Landuss

Rzeczywiście teraz log już tego nie pokazuje więc musiało się odinstalować z którymś z toolbarów. Przejdźmy w takim razie do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Opróżnij Folder przywracania systemu: KLIK. .

Conduit Engine według logów powinien być widoczny na liście w dodaj/usuń programy: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "conduitEngine" = Conduit Engine No chyba, że odinstalowanie któregoś z Toolbarów było z nim powiązane. Wykonaj ponownie sam log extras. W OTL wszystkie opcje zaznacz na Brak / Żadne zaś opcję "Rejestr - skan dodatkowy" daj na "Użyj filtrowania"

Infekcja została usunięta. Do wykonania kroki końcowe. 1. Użyj opcji Sprzątanie w OTL. 2. Z apletu usuwania programów odinstaluj pozycję Theorica Divx ;-) Codecs (remove only). To pozostałość po fałszywych kodekach, które wprowadziły infekcję. 3. Wykonaj ważne aktualizacje: 64bit- Ultimate Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish Uzupełnij system o SP1+IE9, zaktualizuj Adobe Reader: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. .

W logach nie widać żadnej infekcji, choć nie dałeś obowiązkowego loga z Gmer pod kątem rootkitów. Wykonać tutaj można jedynie czynności kosmetyczne. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (Futuremark SystemInfo Service) SRV - File not found [Auto | Stopped] -- -- (.EsetTrialReset) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaultthis.engineName: "Freecorder Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1060933&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.2 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2010-12-19 14:04:15 | 000,000,000 | ---D | M] (vShare) -- C:\Users\mhj\AppData\Roaming\mozilla\Firefox\Profiles\3k8486e1.default\extensions\vshare@toolbar [2010-10-20 15:40:12 | 000,000,923 | ---- | M] () -- C:\Users\mhj\AppData\Roaming\Mozilla\Firefox\Profiles\3k8486e1.default\searchplugins\conduit.xml [2010-12-19 14:04:37 | 000,001,583 | ---- | M] () -- C:\Users\mhj\AppData\Roaming\Mozilla\Firefox\Profiles\3k8486e1.default\searchplugins\web-search.xml O20 - AppInit_DLLs: ({DLL_Str}) - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych nie pokazujesz. W zamian za to użyj opcji Sprzątanie z OTL. 2. Odinstaluj sklasyfikowany jako obiekt niepożądany wtyczkę vShare Plugin 3. Zaktualizuj Java oraz Adobe Reader: KLIK.

To na pewno nie jest problem infekcji więc temat przenoszę do innego działu. Wstępnie sprawdzić jak się zachowuje system w trybie awaryjnym oraz na czystym rozruchu

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\jushed.exe C:\Documents and Settings\All Users\nircmd.exe C:\Documents and Settings\All Users\operaprefs.ini C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Właściciel\Dane aplikacji\OpenCandy C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Codecs.exe C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\jushed.exe C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\nircmd.exe C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\operaprefs.ini :OTL O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [jushed] C:\Documents and Settings\All Users\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z apletu usuwania programów odinstaluj zbędne paski sponsoringowe - Ask Toolbar / BS_Player Toolbar / Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zamontuj kolejne skrypty bo jeszcze zostały szczątki. Komputer 1 :OTL NetSvcs: rgybgf - File not found Komputer 2 :OTL SRV - File not found [Auto | Stopped] -- -- (tbvtaae) NetSvcs: zrxqhqt - File not found NetSvcs: tbvtaae - File not found Komputer 3 :OTL NetSvcs: srbdfgdfm - File not found Logów żadnych już nie pokazuj. Po tych skryptach wykonaj czynności końcowe: 1. Na każdym z komputerów użyj opcji Sprzątanie z OTL. 2. Zabezpiecz komputery przed infekcjami z mediów przenośnych za pomocą Panda USB Vaccine 3. Wykonaj obowiązkowe aktualizacje (KLIK): Komputer 1: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Komputer 2: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16) Komputer 3: "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) 4. Na każdym z komputerów opróżnij folder Przywracania systemu: KLIK. .

Nie dałeś obowiązkowego loga z Gmer. W OTL nie widać niczego niepokojącego. Bardzo możliwe, że winnym jest ESET NOD32 i sugeruję byś go całkowicie odinstalował. Poza tym odinstaluj zbędne paski sponsoringowe - Ask Toolbar / Conduit Engine / MyAshampoo Toolbar Po tych działaniach wklej nowe logi z OTL i brakujący z Gmer.

Zadanie wykonane i problem powinien zniknąć. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj obowiązkowe aktualizacje: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish "avast" = avast! Free Antivirus Uzupełnij system o SP1+IE9, zainstaluj najnowszą wersję Avast, zaktualizuj Java i Adobe: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Tomek\AppData\Local\Temp*.html :OTL FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011/03/21 18:15:12 | 000,009,980 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\adsefcfs.default\searchplugins\mywebsearch.xml [2011/06/01 15:31:49 | 000,001,860 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\adsefcfs.default\searchplugins\search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

