje system na czystym rozruchu: KLIK. Niewykluczone, że coś do rzeczy może mieć tu też Avast dlatego na próbę można go odinstalować i sprawdzić.