Landuss

Biorąc pod uwagę, że to system niedługo po formacie to raczej infekcji nie należy się spodziewać i logi to potwierdzają. Temat zmienia dział. Zacznij od pokazania najnowszych zrzutów pamięci według punktu 5 z tego tematu: KLIK

Masz infekcję, która między innymi sprawia problemu właśnie z Centrum zabezpieczeń. Dopóki infekcja jest aktywna - nie uruchomisz centrum. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\MCZIMF.job C:\Windows\System32\NOISEJ.dll :Services Crypkey License :OTL FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja nadal aktywna i to w szerszym wydaniu. W takiej sytuacji nie ma się co patyczkować. Użyj zgodnie z wytycznymi narzędzia ComboFix i przedstaw wynikowy raport. Po tej operacji wykonaj też nowe logi z OTL i przedstaw.

Wygląda, że wszystko zostało usunięte także podsumuj czy jest w porządku. Na koniec użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK

Według logów infekcja już w fazie szczątków. Dodatkowo ślady używania ComboFix bez potrzeby i to jeszcze pobieranego z serwisu alternatywnego a nie oryginalnego. Jak już pobierasz to z linków oryginalnych aby mieć pewność że program jest w najnowszej wersji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Qoobox C:\ComboFix_www.INSTALKI.pl_ C:\Users\vnz\AppData\Roaming\9C7E8 C:\Users\vnz\AppData\Roaming\6459C :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Search bar"=- [HKEY_USERS\S-1-5-21-1892553798-4214925425-2047874512-1003\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Jeszcze drobna poprawka. Tym razem zamontuj taki skrypt: :OTL O7 - HKU\S-1-5-21-1220945662-1275210071-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1220945662-1275210071-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 [2012-01-31 14:26:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Bron.tok-12-31 :Commands [emptytemp] Do oglądnięcia nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\eksplorasi.exe C:\WINDOWS\ShellNew\sempalong.exe C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"=- [HKEY_USERS\S-1-5-21-1220945662-1275210071-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nic nie ma. Poza tym nie tak dawno miałeś je sprawdzane i nic się tu nie zmieniło od ostatniego razu. Dodam tylko, ze nie dokończyłeś swojego poprzedniego tematu: KLIK Co do spowolnienia sprawdź czy problem występuje na czystym rozruchu: KLIK.

To teraz zasadnicze pytanie w kwestii problemu czy on nadal występuje?

Nie prosiłem cię o nowe logi bo są niepotrzebne. Nic w nich szkodliwego nie ma jak wspomniałem wcześniej. Szczątki po Sality zostały u ciebie usunięte i aktualnie nic takiego w logach nie widać. Problem z dźwiękami to może być kwestia np. kodeków.

Według logów nadal nie odinstalowałeś jednego z antywirusów więc to wykonaj. Skrypt się powiódł. Wybierz teraz opcję Delete w AdwCleaner, a następnie wykonaj nim ponowny log z opcji Search.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\LP C:\Program Files\EF1B8 C:\WINDOWS\system32\crrss.exe C:\Documents and Settings\Właściciel\winlogon.exe C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Właściciel\Dane aplikacji\2CFEF C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\hufruon0.default\extensions\toolbar@ask.com C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\hufruon0.default\extensions\vshare@toolbar C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\hufruon0.default\searchplugins\askcom.xml C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\hufruon0.default\searchplugins\Search.xml C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\hufruon0.default\searchplugins\web-search.xml C:\Documents and Settings\Właściciel\Dane aplikacji\Mozilla\Firefox\Profiles\hufruon0.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} :Services ekrn EHttpSrv :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "185.exe"=- "crrss"=- "ISUSPM Startup"=- "KernelFaultCheck"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "RegistryWm"=- "winlogon"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- "C:\Program Files\SopCast\SopCast.exe"=- :OTL IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1 IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:62727 FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaulturl: "http://flvdirect.iamwired.net/websearch.php?src=tops&search=" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" FF - prefs.js..network.proxy.http: "127.0.0.1" FF - prefs.js..network.proxy.http_port: 62727 FF - prefs.js..network.proxy.type: 1 O2 - BHO: (everyflv) - {0711cbc8-3135-5cf7-c8e8-cda487ec8ef1} - Reg Error: Value error. File not found O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu susuwania programów odinstaluj sponsoring - Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Nic a nic się tu nie wykonuje. Zrób to z poziomu trybu awaryjnego.

