Landuss

Małe wyjaśnienie - TDSSKiller to narzędzie do usuwania określonej infekcji a więc rootkita w MBR więc skan robiony nim niepotrzebnie bo tutaj nie ma takiej infekcji, a RKill to narzędzie do killowania procesów kiedy nie można uruchomić np. OTL i ono niczego nie wykrywa. Natomiast zamiast tego powinien być log z Gmer. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\FOUND* C:\WINDOWS\update* C:\WINDOWS\ufa C:\WINDOWS\phoenix C:\WINDOWS\av_ico C:\WINDOWS\info1 C:\WINDOWS\phoenix.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\unrar.exe C:\WINDOWS\ufa.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\services32.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\services32.exe"=- "C:\WINDOWS\update.tray-3-0\svchost.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :OTL O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zabrakło drugiego loga z OTL - extras. Nie zaznaczona została opcja "Rejestr - skan dodatkowy" na "Użyj filtrowania" dlatego zrób to w kolejnym poście. W logu infekcja z Facebooka. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\update* C:\Windows\ufa C:\Windows\rpcminer C:\Windows\phoenix C:\Windows\phoenix.rar C:\Windows\rpcminer.rar C:\Windows\unrar.exe C:\Windows\ufa.rar C:\Windows\info1 C:\Windows\geoiplist.rar C:\Windows\loader2.exe_ok C:\Windows\SysNative\drivers\etc\hîsts :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL (przypominam o logu extras)

W porządku. Do wykonania kroki końcowe: 1. Użyj opcji Sprzątanie z OTL oraz Ad-Remover z opcji Clean. 2. Wykonaj ważne aktualizacje Java (32-bit i 64-bit) oraz Thunderbird: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

W logach nie ma śladu infekcji i temat zostaje przeniesiony. Jedyne co zrób to odinstaluj pasek sponsoringowy Ask Toolbar, następnie popraw usuwanie za pomocą AD-Remover używając opcji Clean. Jeśli chodzi błąd - to jest znany problem z Counter Strike i różne rozwiązania pomagają. Na początek spróbuj najprostszej rzeczy a więc przeinstaluj Microsoft Visual C++ 2005 Redistributable

Wszystko wygląda dobrze. Wykonaj jeszcze jeden drobny skrypt do OTl o takiej zawartości: :Reg [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2786678] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{42168F92-DA71-42E6-BC7F-132EAC1F1899}] :OTL IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - Reg Error: Key error. File not found O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. Do wglądu pokazujesz nowy log z OTl i Ad-Remover.

W takich przypadkach trudno wskazać jednoznacznie przyczynę. Warto sprawdzić zachowanie w trybie awaryjnym i na czystym rozruchu: KLIK. Nie wykluczone też, ze sam AVG ma tu coś do rzeczy. Nie wiadomo też jak stoi defragmentacja dysku i może warto ją wykonać za pomocą Puran Defrag Free Edition

