Landuss

W logach widać że jest tutaj cała masa paskudnych pasków o charakterze sponsoringowym i to wszystko wyleci. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Renia\AppData\Local\{*.* :OTL SRV - File not found [Auto | Stopped] -- -- (PLFlash DeviceIoControl Service) IE - HKU\S-1-5-21-89875343-1983216224-2520645717-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.searchqu.com/406" O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [hpqSRMon] File not found O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w File not found O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found O4 - HKU\S-1-5-21-89875343-1983216224-2520645717-1000..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h File not found O4 - HKU\S-1-5-21-89875343-1983216224-2520645717-1000..\Run: [DW6] File not found O4 - HKU\S-1-5-21-89875343-1983216224-2520645717-1000..\Run: [Google Update] "C:\Users\Renia\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found O4 - HKU\S-1-5-21-89875343-1983216224-2520645717-1000..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found O8 - Extra context menu item: &Search - ?p=ZRxdm479YYCA File not found O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} "http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSaversFWBInitialSetup1.0.1.0.cab" (Reg Error: Key error.) :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź w panel usuwania programów i odinstaluj następujące pozycje: Ask Toolbar / RelevantKnowledge / My Web Search (Popular Screensavers) / ooVoo Toolbar / P2P_Max Toolbar / Windows iLivid Toolbar / SmartShopper / Yahoo! Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Jest lepiej, ale to jeszcze nie koniec usuwania. Kolejny skrypt do wprowadzenia: :Files C:\Users\Konrad\AppData\Local\pit.exe :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command] ""="C:\Program Files (x86)\Internet Explorer\iexplore.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command] ""="C:\Program Files (x86)\Mozilla Firefox\firefox.exe" [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}] [-HKEY_USERS\.DEFAULT\Software\Ask.com] [-HKEY_USERS\.DEFAULT\Software\AskToolbar] [-HKEY_USERS\S-1-5-18\Software\Ask.com] [-HKEY_USERS\S-1-5-18\Software\AskToolbar] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] Do wglądu nowy log z AD-Remover.

Użycie ComboFix bez sensu i niepotrzebne - program nic istotnego nie wykonał. Logi zupełnie nie wykazują infekcji zaś najbardziej podejrzanym na podstawie logów jest niestety Symantec i to jego należy sprawdzić w pierwszej kolejności wykonując deinstalacje.

W logach nie widać by tu była jakaś infekcja. Można więc stwierdzić, ze nie o to tu chodzi. Temat zostaje przeniesiony. Sprawdz zachowanie systemu na czystym rozruchu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: radiobar@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://radiobar.toolbarhome.com/search.aspx?srch=ku&q=" [2010-03-14 20:05:22 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Users\Konrad\AppData\Roaming\mozilla\Firefox\Profiles\mm1z4ahd.default\extensions\radiobar@toolbar [2010-02-09 12:33:22 | 000,002,055 | ---- | M] () -- C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\mm1z4ahd.default\searchplugins\daemon-search.xml [2010-03-14 20:05:29 | 000,001,589 | ---- | M] () -- C:\Users\Konrad\AppData\Roaming\Mozilla\Firefox\Profiles\mm1z4ahd.default\searchplugins\web-search.xml O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000..\Run: [] File not found O4 - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000..\Run: [Power2GoExpress] File not found O37 - HKU\S-1-5-21-3829192350-1106481819-3590728672-1000\...exe [@ = dc] -- "C:\Users\Konrad\AppData\Local\pit.exe" -a "%1" %* (Microsoft Corporation) [2011-12-27 17:24:49 | 000,007,306 | -HS- | C] () -- C:\Users\Konrad\AppData\Local\06ewu38qj7mc806pf85h12 [2011-12-27 17:24:49 | 000,007,306 | -HS- | C] () -- C:\ProgramData\06ewu38qj7mc806pf85h12 [2011-12-27 17:23:28 | 000,331,264 | ---- | C] () -- C:\Users\Konrad\AppData\Local\rumoxbosr.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj zbędne paski sponsoringowe - Ask Toolbar oraz DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Więc odpowiadam - nic w nim nie siedzi. Temat zamykam.

Logi nie wykazują żadnej infekcji więc nie tedy droga. Temat zmienia dział. Na początek sprawdz zachowanie systemu na czystym rozruchu: KLIK

W takim razie wykonaj na koniec kilka rzeczy. 1. Użyj opcji Sprzątanie z OTL. 2. Masz krytyczny poziom zabezpieczeń i tylko SP2. W związku z tym system jest odcięty od aktualizacji gdyż MS zablokował taką możliwość systemom poniżej progu SP3. Wykonaj więc aktualizację systemu do statusu Service Pack 3 3. Na koniec opróżnij folder przywracania systemu: KLIK

Żadnego keyloggera tutaj nie ma, za to jest infekcja z mediów przenośnych. To proste do usunięcia i żaden format nie jest potrzebny. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] ""="" :OTL O4 - HKU\.DEFAULT..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-18..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-19..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKU\S-1-5-20..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Właściwie nie ma się tutaj do czego przyczepić więcej, zaś ComboFix użyty niepotrzebnie. Program nie wykonał żadnych istotnych operacji za to uszkodził usługę aktualizacji automatycznych: SRV - File not found [Auto | Stopped] -- -- (wuauserv) To znany problem po użyciu ComboFix na systemach, które są zainstalowane na innej partycji niż "C". U Ciebie system jest na dysku "D" więc stąd ta sytuacja. To trzeba skorygować. Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik na wartość ServiceDll i zamień aktualnie tam widoczną ścieżkę na D:\Windows\System32\wuauserv.dll Na koniec podsumuj dokładnie czy jest jeszcze jakiś większy problem. Jeśli nie to przejdziemy do działań końcowych i aktualizacji.

