Landuss

Nie tak szybko. Tutaj jest jeszcze wątpliwej reputacji wtyczka vShare.tv plugin 1.3 którą też należy odinstalować. Poza tym pokaż jeszcze log z AD-Remover z opcji Scan.

W takim razie to by było na tyle. Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK

Żadnej wzmianki nie dałeś na ten temat: Więc?

Zasady działu niespełnione. Jaki ComboFix i po co? Tego narzędzia nie powinno się używać na start. Dostosuj się do zasad działu i sporządź logi z OTL + Gmer oraz z USBFix z opcji Listing A ComboFix należy odinstalować poprawnie a więc: W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Master1\Pulpit\ComboFix.exe" /uninstall

Na pierwszy rzut oka wygląda, że sytuacja została opanowana ale potwierdź to jeszcze i przejdziemy do kroków końcowych. Tymczasem wykonaj jeszcze jeden skrypt do OTl o takiej zawartości: :Files C:\Users\Hubert\AppData\Local\Conduit C:\Users\Hubert\AppData\LocalLow\Conduit C:\Program Files (x86)\Conduit :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit] :OTL IE - HKU\S-1-5-21-743215815-923746436-2596179058-1002\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found O3 - HKU\S-1-5-21-743215815-923746436-2596179058-1002\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. Do oceny dajesz już tylko nowy log z Ad-Remover

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Hubert\AppData\Local\winlogon.exe C:\Users\Hubert\AppData\Local\smss.exe C:\Users\Hubert\AppData\Local\services.exe C:\Users\Hubert\AppData\Local\lsass.exe C:\Users\Hubert\AppData\Local\inetinfo.exe C:\Users\Hubert\AppData\Local\csrss.exe C:\Users\Hubert\AppData\Local\Bron.tok-4-30 C:\Users\Hubert\AppData\Local\Bron.tok-4-29 C:\Users\Hubert\AppData\Local\Bron.tok-4-28 C:\Users\Hubert\AppData\Local\Bron.tok-4-27 C:\Users\Hubert\AppData\Local\Bron.tok-4-26 C:\Users\Hubert\AppData\Local\Bron.tok-4-25 C:\Users\Hubert\AppData\Local\Bron.tok-4-24 C:\Users\Hubert\AppData\Local\Bron.tok-4-23 C:\Users\Hubert\AppData\Local\Bron.tok-4-22 C:\Users\Hubert\AppData\Local\Bron.tok-4-21 C:\Users\Hubert\AppData\Local\Loc.Mail.Bron.Tok C:\Users\Hubert\AppData\Local\Ok-SendMail-Bron-tok C:\Users\Hubert\AppData\Local\Bron.tok-4-20 C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif :Reg [HKEY_USERS\S-1-5-21-743215815-923746436-2596179058-1002\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"=- :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj niepotrzebny sponsoring - uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Logi wskazują na infekcję rootkitem ZeroAccess. Rozpocznij od użycia narzędzia ComboFix i wklej wynikowy log. Po tej operacji wykonaj tez nowe logi z OTL i załącz do posta.

Wstępnie można spróbować z tym powalczyć ale to nie zawsze oznacza sukces. Najpierw zajmiemy się Sality, a potem innymi drobnymi śmieciami. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives autorun.pif /alldrives hwgw.pif /alldrives keir.pif /alldrives RECYCLER /alldrives netsh firewall reset /C C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml :Services amsint32 :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_USERS\S-1-5-21-73586283-606747145-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przeskanuj system przez SalityKiller. Skan do skutku, dopóki nie zostanie uzyskany czysty wynik (zero wykrytych). 3. Napraw skasowany Tryb awaryjny. Pobierz paczkę Sality_RegKeys, z niej uruchom plik pasujący do XP. 4. Pokazujesz nowe logi z OTL, USBFix oraz raport z Sality Killer o ile coś znajdzie.

To by było na tyle. Końcowe kroki do wykonania: 1. Otwórz notatnik systemowy i wklej do niego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL 3. Wykonaj aktualizacje poniższego oprogramowania do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "Mozilla Thunderbird (3.1.14)" = Mozilla Thunderbird (3.1.14) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

W takim razie to by było na tyle. Użyj tylko opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK. Więcej nic tu nie ma do roboty.

Mimo wszystko wykonaj powyższe czynności bo to jeszcze nie koniec zaleceń do wykonania.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\Tasks\txgamhyfx.job C:\Windows\SysWow64\vbisurff.dll :OTL O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found. O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

Infekcji w logach ani śladu natomiast śmieci jak najbardziej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files (x86)\Common Files\Spigot C:\Program Files (x86)\Application Updater C:\Users\Konrad\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SearchSettings"=- :OTL FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316&ilc=12" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=827316&p=" [2011/12/15 12:33:48 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAM FILES (X86)\PDFFORGE TOOLBAR\FF O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj śmieci posnsoringowe - pdfforge Toolbar v4.9 / Conduit Engine / SFT_Polska Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

1. Wykonaj kolejny skrypt do OTL: :Files C:\Documents and Settings\admin\Dane aplikacji\OpenCandy C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\OpenCandy :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}] [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}] [-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}] [-HKEY_LOCAL_MACHINE\Software\Classes\GenericAskToolbar.ToolbarWnd] [-HKEY_LOCAL_MACHINE\Software\Classes\GenericAskToolbar.ToolbarWnd.1] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\GenericAskToolbar.DLL] [-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\RelevantKnowledge] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 2. Wejdź do ustawień przeglądarki Google Chrome i usuń stamtąd domyslną wyszukiwarke facemoods zamieniając ją na Google. 3. Pokazujesz nowe logi z OTL i Ad-Remover oraz dajesz znać czy problem minał.

