Landuss

Ale nie piszesz jaki był powód, że założyłeś tutaj temat z logami. Na pewno nie infekcja bo tej nie widać. Jedynie drobne śmieci w postaci toolbarów do usunięcia kosmetycznie i przy okazji. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2 [2011/05/28 19:12:49 | 000,000,000 | ---D | M] (Zynga Community Toolbar) -- C:\Users\Arctus\AppData\Roaming\mozilla\Firefox\Profiles\ik37yhe7.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2011/05/18 09:18:42 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\Arctus\AppData\Roaming\mozilla\Firefox\Profiles\ik37yhe7.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc} [2011/05/18 09:18:42 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Arctus\AppData\Roaming\mozilla\Firefox\Profiles\ik37yhe7.default\extensions\engine@conduit.com [2010/10/28 01:13:35 | 000,000,000 | ---D | M] (vShare Plugin) -- C:\Users\Arctus\AppData\Roaming\mozilla\Firefox\Profiles\ik37yhe7.default\extensions\vshare@toolbar O3 - HKU\S-1-5-21-788902761-3673614912-2483170896-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programó i odinstaluj zbędne sponsoringi - Conduit Engine oraz Vuze Remote Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

W logach widać infekcję Conficker przeniesioną prawdopodobnie tez z pendrive i stąd problem z wejściem na strony MS. 1. Wklej do notatnika ten tekst: File:: F:\autorun.inf C:\WINDOWS\System32\hecbzrha.dll NetSvc:: mxlgqxgen Driver:: mxlgqxgen tpjmfoeht Registry:: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "8286:TCP"=- 2. Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Zaprezentuj nowy log z ComboFix, nowe logi z OTL oraz log z USBFix z opcji Listing

Niesłuszne. Przede wszystkim radzę przeczytać zasady działu i dołączyć wymagane logi z OTL + GMER: KLIK Opisz co to znaczy dokładniej. Jeśli błąd to jaki itp.

W takim razie to by było na tyle z usuwania. Można powoli kończyć sprawę. 1. Użyj opcji Sprzątanie w OTL. 2. Obowiązkowe aktualizacje poniższych pozycji: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416024FF}" = Java 6 Update 24 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java 6 Update 26 "Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin Instrukcje aktualizacyjne: KLIK 3. Opróżnij foldery Przywracania systemu: KLIK

Nie wygląda na to by to był problem infekcyjny. Są zbędne toolbary do usunięcia ale tym zajmiemy się później. W kwestii spowolnienia najprościej winić Symantec. Proponuję odinstalować go w całości za pomocą Norton Removal Tool. Po tym sprawdź efekty.

1. Uruchom ponownie Kasperskyego i dla wykrycia tym razem przyznaj opcję Cure (leczenie) 2. Wklej do Notatnika ten tekst: Folder:: c:\windows\$NtUninstallKB3255$ FCopy:: c:\windows\ServicePackFiles\i386\wuauclt.exe | c:\windows\system32\dllcache\wuauclt.exe Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Prezentujesz nowy raport z Kasperskyego, ComboFix oraz nowe logi z OTL.

W logach widać infekcję rootkitem ZeroAccess. Rozpocznij od następujących działań: 1. Zgodnie ze wskazówkami uruchom ComboFix i przedstaw z niego wynikowy raport. 2. Następnie uruchom Kaspersky TDSSKiller i wykonaj skan. Nie podejmuj jednak żadnych akcji na wynikach, wszystkim dobierając opcje Skip, a tu zaprezentuj tylko raport.

Log nie potwierdza by była tu jakaś infekcja, choć powinieneś dać też log dodatkowy - ekstras. Podczas skanowania opcja "Rejestr - skan dodatkowy" powinna być zaznaczona na "Użyj filtrowania" Pierwsze co bym wykonał na tym systemie to wykonanie czystego rozruchu: KLIK Na czystym rozruchu sprawdź efekty jak zachowuje się system.

