Landuss

Log wskazuje, że nie ma tu już żadnych pozostałości więc sprawę można zamknąć.

Ja myślę, że tu problem jest znacznie większy niż tylko to o czym wspominasz. Poniższy zapis w logu sugeruje infekcję Ramnit/Nimnul w plikach wykonywalnych: O20 - HKLM Winlogon: UserInit - (C:\Program Files (x86)\phmwwosr\xkejhoci.exe) - File not found To by pasowało do nieuruchamiających się programów bo są one już po prostu zaprawione. Infekcja ta zaraża pliki wykonywalne .exe. Trudno się z tym walczy i często jedynym wyjściem jest format. Możesz podjąć leczenie z zewnątrz poprzez wykonanie płytki Kaspersky Rescue Disk i z jej poziomu wykonać należy skan. Ewentualnie jeżeli to zrobisz i się powiedzie to możesz wykonać nowe logi i zajmiemy się innymi rzeczami, które na tą chwilę są mało ważne w kontekście takiej infekcji.

Najlepiej będzie jak wykonasz log z AD-Remover z opcji Scan. To najlepszy log na sprawdzanie tego typu odpadków.

W logach widać drobną infekcję: O4 - Startup: C:\Users\Filo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wnr230.exe () ...oraz podejrzany autorun.inf na dysku D o nieznanej zawartości: O32 - AutoRun File - [2012-01-27 16:41:53 | 000,000,244 | -HS- | M] () - D:\AutoRun.inf -- [ NTFS ] 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Filo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wnr230.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem w oknie Własne opcje skanowania/Skrypt wklejasz dodatkowy warunek: type D:\autorun.inf /C 3. Wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Dobry pomysł. Dysk komputera masz już zabezpieczony czego dowodem są te foldery autorun.inf: O32 - AutoRun File - [2012-02-11 18:00:11 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ] O32 - AutoRun File - [2012-02-11 18:00:13 | 000,000,000 | RHSD | M] - D:\Autorun.inf -- [ NTFS ] Infekcja wygląda na usuniętą więc można przejść do kończenia sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Otwórz notatnik i wklej do niego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Do aktualizacji Java - szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

Kolego żadne podpinanie się do czyjegoś tematu - to wbrew zasadom działu. Każdy ma zakładać własny temat bez względu na podobny problem ponieważ obiekty do usuwania bywają inne. Temat wydzielam w osobny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files F:\date F:\autorun.inf D:\Documents and Settings\Galla\mscdcx.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z USBFix z tej samej opcji.

Z logów wynika, że nie ma tutaj żadnej infekcji. Może to jednorazowy wyskok a czym spowodowany to tego się już nie dowiemy. Może problemy sprzetowe.

To pewien typ infekcji z dysków przenośnych. Bez logów nie da rady. Zastosuj się do zasad działu i sporządź logi z OTL i Gmer oraz z USBFix z opcji Listing. Logi wykonujesz przy podpiętym urządzeniu przenośnym i załączasz do posta.

Skrypt się wykonał ale sporządź jeszcze dla pewności nowy log z USBFix z opcji Listing przy podpiętych urządzeniach przenośnych. Daj też znać czy problem ustąpił. Nie jestem pewny plików autorun.inf na tych dyskach przenośnych: [11/02/2012 - 09:21:22 | N | 243] F:\autorun.inf [11/02/2012 - 09:21:11 | N | 243] H:\autorun.inf Otwórz obydwa w notatniku i przeklej ich zawartość. Czynności wykonane na pewno nie mają na to takiego wpływu.

Logi czyste i nie ma się do czego przyczepić.

ComboFix skasował komponenty infekcji, ale jeszcze trzeba zrobić poprawki i usunąć inne drobne śmieci. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files netsh winsock reset /C C:\ProgramData\Babylon C:\Users\xxx\AppData\Local\Babylon C:\Users\xxx\AppData\Roaming\Babylon C:\Users\xxx\AppData\Local\Temp*.html C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Users\xxx\AppData\Local\15q00nm178xkhuh37w5fl5o5wmo0f5nhffbc8x8x6t708 C:\ProgramData\15q00nm178xkhuh37w5fl5o5wmo0f5nhffbc8x8x6t708 C:\Users\xxx\AppData\Roaming\mozilla\Firefox\Profiles\yu5sf87b.default\extensions\ffxtlbr@babylon.com :OTL IE - HKU\S-1-5-21-1374885098-1517742590-3916620612-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=a2cdfc240000000000000016ea557d16&q=" O3 - HKU\S-1-5-21-1374885098-1517742590-3916620612-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files sonics /alldrives C:\Documents and Settings\Jan\otytkf.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "TaskMan"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj zbędny pobieracz Adobe - Akamai NetSession Interface Service 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Jest tutaj infekcja rootkitem ZeroAccess. Na początek zacznij od użycia ComboFix i wklej z niego wynikowy log. Po tej czynności wykonaj ponownie nowe logi z OTL i też załącz do posta.

