Landuss

Kliknij dwa razy myszką na szarej ramce i wszystko wróci do normy.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Zyzik\AppData\Local\Codecs.exe C:\Users\Zyzik\AppData\Local\jushed.exe C:\Users\Zyzik\AppData\Local\nircmd.exe C:\Users\Zyzik\AppData\Local\operaprefs.ini :OTL O3:64bit: - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3:64bit: - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - File not found O4:64bit: - HKLM..\Run: [] File not found O4 - HKCU..\Run: [jushed] C:\ProgramData\jushed.exe ( ) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Z tym toolbarem to jej sprawa, ale on jest oparty na wątpliwej reputacji firmie i takie toolbary zalecamy usuwać. 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj ważne aktualizacje: Internet Explorer (Version = 8.0.6001.19048) "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1033-7B44-A81300000003}" = Adobe Reader 8.1.3 Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Opróżnij folder Przywracania systemu: KLIK. .

Wygląda na to, że wszystkie zadania przebiegły pomyślnie. Teraz można zająć się drobnostkami. 1. Użyj opcji Sprzątanie w OTL. 2. Koniecznie zaktualizuj poniższe oprogramowania do najnowszych wersji: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20 "{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish "avast" = avast! Free Antivirus Szczegóły aktualizacyjne w tym temacie: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK.

Nie wkleiłeś obowiązkowego loga z GMER przeciwko infekcji rootkit a przydałby się w tym wypadku. Oprócz infekcji qooqlle prawdopodobnie jest tutaj też rootkit w MBR, ponieważ OTL pokazuje wzmożoną aktywność na serii portów co jest charakterystyczne dla tej infekcji: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "4476:TCP" = 4476:TCP:*:Enabled:Services "7452:TCP" = 7452:TCP:*:Enabled:Services "6238:TCP" = 6238:TCP:*:Enabled:Services "8425:TCP" = 8425:TCP:*:Enabled:Services "5285:TCP" = 5285:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop "65533:TCP" = 65533:TCP:*:Enabled:Services "52344:TCP" = 52344:TCP:*:Enabled:Services "4476:TCP" = 4476:TCP:*:Enabled:Services "7452:TCP" = 7452:TCP:*:Enabled:Services "6238:TCP" = 6238:TCP:*:Enabled:Services "8425:TCP" = 8425:TCP:*:Enabled:Services "5285:TCP" = 5285:TCP:*:Enabled:Services 1. Uruchom narzędzie Kaspersky TDSSKiller i kiedy wykryje infekcję rootkitem zaznacz opcję Cure (leczenie). Program wykryje też sterownik Daemona sptd, ale przy tej pozycji zaznacz Skip (pomiń). 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\nircmd.exe C:\Documents and Settings\ABC\Ustawienia lokalne\Dane aplikacji\Codecs.exe C:\Documents and Settings\ABC\Ustawienia lokalne\Dane aplikacji\jushed.exe C:\Documents and Settings\ABC\Ustawienia lokalne\Dane aplikacji\nircmd.exe C:\Documents and Settings\ABC\Ustawienia lokalne\Dane aplikacji\operaprefs.ini :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "3389:TCP"=- "65533:TCP"=- "52344:TCP"=- "4476:TCP"=- "7452:TCP"=- "6238:TCP"=- "8425:TCP"=- "5285:TCP"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3389:TCP"=- "65533:TCP"=- "52344:TCP"=- "4476:TCP"=- "7452:TCP"=- "6238:TCP"=- "8425:TCP"=- "5285:TCP"=- :OTL IE - HKCU\..\URLSearchHook: {F4F10C1D-87C7-404A-B4B3-000000000000} - Reg Error: Key error. File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Odinstaluj zbędne paski sponsoringowe - DAEMON Tools Toolbar / VMN Toolbar / Vuze Remote Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, raport z Kaspersky TDSSKiller oraz log z Gmer.