Zacznij od pokazania najnowszych zrzutów pamięci według punktu 5 tego tematu: KLIK

Zacznijmy od tego, że to nie jest log na start, którego tutaj wymagamy. Zaś używać narzędzia sam nie powinieneś. Dostosuj się do zasad działu: KLIK i dołącz obowiązkowe tu logi z OTL + GMER. Logi dostarcz w formie załączników.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-11-03 14:34:56 | 000,001,860 | ---- | M] () -- C:\Users\Argas\AppData\Roaming\Mozilla\Firefox\Profiles\523t0qcl.default\searchplugins\search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Users\Argas\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKCU..\Run: [steam] "D:\Gry\DS3\Steam.exe" -silent File not found :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Theorica Divx ;-) Codecs] :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj przestarzały i bezużyteczny w dzisiejszych czasach program Spybot - Search & Destroy 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Jeśli założyłeś temat w tym dziale, musimy jakoś zdiagnozować czy to rzeczywiście wina infekcji czy nie. Przy problemie, który opisujesz można użyć narrędzi z zewnątrz w celu wykonania logów. Nie napisałeś jaki masz system, ale jeśli to XP skorzystaj z narzędzia OTLPE a jesli Vista/7 z narzędzia FRST

Sam za skrypty lepiej się nie bierz bo może to przynieść odwrotne skutki. Nadal na kasacje te dwa pliki: [2011-10-16 15:00:09 | 005,153,193 | ---- | C] () -- C:\Documents and Settings\Quba\Pulpit\RME-win-2.0.exe [2011-10-16 14:59:16 | 004,378,112 | ---- | C] () -- C:\WINDOWS\RME-win-2.1.msi Poza tym w porządku i można przejść do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Jave do najnowszej wersji: KLIK 3. Opróżnij folder przywracania systemu: KLIK

Zacznijmy od tego, że to nie są logi o które prosimy. Przeczytaj uważnie zasady i dołącz wymagane logi: KLIK

Zabrakło obowiązkowego loga z GMER. Logi wskazują na rootkita ZeroAccess. Wykonaj poniższe kroki: 1. Rozpocznij od użycia ESET Win32/Sirefef Trojan remover i zresetuj komputer. 2. Następnie uruchom ComboFix i przedstaw wynikowy raport oraz wykonaj nowe logi z OTL.

Logi robione na ustawieniach z obcego forum. Następne wykonaj już na ustawieniach z naszego tematu przyklejonego w dziale wirusów. Windate.exe rzeczywiście wygląda na to, ze wszedł razem z instalacją RME. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\zlib1.dll C:\WINDOWS\os4.exe C:\WINDOWS\windate.exe C:\WINDOWS\RME-win-2.1.msi C:\Documents and Settings\Quba\Pulpit\RME-win-2.0.exe C:\Documents and Settings\Quba\Menu Start\Programy\Autostart\windate.exe :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja wygląda na opanowaną. Jeszcze teraz poprawki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\c_91860.nl_ C:\WINDOWS\System32\drivers\afd.sys.vir c:\documents and settings\Tramp-Tour\Dane aplikacji\14AAD c:\documents and settings\Tramp-Tour\Ustawienia lokalne\Dane aplikacji\a36f7020 :OTL DRV - File not found [Kernel | On_Demand | Running] -- -- (catchme) O3 - HKU\S-1-5-21-117609710-706699826-725345543-1004\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja ZeroAccess jest w stanie czynnym. 1. Rozpocznij od użycia ESET Win32/Sirefef Trojan remover i zresetuj komputer. 2. Następnie uruchom ComboFix i przedstaw wynikowy raport oraz wykonaj nowe logi z OTL.