Nic w logach nie ma ale system jest nieaktualny i odcięty od aktualizacji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Należy szybko zainstalować Service Pack 3 + Internet Explorer 8 Java, Adobe Reader oraz Mozilla też do aktualizacji - KLIK

Wygląda na to, że wszystko zostało wykonane. Pora kończyć sprawe. 1. Użyj opcji Sprzątanie z OTL oraz opcji Delete z AdwCleaner. 2. Wykonaj aktualizacje poniższych programów: "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A90000000001}" = Adobe Reader 9 "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.27)" = Mozilla Firefox (3.6.27) Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Problem na pewno leży w ścieżce bo log pokazuje tam te dopiski: **** Mozilla Firefox Version [5.0.1 (pl)] **** FIREFOX.EXE\Shell\Open\Command - C:\Program Files\Mozilla Firefox\firefox.exe www.v9.com/fft/fft_1329128345_730935 **** Internet Explorer Version [9.0.8112.16421] **** IEXPLORE.EXE\Shell\Open\Command - C:\Program Files\Internet Explorer\iexplore.exe www.v9.com/fft/fft_1329128345_730935 Daj prawym klawiszem myszy na każdy z tych plików i wejdź we Właściwości wymazując z nich ten ciąg z adresem v9 i zostawiając tylko ścieżkę dostępu.

Ale skrypt się kompletnie nie wykonał. Powtórz to i patrz uważnie czy dobrze robisz.

Teraz poszło jak należy. W takim razie użyj tylko opcji Sprzątanie z OTL. Odinstaluj też przy okazji śmiecia pdfforge Toolbar v4.9 Temat jako rozwiązany zamykam.

Proces się nie powiódł. Wykonaj to jeszcze raz i sam sprawdź czy jest dobrze.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files attrib /d /s -s -h H:\* /C Recycled /alldrives RECYCLER /alldrives $RECYCLE.BIN /alldrives C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Documents and Settings\Danusia\Pulpit\vshare-plugin.exe C:\Documents and Settings\Danusia\Dane aplikacji\Mozilla\Firefox\Profiles\jla85n8p.default\searchplugins\daemon-search.xml :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&q=" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [jswtrayutil] "C:\Program Files\NETGEAR\WNA1100\jswtrayutil.exe" File not found O4 - HKCU..\Run: [ALLUpdate] "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj wątpliwej reputacji wtyczkę vShare.tv plugin 1.3. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

Log z OTL pokazujesz niepotrzebnie. OTL pokazuje log z systemu a nie z urządzenia przenośnego a ty system masz czysty. Ta sama procedura co poprzednio tylko zmiana litery dysku a więc: I: attrib /d /s -s -h I:\* pause Do wglądu nowy log z USBFix. Co do zabezpieczeń to można użyć Panda USB Vaccine a sam ESET ci właściwie nic nie da.

Logi nie wykazują infekcji ani też naruszenia w exe choć zabrakło tu jeszcze loga pod kątem rootkitów z Gmer. Uzupełnij to. Jak wygląda problem z uruchamianiem .exe? Czy występuje jakiś błąd czy może nic się nie dzieje? Sprawdź czy problem ten występuje też w trybie awaryjnym

Według logów jest tutaj infekcja w postaci fałszywego "winlogon": O4 - HKU\S-1-5-21-3295823031-3693506651-796330809-1000..\Run: [winlogon] C:\Users\Agnieszka\winlogon.exe (Tomasz Pawlak) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Agnieszka\winlogon.exe C:\ProgramData\Babylon C:\Users\Agnieszka\AppData\Local\Babylon C:\Users\Agnieszka\AppData\Roaming\Babylon :Reg [HKEY_USERS\S-1-5-21-3295823031-3693506651-796330809-1000\Software\Microsoft\Windows\CurrentVersion\Run] "winlogon"=- [HKEY_USERS\S-1-5-21-3295823031-3693506651-796330809-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy problem z explorerem nadaj wystepuje.

Według raportu foldery na pendrive zostały poukrywane przez infekcję: [08/12/2011 - 14:41:46 | RSHD ] G:\FOTO [11/08/2008 - 17:05:24 | RSHD ] G:\PRO [23/12/2011 - 13:15:48 | RSHD ] G:\zrzut [21/12/2010 - 12:27:48 | RSHD ] G:\różne [20/01/2012 - 17:09:36 | RSHD ] G:\Nowy folder [15/01/2012 - 11:47:14 | RSHD ] G:\hala To łatwo zmienić. Wklej do notatnika systemowego ten tekst: G: attrib /d /s -s -h G:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Wykonaj kolejny log z USBFix do wglądu.

Na dysku komputera infekcji nie ma więc tutaj potrzebny będzie inny raport. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.