Landuss

Jeszcze dla pewności przeskanuj się narzędziem Kaspersky TDSSKiller i załącz raport.

To nie wygląda na prawdziwa infekcję. Część to obiekty w przywracaniu systemu, obiekty tymczasowe oraz szczątki po używaniu checkdiska więc generalnie olać.

Logi z OTL mają być dwa otl.txt oraz extras.txt. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania". Poza tym brakuje loga na okoliczność rootkitów. Wykonaj więc wymagany log z Gmer uprzednio wyłączając wirtualne napędy tak jak to opisane w linku. Do wykonania punkt 5 z tego tematu: KLIK To niekoniecznie musi być prawda. Jak będziesz robił poprawnie logi z OTL to wykonaj dodatkowy warunek i w oknie Własne opcje skanowania/Skrypt wklej: /md5start regedit.exe /md5stop Klik w Skanuj (a nie Wykonaj skrypt!) i przedstaw wyniki.

Przywracanie systemu nie ma tu nic do rzeczy bo stamtąd nic nie wyjdzie dopóki jak sama nazwa wskazuje nie przywrócimy systemu wstecz, a więc dopóki nie skorzystamy z tej usługi. Przywracanie to wyłączymy na koniec aby usunąć kopie zapasowe szkodników. Jeśli dobrze widze to infekcja na ten moment nie wróciła, ostał się tylko ten pusty wpis, który od początku nie chce się usunąć: F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) - File not found Spróbuj ciachnąć go za pomocą Autoruns Następnie wykonaj kroki końcowe: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Arczi\Pulpit\ComboFix.exe" /uninstall To polecenie usunie ComboFix oraz wyzeruje przywracanie systemu. 2. Zaktualizuj obowiązkowo oprogramowanie: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish System musi uzyskać status SP3+IE8, zaś Adobe Reader zaktualizuj: KLIK. 3. Przeskanuj się jeszcze jakimś skanerem.

Pendrive można zabezpieczyć za pomocą Panda USB Vaccine

Nie widać tu w logach żadnej infekcji. Czy w trybie awaryjnym masz ten sam problem?

Logi są już czyste. Wszystkie programy które nie działają trzeba przeinstalować. Autorun.inf to folder od Flasha i nie ruszać. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje Firefox i Java: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK Szczerze przeciwko tego typu infekcji nic ci nie pomoże.

Teraz usuwanie widocznych składników infekcji Ramnit. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files RECYCLER /alldrives C:\Program Files\tmp C:\Program Files\qvcrwxmv C:\WINDOWS\Explorermgr.exe C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\ycqehxvm.exe :OTL O4 - Startup: C:\Documents and Settings\Gość\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk = File not found O4 - Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk = File not found O4 - Startup: C:\Documents and Settings\Piotrek\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk = File not found O4 - Startup: C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\OpenOffice.org 3.2.lnk = File not found O4 - Startup: C:\Documents and Settings\Łukasz\Menu Start\Programy\Autostart\_uninst_setup_9.0.0.722_15.03.2011_11-34.exe.lnk = File not found O20 - HKU\S-1-5-21-3614301067-3735903703-1857856840-1006 Winlogon: Shell - (C:\Documents and Settings\Maciek\xvlof.exe) - File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To teraz wykonaj jeszcze czynności końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 Szczegóły rozpisane tutaj: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK Temat jako rozwiązany zamykam.

Pomogło napewno bo w logu już nic nie ma. Mówię - przeglądarki nieraz trzeba samemu skonfigurować ustawiając je ręcznie tak jak np. Google Chrome i dałem ci linka. IE został naprawiony skryptem. Potwierdź ze jest dobrze to przejdziemy do działań końcowych.

Generalnie skanuj się dotąd dopóki nic nie wykryje. To ciężka infekcja. Kiedy nic już nie będzie wykrywane sporządź logi z OTL + Gmer.