Zabrakło obowiązkowego loga z Gmer. Uzupełnij go w kolejnym poście. Infekcja tutaj na pewno jest. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\At3.job C:\WINDOWS\tasks\At4.job C:\WINDOWS\tasks\At1.job C:\WINDOWS\tasks\At2.job C:\Program Files\Ask.com C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "c:\program files\relevantknowledge\rlvknlg.exe"=- :OTL O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj sponsoringowe śmieci - pdfforge Toolbar v4.9 / VirtualDJ Toolbar / DAEMON Tools Toolbar / facemoods 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, zaległy log z Gmer oraz AD-Remover z opcji Scan.

Log z OTL robiony na ustawieniach nie z naszego forum. Na przyszłość wzoruj się tematem przyklejonym tutaj. Jeśli chodzi o infekcję - brak śladów ZeroAcces w twoich logach. To nie jest ta infekcja. Ty masz inną infekcję, która tez bierze się za centrum zabezpieczeń. Natychmiast pozbądź się tego przestarzałego programu. On nawet nie ma wsparcia dla systemów 64 bitowych a więc takich jak twój. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\MENOEUMH.job C:\Windows\SysWow64\cliconfgz.dll :OTL O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3 - HKU\S-1-5-21-54436554-1944905889-1139810242-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Napraw wyłączone przez infekcję funkcje: Start > w polu szukania wklep services.msc > z prawokliku Uruchom jako Administrator. Na liście dwuklik w usługę Centrum zabezpieczeń i Typ uruchomienia przestaw na Automatycznie (opóźnione uruchomienie), usługę zastartuj przyciskiem. Przywracanie systemu: Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows i Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików". 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W takim razie to by było na tyle. Można kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj poniższe oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F86416029FF}" = Java 6 Update 29 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

To jest plik systemowy i nie wolno go ruszać. A zużywanie przez niego zasobów prawdopodobnie było wynikiem infekcji. Sam widzisz, że po usunięciu się uspokoiło. To by było na tyle. Użyj opcji Sprzątanie z OTL i opróżnij folder przywracania systemu: KLIK

Teraz sprawa jest nejasna. Log z ComboFixa wskazuje na usunięcie infekcji, ale log z OTL pokazuje że nadal nie jest dobrze i to może być kwestia przywrócenia systemu. Proszę tego nie robić(!) Tak możemy usuwać bez końca. Nie spotkałem sie z przypadkiem aby po usunięciu tej infekcji był taki problem jak u ciebie. Może wystarczy tylko zrestartować system. Jeszcze raz powtórz wszystkie kroki od początku a więc ponownie stosujesz ComboFix, a potem wykonujesz nowe logi z OTL i pokazujesz raporty.

Ta strona nie działa bo jest nałożona blokada w pliku hosts co widać w logu: O1 HOSTS File: ([2011-12-28 22:50:02 | 000,001,574 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hosts O1 - Hosts: 127.0.0.1 serial.alcohol-soft.com O1 - Hosts: 127.0.0.1 www.alcohol-soft.com O1 - Hosts: 127.0.0.1 images.alcohol-soft.com O1 - Hosts: 127.0.0.1 trial.alcohol-soft.com O1 - Hosts: 127.0.0.1 alcohol-soft.com O1 - Hosts: 127.0.0.1 static3.cdn.ubi.com O1 - Hosts: 127.0.0.1 ubisoft-orbit.s3.amazonaws.com O1 - Hosts: 127.0.0.1 onlineconfigservice.ubi.com O1 - Hosts: 127.0.0.1 orbitservice.ubi.com O1 - Hosts: 127.0.0.1 ubisoft-orbit-savegames.s3.amazonaws.com O1 - Hosts: 188.165.22.251 darkwarez.pl O1 - Hosts: 188.165.22.251 www.darkwarez.pl O1 - Hosts: 188.165.22.251 peb.pl O1 - Hosts: 188.165.22.251 ajo.pl O1 - Hosts: 188.165.22.251 rapidhack.pl O1 - Hosts: 188.165.22.251 files4you.net.pl O1 - Hosts: 188.165.22.251 www.files4you.net.pl O1 - Hosts: 188.165.22.251 exsite.pl O1 - Hosts: 188.165.22.251 www.exsite.pl O1 - Hosts: 188.165.22.251 bigserwer.org O1 - Hosts: 188.165.22.251 www.bigserwer.org To zaraz skorygujesz skryptem natomiast samo powolne działanie internetu może też powodować tutaj niestety Symantec. W logach nie ma śladu aktywnej infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

W logach nadal widać aktywną infekcję. Można przystąpić do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files (x86)\LP C:\Program Files (x86)\FBD23 C:\Users\marcin\AppData\Roaming\F44FB C:\Users\marcin\AppData\Roaming\csrss.exe :OTL O2:64bit: - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Brak śladów infekcji w podanych logach. Na razie temat zostaje przeniesiony do działu systemowego. Trzeba sprawdzić czy problemem nie jest przypadkiem jakieś oprogramowanie. Wykonaj czysty rozruch: KLIK i zobacz jak będzie się zachowywał system.

Masz system 64 bitowy a na takim systemie infekcję ZeroAccess łatwo wyleczyć. Na początek zacznij od użycia narzędzia ComboFix i wklej wynikowy log. Po tym działaniu wykonaj też nowe logi z OTL i załącz do posta.

Teraz by było na tyle z usuwania. Pytanie czy problem zniknął? Na koniec użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK

Masz racje, to ze zmęczenia. Juz poprawione