Wykonane, ale nie piszesz nic czy problem ustapił. Można przejść do czynności finalnych. 1. Wklej do OTL skrypt kosmetyczny: :Files C:\Documents and Settings\izas\Dane aplikacji\pdfforge :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- Klikasz w Wykonaj skrypt. Restartu nie będzie, logów nie pokazujesz. Używasz opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wykonaj kroki finalizujące temat: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek sponsoringowy Ask Toolbar (Magentic Toolbar) 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

Skoro po wyłączeniu Avasta jest lepiej to może być jeden z podejrzanych. Na próbę odinstaluj go i sprawdź efekty.

To by było na tyle i zostały czynności końcowe. 1. Użyj Ad-Remover z opcji Clean oraz OTL z opcji Sprzątanie. 2. Obowiązkowo zaktualizuj oprogramowanie (brak SP3 = brak wsparcia MS): Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.6.23)" = Mozilla Firefox (3.6.23) Szczegóły aktualizacyjne rozpisane w tym wątku: KLIK. 3. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 4. Opróżnij folder Przywracania systemu: KLIK.

Temat zostanie przeniesiony do innego działu bo tu nie chodzi o infekcje. Nie widzę abyś jakiś log dodał. Tak przy okazji to system masz dziurawy i odcięty od wsparcia Microsoftu (brak SP3): Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) Musisz to zaktualizować: INSTRUKCJE.

W logach właściwie nic nie ma, jedynie to szkodliwe zaplanowane zadanie: [2011-10-07 13:10:57 | 000,000,312 | -HS- | M] () -- C:\WINDOWS\tasks\tuklgbifc.job Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\tasks\tuklgbifc.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy coś się zmieniło po tej operacji, a jeśli występują jakieś błędy to musisz podać je dokładnie o jakiej treści one są. Możesz też sprawdzić jak się zachowuje system w trybie awaryjnym. Dla świętego spokoju możesz wykonać skan przez Kaspersky TDSSKiller i jesli coś wykryje przyznać opcję Skip, a tu zaprezentować raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-117609710-1326574676-725345543-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = "http://google.bearshare.com/pl" [binary data] IE - HKU\S-1-5-21-117609710-1326574676-725345543-1008\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com FF - prefs.js..browser.startup.homepage: "http://my.daemon-search.com/startpage|http://www.google.com/ig" FF - prefs.js..keyword.URL: "http://www.mywebsearch.com/jsp/cfg_redir2.jsp?id=ZRfox000&fl=0&ptb=H9vff5ZAnR1ppmW5hbYWJQ&url=http://search.mywebsearch.com/mywebsearch/dft_redir.jhtml&st=kwd&searchfor=" [2011-02-26 13:54:40 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\9nj3e8iy.default\extensions\DTToolbar@toolbarnet.com [2011-02-26 13:54:36 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\9nj3e8iy.default\searchplugins\daemon-search.xml [2009-05-19 17:27:51 | 000,009,941 | ---- | M] () -- C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\9nj3e8iy.default\searchplugins\mywebsearch.xml [2008-09-25 18:17:23 | 000,024,576 | ---- | M] (My Global Search) -- C:\Program Files\mozilla firefox\plugins\NPMyGlSh.dll O3 - HKU\S-1-5-21-117609710-1326574676-725345543-1008\..\Toolbar\WebBrowser: (My Global Search Bar) - {37B85A29-692B-4205-9CAD-2626E4993404} - Reg Error: Value error. File not found O4 - HKLM..\Run: [bearShare] "C:\Program Files\BearShare\BearShare.exe" /pause File not found O4 - HKU\S-1-5-21-117609710-1326574676-725345543-1008..\Run: [Gadu-Gadu] "C:\Program Files\Gadu-Gadu\gg.exe" /tray File not found O4 - HKU\S-1-5-21-117609710-1326574676-725345543-1008..\Run: [King_ar] C:\WINDOWS\system32\arking.exe File not found O4 - HKU\S-1-5-21-117609710-1326574676-725345543-1008..\Run: [king_mg] C:\WINDOWS\system32\mgking.exe File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\My Global Search Uninstall] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek sponsoringowy DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.