Infekcja zostałą usunięta. Wykonaj poniższe czynności: 1. Użyj opcji Sprzątanie w OTL. 2. Skonfiguruj ręcznie Google Chrome: KLIK 3. Obowiązkowo wykonaj ważne aktualizacje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 23 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish "avast5" = avast! Free Antivirus Uzupełnij system o SP1+IE9, zamontuj najnowszą wersję Avast, zaktualizuj Java i Adobe: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [File_System | Unknown | Running] -- -- (pavboot) IE - HKU\S-1-5-21-1205272132-2967772875-2806619080-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1205272132-2967772875-2806619080-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O4 - HKU\S-1-5-21-1205272132-2967772875-2806619080-1001..\Run: [DAEMON Tools Lite] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

Komputer 1 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System32\xrjsx.dll :Services svrhost rgybgf :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "6486:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom ponownie OTL i tym razem wykonaj nowe log na dodatkowych warunkach - Własne opcje skanowania/Skrypt wklej: netsvcs DIR /A C:\ /C DIR /A D:\ /C DIR /A E:\ /C Kliknij w Skanuj ( nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL. Komputer 2 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives C:\WINDOWS\System32\lnfbwvu.dll :Services tbvtaae :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "5620:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom ponownie OTL i tym razem wykonaj nowe log na dodatkowych warunkach - Własne opcje skanowania/Skrypt wklej: netsvcs DIR /A C:\ /C DIR /A E:\ /C Kliknij w Skanuj ( nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL. Komputer 3 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\system32\btzbflss.dll :Services srbdfgdfm NMIndexingService Harmonogram automatycznej usługi LiveUpdate :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "8912:TCP"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom ponownie OTL i tym razem wykonaj nowe log na dodatkowych warunkach - Własne opcje skanowania/Skrypt wklej: netsvcs DIR /A C:\ /C Kliknij w Skanuj ( nie w Wykonaj skrypt). 4. Prezentujesz nowe logi z OTL.

Infekcja nie usunęła się całkowicie, nie wiadomo dlaczego bo nie wkleiłeś loga z usuwania. Wykonaj kolejny skrypt: :Files C:\Readar_sl.exe :OTL O4 - HKLM..\Run: [Readar_sl] File not found O4 - HKLM..\Run: [TunesHelper] File not found Tym razem nie bedzie restartu. Wklejasz nowy log do oceny.

Zadanie wykonane i możemy przejść do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.4 - Polish Szczegóły aktualizacyjne w tym temacie: KLIK. 4. Opróżnij folder Przywracania systemu: KLIK. 5. Przestrzegam przed bardzo małą ilością wolnego miejsca na partycji systemowej jak i na pozostałych: Drive C: | 10.00 Gb Total Space | 0.63 Gb Free Space | 6.29% Space Free | Partition Type: NTFS Drive D: | 25.00 Gb Total Space | 1.35 Gb Free Space | 5.42% Space Free | Partition Type: NTFS Drive E: | 20.88 Gb Total Space | 2.27 Gb Free Space | 10.88% Space Free | Partition Type: NTFS Szczególnie wazna jest systemowa bo to może sprawiać różne problemy. Do analizy miejsca na dysku można posłużyć się programem SpaceSniffer. Ogólnie to przydałby się tu większy dysk bo obecny na dzisiejsze czasy jest zdecydowania za mały.

Zrobione ale nic nie piszesz czy pomogło. Według logów infekcja została usunięta. Użyj opcji Sprzątanie z OTL oraz opróżnij folder przywracania systemu: KLIK Więcej nie ma tu nic do roboty.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\javaw7.dll sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL IE - HKU\S-1-5-21-248603193-3496684025-1218407902-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2795644" IE - HKU\S-1-5-21-248603193-3496684025-1218407902-1000\..\URLSearchHook: {5570f0a0-580c-4c69-808f-8b2aaa2aa93c} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

Nie posłuchałeś do końca:

1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj kolejno do najnowszych wersji Adobe, Jave, Firefox: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK.

Logi nie są tu potrzebne. SPTD to sterownik wirtualnych napędów np. DAEMON Tools i to często może być tak wykrywane. Temat zamykam.

Logi z OTL powinny być dwa. Opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". Pamiętaj o tym w kolejnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\varsavefile C:\ProgramData\datesavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Adam\AppData\Local\Codecs.exe C:\Users\Adam\AppData\Local\jushed.exe C:\Users\Adam\AppData\Local\nircmd.exe C:\Users\Adam\AppData\Local\operaprefs.ini :OTL O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] File not found O4 - HKU\S-1-5-21-1357091232-1979503739-2924983533-1000..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać żadnej infekcji. Najbardziej podejrzanym wydaje się tu być Kaspersky. Tymczasowo odinstaluj i sprawdź efekty. Spybot też powinien wylecieć. Program przestarzały i nie nadaje się na dzisiejsze czasy ponieważ każdy antywirus właściwie daje to samo co on oferuje.

Infekcja została usunięta. Wykonaj poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj Avasta do najnowszej wersji Avast 6 i przy okazji odinstaluj Spybota. To przestarzały program i zupełnie bezużyteczny w dzisiejszych czasach. Avast oferuje ci to samo i jeszcze więcej. 3. Wyzeruj stan przywracania systemu: KLIK

Logi z OTL prosze poprawić. Mają wyjść dwa logi z tego narzędzia. Podczas skanu opcja "Rejestr - skan dodatkowy" ma być zaznaczona na "Użyj filtrowania". I według spodziewań jest Conficker...

Możliwe, że to infekcja Conficker. Załącz logi z każdego komputera w tym temacie.