Landuss

W logach nie ma aktywnej infekcji. To co znalazł MBAM to w przywracaniu systemu więc nie istotne. Nawet nie wiadomo czy to coś szkodliwego bo przywracanie zmienia nazwę pliku.

Jest dobrze, wykonaj jeszcze poniższe drobnostki. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\users\AndIrm\Downloads\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL.

Czekamy jeszcze na log z Gmer. Jeśli jest jakiś problem w tym samym linku jest zamiennie program RootRepeal. Przechodzimy do usuwania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\gOgGl01829 C:\Users\AndIrm\AppData\Local\Temp*.html :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe -- (hpqwmiex) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\AndIrm\AppData\Local\Temp\OnlineScanner\Anti-Virus\fsgk.sys -- (F-Secure Standalone Minifilter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\AndIrm\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive) DRV - File not found [Kernel | Auto | Stopped] -- C:\Program Files\HP\QuickPlay\000.fcl -- ({22D78859-9CE9-4B77-BF18-AC83E81A9263}) O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O9 - Extra 'Tools' menuitem : Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - Reg Error: Value error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Nie ma żadnych trojanów. Przecież gdyby były to w logach byśmy to tak samo wychwycili. Temat uznaję za rozwiązany i zamykam.

Nadal jednak nie odinstalowałeś tego co pisałem wyżej. Poza tym wygląda, że jest dobrze. Wykonaj poniższe czynności: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\All Users\Dokumenty\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL

Sytuacja wygląda na opanowaną. Wykonaj poniższe czynności: 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\Junior\Pulpit\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL 3. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 "Mozilla Firefox (3.5.16)" = Mozilla Firefox (3.5.16) Szczegóły w tym temacie: INSTRUKCJE.

Sytuacja uległa poprawie, ale jeszcze nie do końca bo wróciła infekcja z mediów przenośnych. Montuj kolejny skrypt do OTL: :Services amsint32 :Files C:\crln.exe autorun.inf /alldrives veorcb.exe /alldrives RECYCLER /alldrives jnsx.pif /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptytemp] Wykonujesz to samo co poprzednio i wklejasz nowe logi z OTL i USBFix do oceny.

Szczepionka ma wyleczyć zarażone pliki.exe o ile jest to możliwe. Przy czym nie jest powiedziane, ze to się powiedzie bo to trudna infekcja. Czekamy aż wykonasz dalsze punkty i wkleisz nowe wymagane logi abyśmy mogli przejść dalej i zobaczyć na czym stoimy.

1. Z poziomu dodaj/usuń programy odinstaluj następujące śmieci - Conduit Engine / uTorrentBar Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Klaudia\USTAWI~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132) DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O4 - HKLM..\Run: [snuvcdsm] C:\WINDOWS\snuvcdsm.exe () O4 - Startup: C:\Documents and Settings\Klaudia\Menu Start\Programy\Autostart\cityconnect.lnk = File not found [2010-12-22 06:59:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Klaudia\Ustawienia lokalne\Dane aplikacji\searchplugins :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Sytuacja jest nieciekawa bowiem jest tu infekcja wirusem Sality, który zaraża wszystkie plik wykonywalne .exe na dysku twardym. Dowodem, że to Sality jest poniższa usługa w logu OTL: [color=#E56717]========== Driver Services (SafeList) ==========[/color] DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\fqjgln.sys -- (amsint32) Infekcja przeniesiona została przez media przenośne np. pendrive. Wstępnie spróbujemy to leczyć. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] ""="@SYS:DoesNotExist" :Files autorun.inf /alldrives :OTL DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\jnirdupp.sys -- (jnirdupp) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\fqjgln.sys -- (amsint32) O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found O4 - HKU\S-1-5-21-1993962763-706699826-682003330-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Zastosuj szczepionkę SalityKiller: KLIK. 3. Napraw Tryb awaryjny za pomocą Sality_RegKeys.zip: KLIK 4. Wykonaj nowe logi z OTL + GMER oraz log z USBFix z opcji Listing. Daj też znać co pokazał SalityKiller.

Wszystko się wykonało jak należy i przejdźmy do czynności końcowych. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Obowiązkowo zaktualizuj oprogramowanie: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.5.13)" = Mozilla Firefox (3.5.13) Szczegóły w tym temacie: INSTRUKCJE. Podsumuj czy wszystko już jest dobrze.

Gmer już nie wykazuje infekcji i wygląda, że już jest dobrze. Przejdźmy do czynności końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Obowiązkowo zaktualizuj oprogramowanie (nawet jeśli nie korzystasz): Internet Explorer (Version = 6.0.2900.5512) "{AC76BA86-7AD7-1045-7B44-A70500000002}" = Adobe Reader 7.0.5 - Polish Szczegóły w tym temacie: INSTRUKCJE. Celowo usunąłem skryptem alexe bo to zawsze był toolbar wątpliwej reputacji o ile dobrze pamiętam. Tak pozmieniaj sobie wszystkie hasła bo ta infekcja charakteryzuje się ich wykradaniem. Chyba nie ma dostatniego zabezpieczenia. Po prostu trzeba być ostrożnym w sieci.

Według spodziewań jest rootkit w MBR (to pewnie przez to te zatrzymania systemu): 2011/01/05 14:22:08.0875 \HardDisk0 - detected Rootkit.Win32.TDSS.tdl4 (0) 2011/01/05 14:22:08.0875 ================================================================================ 2011/01/05 14:22:08.0875 Scan finished 2011/01/05 14:22:08.0875 ================================================================================ 2011/01/05 14:22:08.0906 Detected object count: 1 2011/01/05 14:34:39.0484 Rootkit.Win32.TDSS.tdl4(\HardDisk0) - User select action: Skip Czyli tym razem w Kasperskym daj opcję leczenia czyli Cure Po tej akcji wklejasz nowy log z Gmer i przejdziemy do czynności końcowych.

