Landuss

Infekcja została usunięta. Wykonaj jeszcze poniższe czynności: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.6.17)" = Mozilla Firefox (3.6.17) Niezbędna instalacja SP3+IE8 plus aktualizacja pozostałych aplikacji: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje - Windows 7 Service Pack 1 + Internet Explorer 9 3. Na koniec wyzeruj stan przywracania systemu: KLIK

Poprawiłeś logi i według nich skrypt niewykonany. Był z tym jakiś problem? Prosze ponowić czynność.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Dla pewności wklej nowe logi i przejdziemy do czynności końcowych.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-05-17 08:02:11 | 000,001,860 | ---- | M] () -- C:\Users\prv\AppData\Roaming\Mozilla\Firefox\Profiles\mqfcb0ww.default\searchplugins\search.xml [2011-05-15 14:07:23 | 000,311,296 | RHS- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Users\prv\AppData\Roaming\Readar_sl.exe [2011-04-01 18:25:46 | 000,000,000 | ---D | M] -- C:\Users\prv\AppData\Roaming\Babylon :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy uTorrentBar Toolbar oraz Conduit Engine 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja pomyślnie usunięta. Wykonaj poniższe końcowe zalecenia: 1. Użyj opcji Sprzątanie w OTL. 2. Wykonaj obowiązkowe aktualizacje, czyli pakiet SP3 i najnowszy Firefox: KLIK. 3. Wyzeruj stan Przywracania systemu: KLIK. Ta infekcja najczęściej wchodzi z Torrentów więc uważaj co pobierasz. To normalne zjawisko. Aby nadal uzyskiwać log extras trzeba ustawić opcję "Rejestr - skan dodatkowy" na "Użyj filtrowania". Ten log w tym przypadku nie jest nam już do niczego potrzebny.

Jesli założyłeś temat w tym dziale nie obejdzie się bez pokazania logó z twojego systemu. Wykonaj i zaprezentuj raporty z narzędzi OTL + GMER

Najlepiej za darmo i lekkie - Avira / Panda Cloud / Microsoft Security Essentials

Logi z OTL powinny wyjść dwa. Brakuje loga extras.txt. Podczas skanowania opcja Rejestr - skan dodatkowy ma być ustawiona na "Użyj filtrowania" W tym logu nie widać śladów infekcji, natomiast jest dużo zbędnych toolbarów i innych drobnych śmieci. 1. Spróbuj sprawdzić rozszerzenia explorera. W tym celu skorzystaj z narzędzia ShellExView a następnie wyłącz wszystkie pozycje zaznaczone na kolor różowy. Restart komputera i sprawdź efekty. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Users\Kasia\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\3.bin [2011/02/12 11:06:25 | 000,000,000 | ---D | M] IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = "http://alawar.pl" IE - HKLM\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - Reg Error: Key error. File not found IE - HKU\Kasia_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = "http://lig.asksearch.com/?cfg=2-355-0-2AiV9" IE - HKU\Kasia_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Restore = "http://alawar.pl" IE - HKU\Kasia_ON_C\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Odinstaluj z apletu usuwania programów następujące pozycje - Conduit Engine / MyWebSearch / Alawar.com Toolbar / Google Toolbar / Softonic-Polska Toolbar / Recfree1.com Toolbar 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać jakie efekty daje polecenie z punktu 1.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Program Files\Temp C:\Program Files\Temporary :Services cpudriver :Reg [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Theorica Divx ;-) Codecs] :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=w7th2&s={searchTerms}&f=4" IE - HKU\S-1-5-21-1960408961-1788223648-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" [2011-05-11 19:17:45 | 000,002,048 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\fcmdSrchw7th2.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Mateusz\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () O7 - HKU\S-1-5-21-1960408961-1788223648-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 [2011-05-14 21:36:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\Conduit [2011-05-14 12:25:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mateusz\Ustawienia lokalne\Dane aplikacji\searchplugins [2011-05-12 17:21:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Mateusz\Dane aplikacji\facemoods.com [2011-05-12 18:03:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Ola\Dane aplikacji\facemoods.com :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z Gmer

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1454471165-813497703-725345543-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-05-16 19:47:21 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\Mumin\Dane aplikacji\Mozilla\Firefox\Profiles\3jy5dsv6.default\searchplugins\search.xml O4 - HKLM..\Run: [Readar_sl] C:\Documents and Settings\Mumin\Dane aplikacji\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\Documents and Settings\All Users\TunesHelper.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zacznij od odinstalowania Comodo wstępnie i sprawdź jakie są efekty. Jeśli to on stanowi problem poradzimy coś innego na zamiane.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\nircmd.exe C:\ProgramData\jushed.exe C:\ProgramData\operaprefs.ini C:\Users\Paweł\AppData\Local\Codecs.exe C:\Users\Paweł\AppData\Local\jushed.exe C:\Users\Paweł\AppData\Local\nircmd.exe C:\Users\Paweł\AppData\Local\operaprefs.ini C:\Users\Paweł\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0b91d916-dbf4-11dd-8bd3-0014c2d6b5f8}] :OTL O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne paski - Google Toolbar / DAEMON Tools Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\ProgramData\jushed.exe C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\Users\hp\AppData\Local\Codecs.exe C:\Users\hp\AppData\Local\jushed.exe C:\Users\hp\AppData\Local\nircmd.exe C:\Users\hp\AppData\Local\operaprefs.ini C:\Users\hp\AppData\Local\Temp*.html :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "jushed"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :OTL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie widać infekcji. Pierwszy podejrzany na spowolnienie to niestety Comodo więc to jego należy sprawdzić pod tym kątem.