W logach nie ma śladu infekcji, ale przy Sality nie można być niczego pewnym. Takiej infekcji zresztą w logach nie widać gdyż jest w kodzie plików i to co widać to tylko znaki poboczne infekcji. U ciebie niczego takiego nie widzę. SDFixa to nie używaj już nigdy bo to program przestarzały i już dawno nierozwijany. BTW: Zaktualizuj koniecznie IE oraz system - Service Pack 3 + Internet Explorer 8

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O4 - HKU\S-1-5-21-823518204-2139871995-839522115-1003..\Run: [Core Temp] File not found F3 - HKU\S-1-5-21-823518204-2139871995-839522115-1003 WinNT: Load - (c:\documents and settings\arczi\dane aplikacji\eli_321.exe) - File not found [2011-03-29 22:22:34 | 000,000,302 | -HS- | M] () -- C:\WINDOWS\Tasks\Rqbalzp.job [2011-03-29 22:22:26 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2011-03-29 22:25:00 | 000,000,234 | -H-- | M] () -- C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Smss.exe to jeden z najważniejszych plików systemowych. Nie ruszać. Wykonaj na koniec poniższe zalecenia: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj obowiązkowo oprogramowanie: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.19019) "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish "Mozilla Firefox (3.5.18)" = Mozilla Firefox (3.5.18) uzupełnij system o SP2+IE9, pozostałe zaktualizuj: KLIK. 3. Finalnie wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1202660629-1757981266-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O3 - HKU\S-1-5-21-1202660629-1757981266-682003330-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found. O4 - HKLM..\Run: [GEST] File not found O4 - HKLM..\Run: [system] C:\Documents and Settings\Paweł\Dane aplikacji\System.exe () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj pasek sponsoringowy DAEMON Tools Toolbar 3. Skonfiguruj ręcznie Google Chrome: KLIK 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie ma aktywnej infekcji, ale wykonaj skrypt kosmetyczny usuwający drobne odpadki. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1755751597-3586132528-3806855255-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2645238" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2611275&SearchSource=3&q={searchTerms}" [2011-03-28 18:58:26 | 000,000,000 | ---D | M] (ZoneAlarm Community Toolbar) -- C:\Users\justyna\AppData\Roaming\mozilla\Firefox\Profiles\s39dpnzz.default\extensions\{66f2e20d-0da8-4c11-a9c8-dd8477b88acd} [2011-03-23 12:15:12 | 000,000,861 | ---- | M] () -- C:\Users\justyna\AppData\Roaming\Mozilla\Firefox\Profiles\s39dpnzz.default\searchplugins\conduit.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w panel sterowania > programy i funkcje i odinstaluj zbędny ZoneAlarm Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja usunięta a jeśli ci chodzi o Google Chrome to musisz sam sobie je skonfigurować bo logi tego nie wyłapują. Tu masz opis: KLIK Poza tym wykonaj końcowe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Zaktualizuj obowiązkowo oprogramowanie: Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1033-7B44-A81100000003}" = Adobe Reader 8.1.1 "Mozilla Firefox (3.6.3)" = Mozilla Firefox (3.6.3) Szczegóły aktualizacyjne tutaj: KLIK. 3. Wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- -- (iPod Service) IE - HKCU\..\URLSearchHook: {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - Reg Error: Key error. File not found [2008-03-26 00:23:32 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\r3nkuxij.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1} [2010-05-27 10:59:58 | 000,000,000 | ---D | M] (Zynga Toolbar) -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\r3nkuxij.default\extensions\{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2010-12-07 22:02:28 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\r3nkuxij.default\extensions\vshare@toolbar [2009-10-20 21:23:55 | 000,002,234 | ---- | M] () -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\r3nkuxij.default\searchplugins\askcom.xml [2011-03-29 18:12:23 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\r3nkuxij.default\searchplugins\search.xml [2011-02-11 23:33:03 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\bartek\Dane aplikacji\Mozilla\Firefox\Profiles\r3nkuxij.default\searchplugins\web-search.xml O4 - HKLM..\Run: [KernelFaultCheck] File not found [2011-03-25 00:16:15 | 000,311,296 | RHS- | C] (Created with WinAutomation ("http://www.WinAutomation.com")) -- C:\Documents and Settings\bartek\Dane aplikacji\Readar_sl.exe [2011-03-25 01:09:55 | 008,180,224 | RHS- | M] () -- C:\Documents and Settings\All Users.WINDOWS\TunesHelper.exe :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wejdź w Panel sterowania > dodaj/usuń programy i odinstaluj vShare Plugin 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Jakiś dziwny ten log, jakby ucięty albo niepełny. Może przeskanuj się jakimiś skanerami, może one więcej zobaczą. Wykonaj skanowanie za pomocą Dr. Web CureIt oraz Kaspersky Removal Tool Zaprezentuj z nich raporty oraz załącz nowe logi z OTL.