Chyba nie do końca bo zabrakło loga extras z OTL. Podczas skanu opcja Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania". W logu podstawowym nic wielkiego nie ma poza nieznanym strumieniem na folderze Windows i to pójdzie na usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand] -- -- (VGPU) @Alternate Data Stream - 24 bytes -> C:\Windows:740CF51F503F17B0 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Przypominam o logu ekstras.

W takim razie musisz zaprezentować log z ComboFix oraz z TDSSKiller gdyż musimy wiedzieć co tam zostało ewentualnie usunięte. Nie zawsze to co jest wykryte jest szkodliwe.

W Gmer nie widać żadnego prawdziwego rootkita. To co on wykrył to prawidłowa modyfikacja. W takim razie najpierw usuńmy to co podałem wcześniej. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files D:\WINDOWS\tasks\klvvtwj.job :OTL [2010-12-27 10:53:58 | 000,002,226 | ---- | M] () -- D:\Program Files\mozilla firefox\searchplugins\babylon.xml CHR - plugin: Babylon Chrome Plugin (Enabled) = D:\Documents and Settings\Emila.B-02D438CD598A4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll CHR - Extension: Babylon Translator = D:\Documents and Settings\Emila.B-02D438CD598A4\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.3_0\ O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy problem nadal wystpępuje.

W takim razie usuń obydwa, explorer też mi był podejrzany. IE oczywiście musisz zaktualizować bez względu czy korzystasz czy nie. To bardzo ważna część mocno wkomponowana w system. Sama przeglądarka to tylko niewielka część.

Zabrakło obowiązkowego loga z Gmer pod kątem rootkitów. Uzupełnij go w następnym poście koniecznie. W logach obecnych nic szczególnego nie widać poza tym szkodliwym zaplanowanym zadaniem w harmonogramie: [2011-04-27 00:01:38 | 000,000,308 | -HS- | M] () -- D:\WINDOWS\tasks\klvvtwj.job W kwestii głównego problemu można przypuszczać albo infekcję plików wykonywalnych albo problemy właśnie z dyskiem i tej drugiej opcji byłbym bliższy z racji tego co wspominasz o chkdsk.

Wygląda, ze wszystko się pomyślnie wykonało. Na koniec jeszcze kilka rzeczy. 1. Użyj opcji Sprzątanie z OTl oraz opcji Clean z Ad-Remover. 2. Usuń z dysku przenośnego ten podejrzany plik: [16/07/2010 - 15:10:38 | R | 117760] K:\biriprg.exe 3. Zaktualizuj koniecznie poniższe oprogramowanie: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 29 "Adobe Acrobat 5.0" = Adobe Acrobat 5.0 CE "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK

1. Wklej do Notatnika taki tekst: K: attrib /d /s -s -h K:\* del /s K:\*.lnk RD /S /Q K:\RECYCLER RD /S /Q K:\Recycled RD /S /Q K:\$RECYCLE.BIN pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Przejdź do panelu usuwania programów i odinstaluj niepotrzebne sponsoringi - Conduit Engine oraz Vuze Remote Toolbar 3. Pokazujesz nowy log z USBFix z opcji Listing oraz AD-Remover z opcji Scan.

W takim razie pobierz plik w wersji XP SP3 zgodnie z twoim systemem: KLIK. Plik umieść w dwóch lokalizacjach: C:\Windows\system32 C:\Windows\system32\dllcache Restart systemu i sprawdź efekty czy nadal jest ten błąd.

To co wykrył MBAM można usunąć. Ogólnie w logach nic już szkodliwego nie widać więc można kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Jave do najnowszej wersji - Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Plik autorun jest prawidłowy i nie będziemy go ruszać. A pliki możesz poukrywać jeśli ci przeszkadzają.

Plik jest ukryty i mocno podejrzany dlatego pójdzie na usuwanie. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Przemek\AppData\Roaming\vmreg.exe :OTL IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=18790" IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.param.yahoo-fr: "" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj wątpliwej reputacji wtyczkę vShare.tv plugin 1.3 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Tego pliku usuwać nie wolno gdyż jest związany z ochroną plików. Uruchom SystemLook, w oknie wklej poniższy tekst: :filefind sfc_os.dll Kliknij w Look i czekaj na raport. Z tym problemem do działu Sieci.

Co do komunikatu z błędem zobacz tutaj: KLIK Plik autorun od początku widziałem i nie wiem co o nim myśleć. Otwórz go w notatniku i przeklej tu jego zawartość, zaś resztę plików po prostu zostaw w spokoju. One zawsze były tylko przestawiły ci się opcje widoku. Nie trzeba. To nie była infekcja na dysku komputera tylko na dysku wymiennym.

Po co dwa tematy? Łącze w jeden. Zarówno na pierwszym jak i na drugim komputerze infekcja wygląda na usuniętą i zrobił to w całości oczywiście MBAM. Generalnie nie ma tu nic więcej do roboty. Użyj tylko na obu maszynach opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK Warto też przeczyścić śmieci za pomocą TFC - Temp File Cleaner

Tyle, że tu brakuje tych wymaganych logów z OTL + Gmer więc to uzupełnij w kolejnym poście: KLIK