W logach brak śladów infekcji. I w nieprawidłowych warunkach ponieważ działa emulacja sptd: DRV - [2011-05-27 13:55:08 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) Nie doczytałeś w ogłoszeniach o jej zdjęciu przed skanowaniem Gmer. Nie ma tu nic do roboty ale zaktualizuj koniecznie IE do stanu Internet Explorer 8. To bardzo ważne dla samego systemu bo obecnie masz dziurę.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Paulina\AppData\Local\Temp*.html C:\Users\Paulina\AppData\Roaming\dwm.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O20 - HKU\S-1-5-21-3625358128-1234752306-1585654895-1003 Winlogon: Shell - (C:\Users\Paulina\AppData\Roaming\dwm.exe) - C:\Users\Paulina\AppData\Roaming\dwm.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwania programów odinstaluj zbędny ArchiBar Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Ale ja cie nie prosiłem o logi i nie wklejaj ich jeśli nie jesteś proszony. Ja chce abyś napisał czy po odinstlowaniu NODa problem ustąpił.

Twój temat przypinam do poprzedniego bo niedawno tu byłeś. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\zadzior.INSERT-AD\AppData\Local\nircmd.exe C:\Users\zadzior.INSERT-AD\AppData\Local\Codecs.exe C:\Users\zadzior.INSERT-AD\AppData\Local\jushed.exe C:\Users\zadzior.INSERT-AD\AppData\Local\operaprefs.ini :Reg [HKEY_USERS\S-1-5-21-3615094823-408034502-490524608-1232\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Po logach nie jestem w stanie stwierdzić czy jest u ciebie infekcja w plikach .exe. Czasami bywają pewne znaki pośrednie ale u ciebie takowych nie widać w logach. Po prostu przeskanuj się z zewnątrz dla pewności z bootowalnej płytki Kaspersky Rescue Disk. O wynikach poinformuj.

Według loga z OTl usługa Windows Defender jest wyłączona: SRV:[b]64bit:[/b] - [2009-07-14 03:41:27 | 001,011,712 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend) Start > w polu szukania wpisz Uruchom > cmd > wklep sc config WinDefend start= auto /C Restart komputera i sprawdź efekty.

Infekcja została usunięta, ale nic nie piszesz czy problem ustąpił? 1. Wklej do OTL skrypt kosmetyczny: :OTL O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-2929644330-1202370888-2407464046-1001\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O3 - HKU\S-1-5-21-2929644330-1202370888-2407464046-1001\..\Toolbar\WebBrowser: (no name) - {081230F8-EA50-42A9-983C-D22ABC2EED3B} - No CLSID value found. Kliknij w Wykonaj skrypt. Tym razem nie będzie restartu. Logów żadnych nie pokazujesz. Następnie użyj opcji Sprzątanie z OTL. 2. Wykonaj aktualizację Javy zarówno 32 jak i 64-bitowej: KLIK. 3. Na koniec wyzeruj Przywracanie systemu poprzez tymczasowe wyłączenie: KLIK.

Infekcja pomyślnie usunięta. Do wykonania poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj konieczną aktualizacje - Windows 7 Service Pack 1 + Internet Explorer 9 3. Wyzeruj stan przywracania systemu: KLIK

Ten log nic nam nie daje. Tak jak mówię należy sprawdzić NODa.

Nie wkleiłeś obowiązkowego loga z Gmer. W dodatku był tu używany ComboFix i ani słowa o tym nie wspominasz. Powinieneś pokazać też z niego log aby było wiadomo co narobił. W logach z OTL brak śladów infekcji. Pierwszy podejrzany to ESET NOD32. Odinstaluj go i sprawdź czy problem ustąpił.

Twój błędny post w cudzym temacie został usunięty. Infekcja też została usunięta więc można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj Javę (32-bit i 64-bit) oraz Adobe do najnowszych wersji: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK. To jest infekcja wchodząca głównie z Torrentów i na to musisz uważać. Pobieranie z niepewnych źródeł pseudo paczek właśnie często tak się kończy.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\tasks\Sxjlbskqn.job sc config wscsvc start= delayed-auto /C sc start wscsvc /C :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj sklasyfikowany jako szkodliwy vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wstępnie zastosuj Narzędzie analizy gotowości aktualizacji systemu i zaprezentuj wynikowy checksur.log: KLIK.

Infekcja została usunięta i już nie powinno być problemu. 1. Użyj opcji Sprzątanie w OTL. 2. Zaktualizuj oprogramowanie: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A91000000001}" = Adobe Reader 9.1 - Polish Uzupełnij SP1+IE9 dla Windows, pozostałe programy unowocześnij: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK.

