Landuss

Temat w nieodpowiednim dziale. Jest tutaj przecież dział pomocy doraźnej w walce z wirusami. Temat zostanie przeniesiony. Nic podobnego, log wykazuje, że dałeś opcję Skip (pomiń) 18:31:34.0890 1220 HTTP ( LockedFile.Multi.Generic ) - User select action: Skip Uruchom narzędzie jeszcze raz tym razem z opcja Cure (leczenie) Wklej potem nowy raport z narzędzia oraz uruchom ponownie ComboFix i wklej wynikowy log.

Otwórz Notatnik systemowy i wklej do niego taki tekst: N: del /s N:\*.lnk attrib /d /s -s -h N:\* RD /S /Q N:\RECYCLER C: del /s C:\Users\Tomi\AppData\Local\Temp*.html RD /S /Q C:\Users\Tomi\AppData\Roaming\Xele RD /S /Q C:\Users\Tomi\AppData\Roaming\Ogru RD /S /Q C:\Users\Tomi\AppData\Roaming\Wuetam RD /S /Q C:\Users\Tomi\AppData\Roaming\Qeidzu RD /S /Q C:\Users\Tomi\AppData\Roaming\Babylon pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Do wglądu dajesz nowe logi z OTL i z USBFix z tej samej opcji przy podpiętym USB.

W porządku. Możesz użyć opcji Sprzątanie z OTL. Co do problemu z Avast to nic mi nie przychodzi do głowy. Sprawdź co się dzieje przy wyłączeniu Comodo.

Tu nie bardzo rozumiem o co chodzi. SP3 można zainstalować na każdym systemie bez względu na to czy to jest oryginał czy pirat. SP3 jest bardzo ważny ponieważ w obecnym stanie przy SP2 system jest jak sito i w dodatku odcięty od aktualizacji automatycznych gdyż MS zablokował taką możliwość wszystkim systemom poniżej SP3. Jeśli chodzi o problem główny wykonaj poniższe zalecenia: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\bd053135b68f9bbd9b564c407c31 C:\ff4b631eaec49b1bf405acfe3f39d6e9 C:\Documents and Settings\All Users\Dane aplikacji\559fab C:\Documents and Settings\All Users\Dane aplikacji\ofgdshuf C:\Documents and Settings\All Users\Dane aplikacji\lazipotj.obe C:\Documents and Settings\All Users\Dane aplikacji\hhofohps.wbt :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found IE - HKU\S-1-5-21-682003330-57989841-839522115-500\..\URLSearchHook: *{08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found IE - HKU\S-1-5-21-682003330-57989841-839522115-500\..\URLSearchHook: *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - No CLSID value found FF - prefs.js..browser.search.defaultenginename: "Yahoo! Search" O2 - BHO: (no name) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No CLSID value found. O3 - HKU\S-1-5-21-682003330-57989841-839522115-500\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found. O3 - HKU\S-1-5-21-682003330-57989841-839522115-500\..\Toolbar\ShellBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-682003330-57989841-839522115-500\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - HKLM..\Run: [] File not found O20 - Winlogon\Notify\avgrsstarter: DllName - (avgrsstx.dll) - File not found :Commands [resethosts] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

To tym razem podejmij kroki i wybierz opcję Cure (leczenie) choć ComboFix twierdzi, że naprawił ten problem więc teraz Kaspersky moze nic nie wykryć. Tak czy inaczej sprawdź to i wklej też nowe logi z OTL aby wykonać dalsze czynności. Możemy też przy okazji zająć się tymi skrótami więc podepnij USB i uruchom USBFix z opcji Listing

Skrypt zupełnie się nie wykonał. Proszę powtórzyć operacje i patrz czy nie ma jakichś błędów. Ewentualnie to może być wina Avasta więc go zdeaktywuj na czas skryptu. Napisz też czy nadal masz z nim problem.

Skróty na USB to infekcja z mediów przenośnych, ale tym się zajmiemy później. Tutaj jest poważniejsza sprawa - rootkit ZeroAccess. Wykonaj poniższe zalecenia: 1. Uruchom narzędzie Kaspersky TDSSKiller i zaprezentuj wyniki. 2. Uruchom ComboFix i wklej wynikowy log oraz nowe logi z OTL.

OTL wykłada się na błędzie kernel32.dll. To znany nam błąd, który u niektórych występuje i jak dotąd nie znamy przyczyny o co tu chodzi. W logach jednak nie widać śladów infekcji. Temat zostaje przeniesiony do działu Sieci. BTW: Odinstaluj przy okazji śmiecia sponsoringowego Ask Toolbar (Webroot Toolbar)

To, co się wyświetla nie jest istotne. SP3 nie zrobi z MXa prawdziwego XP Pro. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\3933278335 C:\Documents and Settings\Henryk\Ustawienia lokalne\Dane aplikacji\7f1071ea :OTL SRV - File not found [Auto | Stopped] -- -- (nvsvc) SRV - File not found [Auto | Stopped] -- -- (KaraokeService) :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc] "Start"=dword:00000004 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG] "Start"=dword:00000004 :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zabrakło drugiego loga z OTL - ekstras.txt. Podczas skanowania opcja "Rejestr - skan dodatkowy" powinna być zaznaczona na "Użyj filtrowania". Poza tym to co się od razu rzuca w oczy to modyfikowany Windows i tym samym braki w podstawowych usługach: SRV - File not found [Auto | Stopped] -- -- (ERSvc) SRV - File not found [On_Demand | Stopped] -- -- (CiSvc) SRV - File not found [On_Demand | Stopped] -- -- (ALG) Stosowałeś tu ComboFix, a nie przedstawiłeś wyników jego pracy. Wejdź do folderu C:\Qoobox i wyciągnij stamtąd log. W OTL widać też folder sugerujący, że była tu infekcja ZeroAccess: [2011-11-03 17:45:25 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Henryk\Ustawienia lokalne\Dane aplikacji\7f1071ea Na wszelki wypadek przeskanuj się za pomocą Kaspersky TDSSKiller i przedstaw wynikowy raport. Pamiętaj też o logu ekstras z OTL.