ComboFix to nie jest log, o który tutaj prosimy. Wklej zgodnie z zasadami logi z OTL + Gmer: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1214440339-1220945662-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=15003&l=dis" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=616163" FF - prefs.js..browser.search.selectedEngine: "Ask.com" [2011-03-29 00:24:24 | 000,002,557 | ---- | M] () -- C:\Documents and Settings\karas\Dane aplikacji\Mozilla\Firefox\Profiles\s7ozae51.default\searchplugins\askcom.xml O3 - HKU\S-1-5-21-1214440339-1220945662-839522115-1003\..\Toolbar\ShellBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1214440339-1220945662-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [upwin] C:\WINDOWS\IEcNet.exe (SuKr CO. LTD.) O4 - HKLM..\Run: [WOOTASKBARICON] File not found O4 - HKU\S-1-5-21-1214440339-1220945662-839522115-1003..\Run: [] File not found O4 - HKU\S-1-5-21-1214440339-1220945662-839522115-1003..\Run: [ZE18MW23GY] File not found O7 - HKU\S-1-5-21-1214440339-1220945662-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoFolderOptions = 1 O7 - HKU\S-1-5-21-1214440339-1220945662-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O20 - HKLM Winlogon: Shell - ("C:\WINDOWS\eksplorasi.exe") - File not found [2010-10-27 14:26:17 | 000,274,432 | RHS- | C] ( ) -- C:\Documents and Settings\karas\Dane aplikacji\vret.exe [2011-03-29 00:29:05 | 000,000,282 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2011-01-17 13:58:06 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\karas\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin [2011-01-17 13:52:44 | 000,012,407 | ---- | C] () -- C:\Documents and Settings\karas\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

CO znaczy, że Kaspersky nie chce sie otworzyć? Spróbuj zmienić mu nazwę . OTL mi nie potrzebny bo pokazuje te samą infekcje a jej usuwanie mija sie z celem gdyż to zaraz wraca i trzeba znaleźć źródło.

Wykonuj skanowanie dotąd dopóki nic nie wykryje Kaspersky. Jeśli to się stanie to może wyjdziemy z tego. Gdy już nic nie zostanie wykryte sporządź nowe logi z OTL i Gmer.

A po co w ogóle ruszasz ComboFix? Tego się nie stosuje tak bez potrzeby. I to nie jest program ani do wykrywania rootkitów ani tym bardziej do wykonywania loga. To jest dezynfektor ciężkich infekcji i to co on ci mówi o niby rootkicie wcale nie musi być prawdą. Do rootkitów powinieneś pokazać log z Gmer, oraz sporządzić logi z OTL. Uzupełnij to wszystko i ocenimy czy rzeczywiście jest coś tutaj. Konsole zamontował ComboFix. Wejdź do panelu sterowania > opcje folderów > zakładka Widok i zaptaszkuj opcje "pokaz ukryte pliki i foldery" oraz odptaszkuj opcje "Ukryj chronione pliki systemu Windows". Następnie wejdź na dysk C i otwórz w Notatniku plik boot.ini i wymaż w nim takie linie: C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug Zatwierdź zmiany, zrestartuj komputer i powinno być już dobrze.

Skasowałem duplikat tematu. W logach nie widać żadnej infekcji. Wykonaj tylko skrypt usuwający kosmetyczne odpadki po Web Search i vShare oraz opróżnianie lokalizacji tymczasowych. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1214440339-1606980848-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" [2011-03-28 17:57:27 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Witajcie\Dane aplikacji\Mozilla\Firefox\Profiles\9l7l327b.default\extensions\vshare@toolbar [2011-03-27 22:42:19 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Witajcie\Dane aplikacji\Mozilla\Firefox\Profiles\9l7l327b.default\searchplugins\web-search.xml :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Logów żadnych nie pokazujesz. Ewentualne problemy ze stronami internetowymi można by wiązać z oprogramowaniem ESET więc w razie ponownego wystąpienia tego efektu należy sprawdzić właśnie jego. BTW: Zaktualizuj sobie Firefoxa (KLIK)