To nie wygląda na żadne wirusy, logi są czyste pod tym względem. Temat przeniesiony zostanie do innego działu. Drobne uwagi na podstawie logów: 1. Wykonaj skrypt kosmetyczny do OTL, usuwający drobne śmieci o takiej zawartości: :Files C:\Users\misiek\AppData\Local\Temp*.html :OTL IE - HKU\S-1-5-21-2227296684-2325603075-1958964358-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.11.3.15590 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-04-19 21:15:43 | 000,000,000 | ---D | M] (Nero Toolbar) -- C:\Users\misiek\AppData\Roaming\mozilla\Firefox\Profiles\33vrko3n.default\extensions\toolbar@ask.com [2011-01-29 19:33:05 | 000,000,000 | ---D | M] (vShare) -- C:\Users\misiek\AppData\Roaming\mozilla\Firefox\Profiles\33vrko3n.default\extensions\vshare@toolbar O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Klikasz w Wykonaj skrypt. Logów żadnych pokazywać już nie musisz. 2. Odinstaluj z apletu usuwania programów wątpliwej reputacji pasek sponsoringowy Ask Toolbar 3. Zaktualizuj oprogramowanie: 64bit- Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstation Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java 6 Update 16 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java 6 Update 24 "{AC76BA86-7AD7-1045-7B44-A92000000001}" = Adobe Reader 9.2 - Polish "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Windows 7 Service Pack 1 + Internet Explorer 9 / Java 6 Update 25 (w tym wersja 64-bit) / Adobe Reader X / Mozilla 4.0.1 W kwestii ścinania filmów, czy tak się dzieje na każdym odtwarzaczu? Sprawdź sytuację w trybie awaryjnym. Możliwe, że wina leży w kodekach. Posiadasz też ich nie najnowszą wersję: "KLiteCodecPack_is1" = K-Lite Codec Pack 6.8.0 (Full) Zalecana aktualizacja do K-Lite Codec Pack 7.1.8

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Majka\AppData\Local\icb.exe C:\Users\Majka\AppData\Local\bgl.exe C:\ProgramData\1r7h62i6lioq8 C:\Users\Majka\AppData\Local\1r7h62i6lioq8 :OTL O35 - HKU\S-1-5-21-2862801150-2561825180-1864955066-1000..exefile [open] -- "C:\Users\Majka\AppData\Local\icb.exe" -a "%1" %* () O37 - HKU\S-1-5-21-2862801150-2561825180-1864955066-1000\...exe [@ = exefile] -- "C:\Users\Majka\AppData\Local\icb.exe" -a "%1" %* () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W dzienniku jest powtarzający się błąd: Error - 2011-05-22 11:16:32 | Computer Name = AKO | Source = Disk | ID = 262155 Description = Sterownik wykrył błąd kontrolera na \Device\Harddisk0\D. To może świadczyć o problemie ze sprzętem i do takiego też działu wędruje temat. Zapoznaj się z wymaganiami działu co masz podać dla informacji: KLIK

W logach nie widać śladu infekcji, zaś to może wyglądać na problem sprzętowy. BSODY głównie na jądrze Windows. Czy sprawdzałeś czy w trybie awaryjnym też występuje problem? Warto też sprawdzić zachowanie systemu na czystym rozruchu. Temat na razie zostaje przeniesiony do działu Hardware (bez logów skoncentrowanych na malware). Zapoznaj się z informacjami jakie należy podać w tym dziale: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\Liesmith\AppData\Local\Codecs.exe C:\Users\Liesmith\AppData\Local\jushed.exe C:\Users\Liesmith\AppData\Local\nircmd.exe C:\Users\Liesmith\AppData\Local\operaprefs.ini :Reg [HKEY_USERS\S-1-5-21-3472702258-1565098801-265929518-1000\Software\Microsoft\Windows\CurrentVersion\Run] "jushed"=- "AdobeBridge"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać śladów aktywnej infekcji. Jedynie mogę zwrócić na mała ilość wolnego miejsca na partycj isystemowej: Drive C: | 19,53 Gb Total Space | 1,74 Gb Free Space | 8,88% Space Free | Partition Type: NTFS To może niezdrowo wpływać na prace systemu. Wyczyść lokalizację tymczasowe za pomocą TFC - Temp Cleaner oraz wyzeruj stan przywracania systemu: KLIK. W ten sposób odzyskasz trochę miejsca. Warto zrobić defragmentację dysku. Polecam też program SpaceSniffer. do weryfikacji miejsca na dysku.