Prosze nie wykonywać cudzych skryptów tylko ten który ci podałem bo jak widzisz on się nieco różni i nie wszystko zostało usunięte to co podałem. Dla każdego przypadku skrypt pisze się osobno.

A gdzie drugi log z OTL? Niepoprawnie go skonfigurowałeś. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na "Uzyj filtrowania" Wykonaj to następnym razem. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\nircmd.exe C:\ProgramData\operaprefs.ini C:\ProgramData\timerxfile C:\ProgramData\datesavefile C:\ProgramData\varsavefile C:\Users\Neton\AppData\Local\Codecs.exe C:\Users\Neton\AppData\Local\nircmd.exe C:\Users\Neton\AppData\Local\operaprefs.ini :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3047449453-2165917257-3169288533-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2011-03-21 17:08:28 | 000,000,919 | ---- | M] () -- C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\tgwhtygh.default\searchplugins\conduit.xml [2011-05-12 06:10:07 | 000,001,860 | ---- | M] () -- C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\tgwhtygh.default\searchplugins\search.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [eRecoveryService] File not found O4 - HKLM..\Run: [Readar_sl] C:\Users\Kasia\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () [2011-05-08 21:35:46 | 000,000,000 | ---D | C] -- C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011-05-08 21:35:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Theorica Divx ;-) Codecs [2011-05-08 21:35:39 | 000,000,000 | ---D | C] -- C:\Program Files\Theorica Divx ;-) Codecs :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Theorica Divx ;-) Codecs] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędny pasek gry Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja usunięta, do wykonania poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 8.0.6001.19048) "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) Szczegóły aktualizacyjne w tym wątku: KLIK. 3. Na koniec wyzeruj stan przywracania systemu: KLIK

To pobierz go raz jeszcze i sporządź kontrolne logi.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.yahoo.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = "http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = "http://us.rd.yahoo.com/customize/ie/defaults/cs/msgr9/*http://www.yahoo.com/ext/search/search.html" IE - HKU\S-1-5-21-1993679506-2260695406-3402478088-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-02-03 23:07:04 | 000,000,000 | ---D | M] (RadioBar Toolbar) -- C:\Users\M. Szczepaniak\AppData\Roaming\mozilla\Firefox\Profiles\yqtehk5x.default\extensions\radiobar@toolbar [2011-04-16 18:21:39 | 000,000,000 | ---D | M] (vShare) -- C:\Users\M. Szczepaniak\AppData\Roaming\mozilla\Firefox\Profiles\yqtehk5x.default\extensions\vshare@toolbar [2009-09-29 21:13:56 | 000,009,941 | ---- | M] () -- C:\Users\M. Szczepaniak\AppData\Roaming\Mozilla\Firefox\Profiles\yqtehk5x.default\searchplugins\mywebsearch.xml [2011-05-10 13:12:16 | 000,001,860 | ---- | M] () -- C:\Users\M. Szczepaniak\AppData\Roaming\Mozilla\Firefox\Profiles\yqtehk5x.default\searchplugins\search.xml [2011-04-16 18:21:56 | 000,001,583 | ---- | M] () -- C:\Users\M. Szczepaniak\AppData\Roaming\Mozilla\Firefox\Profiles\yqtehk5x.default\searchplugins\web-search.xml O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - File not found O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-1993679506-2260695406-3402478088-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [Readar_sl] C:\Users\M. Szczepaniak\AppData\Roaming\Readar_sl.exe (Created with WinAutomation ("http://www.WinAutomation.com")) O4 - HKLM..\Run: [TunesHelper] C:\ProgramData\TunesHelper.exe () O4 - HKU\S-1-5-21-1993679506-2260695406-3402478088-1001..\Run: [] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj zbędne paski - DAEMON Tools Toolbar / Yahoo! Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Tak, jest infekcja iastor.sys czyli rootkit TDL3 - infekcja w sterownikach a nie w MBR. A więc tak jak zaleciłem zastosuj Kasperskyego z opcją Cure (leczenie) i zaprezentuj log.

To jest właśnie też jeden ze znaków, że masz modyfikowany Windows. Możliwe, że w tym pliku coś było grzebane, nie zgadza się suma kontrolna i ComboFix wtedy tak to pokazuje. Mówisz, że wykonałeś wszystko ale czy problem został rozwiązany?

Gdyby z Gmerem był problem możesz sporządzić log z Kaspersky TDSSKiller. Gdy coś wykryje ustaw opcję Skip i wklej tylko raport do oglądnięcia.