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- -- (XAMPP) SRV - File not found [Disabled | Stopped] -- -- (NMIndexingService) IE - HKU\S-1-5-21-1085031214-1606980848-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com IE - HKU\S-1-5-21-1085031214-1606980848-839522115-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - File not found [2011-08-01 11:35:26 | 000,000,000 | ---D | M] (Softonic Deutsch FF Community Toolbar) -- C:\Documents and Settings\Marta\Dane aplikacji\Mozilla\Firefox\Profiles\anaiusa0.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c} [2011-07-28 06:55:34 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de O2 - BHO: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - File not found O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O3 - HKLM\..\Toolbar: (MediaBar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - File not found O3 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - File not found O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [avast5] File not found O4 - HKLM..\Run: [QuickTime Task] File not found O4 - HKLM..\Run: [searchSettings] C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) O4 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004..\Run: [ALLUpdate] File not found O4 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004..\Run: [Expressivo] File not found O4 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004..\Run: [Google Update] File not found O4 - HKU\S-1-5-21-1085031214-1606980848-839522115-1004..\Run: [Pzuqara] File not found [2011-08-23 19:58:00 | 000,000,000 | ---D | C] -- C:\Program Files\pdfforge Toolbar [2011-08-23 19:58:00 | 000,000,000 | ---D | C] -- C:\Program Files\Application Updater [2011-05-19 05:11:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Marta\Dane aplikacji\OpenCandy [2010-07-15 12:00:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software [2011-08-24 05:53:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\fH13602IfBmN13602 :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przejdź do panelu usuwania programów i odinstaluj śmieci - pdfforge Toolbar v4.6 / AutocompletePro / Conduit Engine / Vuze Remote Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Nigdy więcej tego nie rób. Skrypty są przypisywane pod każdy system inaczej. To, że problem taki sam nie znaczy, ze skrypt taki sam. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Marek\AppData\Local\OpenCandy C:\Users\Marek\AppData\Roaming\OpenCandy :OTL FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-08-23 06:44:47 | 000,001,860 | ---- | M] () -- C:\Users\Marek\AppData\Roaming\Mozilla\Firefox\Profiles\69ozwxsy.default\searchplugins\search.xml O4 - HKU\S-1-5-21-93367126-3452993105-894503575-1000..\Run: [WITaj!] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj sponsoring Conduit Engine oraz uTorrentBar Toolbar 3. Następnie uruchamiasz OTL ponownie, ale nie potrzebujemy tak szerokiego logu jaki dałeś powyżej. Proszę przestawić opcję na "Pliki młodsze niż 30 dni" oraz zaznaczyć "Pomiń pliki Microsoftu". Wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Nie bardzo jest tutaj co odchudzać nawet. Ale po kolei: 1. Drobny skrypt do OTL korygujący rzeczy kosmetyczne i usuwający lokalizacje tymczasowe o zawartości: :Files C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search] "SearchAssistant"=- [HKEY_USERS\S-1-5-21-1243791544-2628696548-3262973355-1000\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Komputer powinien się zrestartować. Logów żadnych nie pokazujesz. 2. System nie ma pliku HOSTS: Hosts file not found Wklej do notatnika taki tekst: # 127.0.0.1 localhost # ::1 localhost Plik zapisz jako hosts bez żadnego rozszerzenia np. na pulpit a następnie skopiuj do folderu C:\Windows\system32\drivers\etc 3. Odinstaluj zbędny vShare.tv plugin 1.3. To wtyczka wątpliwej reputacji: KLIK. 4. Drobne aktualizacje Adobe i Javy do najnowszych wersji: KLIK.

A rzeczywiście opcji folderów nie ma dlatego, że jest polisa nałożona i widać to w logu było, wcześniej nie zauważyłem: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: Nofolderoptions = 1 Tutaj jest prosta sprawa - Wejdź w start >>> Uruchom >>> regedit do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer i przestaw pozycje Nofolderoptions z 1 na 0 Opcje folderów powinny być wtedy dostępne. Folder inf być musi. Spróbuj wejść w mój Komputer i wpisać w pasek adresu ścieżkę C:\Windows\inf Przy okazji sprawdź też czy masz klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestor­e. Jeśli jest to wyeksportuj jego zawartość do pliku tekstowego i załącz tu na forum.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\dD15401KiCfK15401 C:\Users\admin\AppData\Local\Temp*.html :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" IE - HKU\S-1-5-21-2971943543-1819769394-880338243-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [AcronisTimounterMonitor] File not found O4 - HKLM..\Run: [TrueImageMonitor.exe] File not found O4 - HKU\S-1-5-21-2971943543-1819769394-880338243-1003..\Run: [Mzerililunuto] C:\Users\Krystian\AppData\Local\NOKBDU.dll (Agere Systems) F3 - HKU\S-1-5-21-2971943543-1819769394-880338243-1003 WinNT: Load - (C:\Users\Krystian\LOCALS~1\Temp\00e9cd03.com) - C:\Users\Krystian\LOCALS~1\Temp\00e9cd03.com () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel usuwania programów i odinstaluj stamtąd śmieci sponsoringowe - Ask Toolbar / Bigpoint Games PL Toolbar / Conduit Engine / Dealio Toolbar v4.0.2 / Search Settings v1.2.3 / Winamp Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z trybu skanowania.

Spróbuj jeszcze tego - wejdź do katalogu C:\Windows\inf i odnajdź plik sr.inf, kliknij prawym klawiszem myszy w opcję Zainstaluj. Restart komputera i sprawdź czy coś się zmieniło.

Najprościej sprawdzić stan usługi - Start >>> uruchom >>> services.msc i odszukaj usługę "Przywracania systemu" - sprawdź czy jest uruchomiona i czy tryb uruchamiania jest nastawiony na Automatyczny.

Infekcja wygląda na usuniętą więc udało się bezboleśnie na szczęście. Wykonaj jeszcze poniższe czynności: 1. Użyj opcję Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24 Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. Formatuje się wtedy wszystkie partycje, a nie tylko systemową. Chyba, ze masz pewność, że na pozostałych partycjach nie ma plików .exe / .dll / .scr / .html. Pliki tekstowe, muzyka i zdjęcia można sobie zostawić bo za takie pliki ta infekcja się nie bierze. .