Musi działać bo infekcja została usunięta. Można powoli kończyć sprawę. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj poniższe oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 29 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 5.0 (x86 pl)" = Mozilla Firefox 5.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Wykonaj jeszcze jeden skrypt do OTL o takiej zawartości: :OTL CHR - plugin: Babylon Chrome Plugin (Enabled) = C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\BabylonChromePI.dll :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}] [-HKEY_LOCAL_MACHINE\Software\Conduit] [-HKEY_CURRENT_USER\Software\Conduit] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}] Do wglądu pokazujesz już tylko nowy log z Ad-Remover

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=d4fcdafa000000000000001966ee5704&tlver=1.4.19.19&affID=17160" IE - HKU\S-1-5-21-1078081533-790525478-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?babsrc=HP_ss&mntrId=d4fcdafa000000000000001966ee5704&tlver=1.4.19.19&affID=17160" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=toolbar2&q=" [2011-09-03 16:37:09 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\Dominik\Dane aplikacji\Mozilla\Firefox\Profiles\48e45fij.default\extensions\ffxtlbr@babylon.com [2011-05-24 19:36:20 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKU\S-1-5-21-1078081533-790525478-839522115-1004..\Run: [jushed] C:\Documents and Settings\All Users\jushed.exe ( ) :Files C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\Codecs.exe C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\jushed.exe C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\nircmd.exe C:\Documents and Settings\Dominik\Ustawienia lokalne\Dane aplikacji\operaprefs.ini :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmiecia sponsoringowego Babylon Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Zabrakło loga z Gmer pod kątem rootkitów. Problem jednak nie wygląda na infekcyjny gdyż OTL nie wykazuje składników infekcji. Na początek sprawdź czy w trybie awaryjnym problem też występuje.

W logach nie ma śladu żadnych infekcji i nie ma tu nic do roboty.

W takim razie to by było na tyle. Wykonaj jeszcze poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Koniecznie zaktualizuj przestarzałe IE6 do najnowszej wersji Internet Explorer 8. To ważny punkt systemu i powinien być aktualizowany bez względu na to czy korzysta się bezpośrednio czy nie. 3. Opróżnij folder przywracania systemu: KLIK

W takim razie wykonaj jeszcze jeden plik .BAT o takiej zawartości: F: RD /S /Q F:\RECYCLER pause Folder powinien zostać opróżniony.

To niemożliwe. Jeśli wszystko powiodło się i nie było błędów foldery powinny się uwidocznić. Na pewno nie było błędów? Sprawdź jeszcze raz.

Skróty usunięte, ale rzeczywiście prawidłowe foldery nadal są ukryte według loga. Powtórz w notatniku tę część operacji: F: attrib /d /s -s -h F:\* pause Patrz czy nie ma błędów. Do wglądu nowy log.

W logach nie widać śladów infekcji. Temat zmienia dział. Na początek sprawdź zachowanie się systemu na czystym rozruchu: KLIK Nie wykluczone, ze problem może stwarzać AVG. BTW: Odinstaluj przy okazji śmieć sponsoringowy SweetIM Toolbar for Internet Explorer 4.2

ComboFix to nie jest program na start i nie powinieneś go ruszać. W dodatku program tak naprawdę nic nie zrobił i log nie wykazuje by tu była jakaś infekcja. Zabrakło jednak loga z Gmer pod kątem rootkitów. Jeśli chodzi o główny problem to mogą to byś dwie rzeczy - infekcja plików wykonywalnych albo problem sprzętowy. Bliższy byłbym tego drugiego, ale jeśli tutaj założyłeś temat to trzeba sprawdzić kwestię infekcji dokładniej. Poza logiem z Gmer spróbuj zrobić skan za pomocą Kaspersky Virus Removal Tool. Jeśli znajdzie infekcje, przeklej wyniki.

Nic się nie stało. To opcja nakładająca zabezpieczenie przed tego typu infekcjami. Tworzy niekasowalny, ukryty folder AUTORUN.INF na każdym z dysków. Jeśli nie zależy ci na zawartości to format wystarczy. Przechodząc do obecnych logów widać infekcję na karcie pamięci pod literą F. Karta ma być teraz podpięta. 1. Wklej do notatnika taki tekst: F: del /s F:\*.lnk attrib /d /s -s -h F:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik 2. Prezentujesz nowy log z USBFix z opcji Listing. Po tej operacji powinny zniknąć fałszywe skróty .LNK, a w ich miejsce powinny uwidocznić się właściwe foldery na karcie pamięci.

Nie musisz już nic dawać. Pytanie tylko czy problemy ustąpiły? Jeśli tak - temat będziemy zamykać.

Na początek podepnij kartę pamięci do komputera i uruchom USBFix z opcji Listing i pokaż wynikowy raport.

W porządku. Można przechodzić do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL oraz opcji Clean z Ad-Remover. 2. Odinstaluj poprawnie ComboFix - Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "C:\Users\JA\Desktop\ComboFix.exe" /uninstall 3. Zaktualizuj poniższe oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java 6 Update 29 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin "Mozilla Firefox 7.0.1 (x86 pl)" = Mozilla Firefox 7.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Koniecznie zmień wszystkie hasła logowania gdyż przy tego typu infekcji jest to wymagane.