Nie ma, inaczej bym o tym wspomniał nie sądzisz? To by było na tyle. Pora na finalizacje. Użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK

To akurat jest fałszywy alarm skanera na wtyczce ALLPlayer, więc wynik zignoruj i nie przejmuj się. Logi czyste.

Rzeczywiście są pozostałości po infekcji z Facebooka i to teraz będzie usuwane. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKCU..\Run: [] File not found :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach widać drobną infekcję w postaci szkodliwych zadań w harmonogramie i to usuniemy, ale problemy z internetem rzeczywiście mogą wynikać z oprogramowania zabezpieczającego. Zainstalowałeś stary Symantec ze sterownikami datowanymi na rok 2005 i tej staroci powinieneś natychmiast pozbyć się z systemu. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Tasks\At1.job C:\WINDOWS\Tasks\At2.job C:\WINDOWS\Tasks\At3.job C:\WINDOWS\Tasks\At4.job C:\Program Files\mozilla firefox\searchplugins\babylon.xml C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\Krzysiek\Dane aplikacji\Babylon :Reg [HKEY_USERS\S-1-5-21-1409082233-1644491937-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Jest w porządku. Użyj teraz ponownie Ad-Remover ale z opcji Clean i to by było na tyle. Temat jako rozwiązany zamykam.

Infekcja pomyślnie usunięta i nic tu więcej nie widać. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj poniższe oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 27 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 7.0.1 (x86 en-GB)" = Mozilla Firefox 7.0.1 (x86 en-GB) Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK A nie da się rozwinąć tego komunikatu w poziomie aby była widoczna pełna ścieżka dostępu i nazwa pliku? To też może być skutek po infekcji.

W takim razie teraz przechodzimy dalej z usuwaniem pozostałych rzeczy. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files qbpkx.pif /alldrives autorun.inf /alldrives :OTL O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1001..\Run: [vmreg] C:\Users\SS\AppData\Roaming\vmreg.exe () O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1004..\Run: [DriverMax] "C:\Program Files (x86)\Innovative Solutions\DriverMax\devices.exe" -agent File not found O4 - HKU\S-1-5-21-2685944304-1924584341-4067322775-1004..\Run: [DriverMax_RESTART] File not found O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

A jaki masz problem z SalityKillerem? Ostatecznie możesz.

HijackThis to przestarzały program i nie na dzisiejsze czasy, zapomnij o nim i nie używaj więcej. W dodatku nie ma on wsparcia dla systemu 64 bitowego taki jak twój. Według logów jest jedynie drobna infekcja na widoku: O4 - HKCU\..\Run: [vmreg] C:\Users\SS\AppData\Roaming\vmreg.exe Jednak wyniki, które wklejasz ze skanu na VirusTotal wykazują infekcję Sality, która zaraża pliki wykonywalne .exe. To by się potwierdzało z tym co opowiadasz o nieuruchamiających się grach. Infekcja ta bywa trudna do leczenia ale należy spróbować. 1. Przeskanuj system przez SalityKiller. Skan do skutku, dopóki nie zostanie uzyskany czysty wynik (zero wykrytych). 2. Napraw skasowany Tryb awaryjny. Pobierz paczkę Sality_RegKeys, z niej uruchom plik pasujący do Windows 7. 3. Pokazujesz logi z OTL (postaraj się je wykonać w razie problemów w trybie awaryjnym) oraz raport z Sality Killer o ile coś znajdzie.

Nie wygląda by tu była jakaś infekcja, logi czyste i nie ma się do czego przyczepić. Temat zmienia dział. Na początek sprawdź zachowanie systemu na czystym rozruchu: KLIK

W logach widać co prawda drobną infekcję z urzadzenia przenosnego, ale to na pewno nie jest wina restartów. Tym bardziej jeśli po formacie jest to samo to by sugerowało bardziej sprawy sprzętowe. Daj kilka najnowszych zrzutów pamięci według punktu 5 z tego tematu: KLIK Infekcję przy okazji też teraz będziesz usuwał. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files 09lf.exe /alldrives autorun.inf /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O4 - HKU\S-1-5-21-484763869-1450960922-1177238915-1003..\Run: [dso32] C:\Documents and Settings\Komputer\Ustawienia lokalne\Temp\dsoqq.exe () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.