Niestety sytuacja jest poważna ponieważ jest tutaj infekcja wirusem Sality, który infekuje pliki .exe na dysku. Jeśli leczenie się nie uda (czasem sie to zdarza) to wtedy zostaje tylko format. Spróbujemy z tym wygrać bez formatu. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services dac970nt :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." [2011-03-13 15:22:10 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\3.14159\Dane aplikacji\Mozilla\Firefox\Profiles\iykgfkpf.default\searchplugins\web-search.xml O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Office Update.lnk = File not found O7 - HKU\S-1-5-21-515967899-606747145-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKU\S-1-5-21-515967899-606747145-725345543-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 @Alternate Data Stream - 72 bytes -> C:\WINDOWS\System32\regsvr32.exe:{4D77E13D-03087F43-1C151343-B96CDAD1} :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Pobierz SalityKiller i wykonaj nim skanowanie dotąd dopóki nic już nie wykryje. 3. Pobierz Sality_RegKeys.zip, rozpakuj i uruchom plik SafeBootWinXP.reg 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać co pokazał raport z SalityKiller.

Logi z DDS niepotrzebne, usuwam je. W logach nie widać aktywnej infekcji. Temat zostaje przeniesiony. W kwestii wolniejszego ładowania systemu - sprawdź czy problem występuje w trybie awaryjnym i na czystym rozruchu: KLIK. Niewykluczone, ze jakąś winę ponosi sama Avira więc można na próbę odinstalować. Jakich programów i jakiej treści są to błędy? Generalnie CCleaner to jest narzędzie dla doświadczonych użytkowników i nie warto "naprawiać" wszystko z automatu to co on pokazuje bo można narobić sobie problemów.

ComboFix NIE, nie przeczytałeś zasad działu. Innych logów tu wymagamy - sporządź raport z OTL

To narzędzie zawsze wykrywa sptd i należy dawać na Skip oczywiście bo to nie jest szkodliwe. W takim razie ja tutaj nie widzę nic do roboty bo logi nie potwierdzają aktywnej infekcji. Do aktualizacji Adobe Reader i Java: KLIK. Jak chcesz to jeszcze można pogadać, nic straconego

Mimo błędów wszystko się wykonało, skróty usunięte, a właściwe foldery uwidocznione. Można przejść do drobniejszych spraw na koniec. 1. Usuń z dysku przenośnego plik należący do infekcji - wyskq6lt.exe 2. Użyj opcji Sprzątanie w OTL. 3. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1033-7B44-A90100000001}" = Adobe Reader 9.0.1 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) Szczegóły aktualizacyjne w tym temacie: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK.

Wszystko gra, infekcja w całości usunięta. Czynności końcowe: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj aktualizacje Firefox i wszystkich wtyczek Adobe: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Dysk przenośny ma być cały czas podpięty teraz. Otwórz Notatnik i wklej do niego taki tekst: J: del /s J:\*.lnk attrib /d /s -s -h J:\* pause Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Patrz czy podczas wykonywania fixa nie było jakichś błędów i wykonaj nowy log z USBFix z tej samej opcji.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\update* C:\WINDOWS\ufa C:\WINDOWS\phoenix C:\WINDOWS\av_ico C:\WINDOWS\phoenix.rar C:\WINDOWS\unrar.exe C:\WINDOWS\ufa.rar C:\WINDOWS\rpcminer.rar C:\WINDOWS\geoiplist.rar C:\WINDOWS\loader2.exe_ok C:\WINDOWS\phoenix.rar C:\WINDOWS\geoiplist C:\WINDOWS\info1 C:\WINDOWS\System32\drivers\etc\hîsts :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.2\svchost.exe"=- :OTL O4 - HKLM..\Run: [MSC] File not found O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico1] File not found O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found :Commands [resethosts] [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Mimo wszystko wklej raporty do wglądu bo to, że nie ma objawów nie znaczy ze wszystko jest naprawione.

To ja tego nie rozumiem w takim razie. Jeśli masz ochotę to jeszcze próbuj z tym usuwaniem. Ode mnie to by było na tyle. Zaktualizuj jeszcze jave do najnowszej wersji Java 7

W logach aktywnej infekcji nie widać. Jeśli chodzi o wykrycia to folder System Volume Information = folder przywracania systemu. Wystarczy je tymczasowo wyłączyć i folder się opróżni: KLIK. Tam często mogą być wykrywane jakieś pozycje niekoniecznie szkodliwe. Nie warto się tym przejmować. No tutaj to raczej fałszywy alarm więc w takich sytuacjach warto dodać takie pliki do wyjątków i już nie będą wykrywane. Dla świętego spokoju możesz jeszcze przeskanować się przez Kaspersky TDSSKiller i zaprezentować raport.