To by było na tyle i problemy powinny minąć. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Zaktualizuj przeglądarkę Firefox.

Usun to co znalazł Malwarebytes. Wiecej juz nic nie ma do roboty. Użyj opcji Sprzątanie z OTL i wyzeruj stan przywracania systemu: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- E:\mapmem64.sys -- (MapMem) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\CTSBLFX.DLL -- (CTSBLFX.DLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\CTERFXFX.DLL -- (CTERFXFX.DLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\CTAUDFX.DLL -- (CTAUDFX.DLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Piotrek\AppData\Local\Temp\cpuz130\cpuz_x32.sys -- (cpuz130) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\COMMONFX.DLL -- (COMMONFX.DLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\btcombus.sys -- (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btcomport.sys -- (BTCOM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btnetdrv.sys -- (BT) O4 - HKLM..\Run: [sBDrvDet] C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe File not found O4 - HKU\S-1-5-21-3266613810-3127335643-2418274853-1001..\Run: [MtdAcqu] C:\Program Files\Creative\MediaSource5\MtdAcqu.exe File not found :Files C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\Windows\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job C:\Windows\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 3. Wykonaj jeszcze skan przez Malwarebytes, którego posiadasz i wklej raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\QuestBrowser C:\Users\Renia\AppData\Local\Temp*.html :Services QuestBrowser Service :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2010-01-07 13:47:37 | 000,002,257 | ---- | M] () -- C:\Users\Renia\AppData\Roaming\Mozilla\Firefox\Profiles\hpsmx5ts.default\searchplugins\askcom.xml [2010-10-10 12:27:06 | 000,000,000 | ---D | M] (QuestBrowser) -- C:\Program Files\Mozilla Firefox\extensions\{B9B81A55-9C8B-4FD5-B140-714613DED7B6} O2 - BHO: (Tango) - {19C99A83-991B-4D56-B81D-12280C27C93E} - C:\Windows\System32\6478.dll () O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKLM\..\Toolbar: (Tango) - {19C99A82-991B-4D56-B81D-12280C27C93E} - C:\Windows\System32\6478.dll () O3 - HKU\S-1-5-21-3822284246-2855927235-4112502948-1000\..\Toolbar\WebBrowser: (Tango) - {19C99A82-991B-4D56-B81D-12280C27C93E} - C:\Windows\System32\6478.dll () :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Wykonaj skan narzędziem Kaspersky TDSSKiller. Jeśli program coś znajdzie ustaw opcję Skip i wklej wynikowy raport. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\RadProbe.sys -- (RadProbe) FF - prefs.js..extensions.enabledItems: toolbar@alexa.com:2.01 [2010-12-23 01:49:20 | 000,000,000 | ---D | M] ("Alexa Toolbar") -- C:\Documents and Settings\DKD'nt\Dane aplikacji\Mozilla\Firefox\Profiles\010z1iyl.default\extensions\toolbar@alexa.com O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll File not found :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

Masz w tym samym linku co Gmer narzędzie RootRepeal i z niego możesz próbować zrobić log. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\Drivers\IcRecUsb.sys -- (IcRecUsb) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\blbdrive.sys -- (blbdrive) IE - HKU\S-1-5-21-589647625-3278441512-2134944542-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O4 - HKLM..\Run: [HP Health Check Scheduler] File not found [2011-01-02 00:30:11 | 000,000,000 | ---D | C] -- C:\Users\hp\AppData\Local\searchplugins :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach nie ma śladu aktywnej infekcji więc nie ma tu nic do roboty. Użyj opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK

Wykonaj jeszcze nowe logi ze skanowania OTL żeby była pewność i przejdziemy do czynności końcowych.

Wygląda, że jest dobrze i nic już więcej nie widać do usuwania. Wykonaj kroki poniższe: 1. Użyj opcji Sprzątanie z OTL. 2. Tymczasowe wyłączenie przywracania systemu w celu jego wyzerowania: KLIK 3. Skan za pomocą Malwarebytes Anti-Malware 4. Zaktualizuj Java: INSTRUKCJE. Widzę też, że masz zainstalowany HijackThis. To program nie wspierający systemów 64bitowych więc jego używanie mija się z celem.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (HyperCam Toolbar) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - C:\Program Files (x86)\HyperCam Toolbar\tbcore3.dll File not found O27:64bit: - HKLM IFEO\Amoumain.exe: Debugger - C:\Windows\SysNative\rundll32.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\spellchecker_gg.exe: Debugger - C:\Windows\SysNative\rundll32.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\wmpnetwk.exe: Debugger - C:\Windows\SysNative\rundll32.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\xe0305.exe: Debugger - C:\Windows\SysNative\rundll32.exe (Microsoft Corporation) O27 - HKLM IFEO\Amoumain.exe: Debugger - rundll32.exe (Microsoft Corporation) O27 - HKLM IFEO\spellchecker_gg.exe: Debugger - rundll32.exe (Microsoft Corporation) O27 - HKLM IFEO\wmpnetwk.exe: Debugger - rundll32.exe (Microsoft Corporation) O27 - HKLM IFEO\xe0305.exe: Debugger - rundll32.exe (Microsoft Corporation) :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Mozesz je zostawić bo w kwarantannie nic im sie nie dzieje i nie ma żadnego zagrożenia.

Wygląda na to, że wszystko zostało usunięte i problem powinien minąć. Ewentualnie możesz się czymś jeszcze przeskanować. Końcowo wykonaj: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK