Landuss

1. Zastosuj narzędzie SalityKiller i wykonaj nim wielokrotny skan dysku twardego dotąd dopóki nic nie wykryje. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\System32\dhhtt.dll C:\WINDOWS\System32\vcmgcd32.dl_ C:\WINDOWS\system32\vcmgcd32.dll C:\WINDOWS\system32\EXPLORER.EXE C:\WINDOWS\System32\vcmgcd32.dll(1).VIR :Services dibectahc :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1429:TCP"=- :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchom OTL na dodatkowym warunku - w oknie Własne opcje skanowania/Skrypt wpisz netsvcs i kliknij tym razem w Skanuj (nie w Wykonaj skrypt). 4. Podsumowujesz pracę SalityKiller oraz wklejasz nowe logi z OTL i Gmer.

Infekcja pomyślnie usunięta. Możesz użyc opcji Sprzątanie z OTL i to wszystko.

Nie wygląda by to był problem infekcyjny. Temat zostaje przeniesiony. Jedyne co można stwierdzić na podstawie logów to ogromny plik HOSTS co może stwarzać problem. Proszę w OTL w białym polu wkleić taki tekst: :Commands [resethosts] [emptytemp] Klik w Wykonaj skrypt, komputer powinien się zrestartować. O efekcie poinformuj.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-28 19:36:55 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\janusz\Dane aplikacji\Mozilla\Firefox\Profiles\j8it8a7k.default\searchplugins\qooqlle.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found O4 - HKLM..\Run: [uIUCU] C:\DOCUME~1\janusz\USTAWI~1\Temp\UIUCU.EXE File not found O4 - HKLM..\Run: [unlockerAssistant] C:\Program Files\Unlocker\UnlockerAssistant.exe File not found O4 - HKCU..\Run: [ALLUpdate] d:\Program Files\ALLPlayer\ALLUpdate.exe File not found O4 - HKCU..\Run: [RGSC] d:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found [2010-12-19 20:35:00 | 000,000,358 | ---- | M] () -- C:\WINDOWS\tasks\At1.job :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Ja nie do końca wierzę temu wynikowi bo log z Gmer jest podejrzany. Sugeruje, że tu może być infekcja w MBR a obecne infekcje mogą oszukiwać narzędzia. Nadpisz MBR z poziomu izolowanego środowiska. Zastartuj z płyty do Konsoli Odzyskiwania i wklep komendę FIXMBR O efektach poinformuj.

Nie ma idealnych programów i musisz też zachować zdrowy rozsądek podczas korzystania z sieci. Każde zabezpieczenie wirusy potrafią obchodzić. Wiadomo, że trzeba mieć antywirusa + zapore + jakiś skaner na żądanie i to wystarczy. Wybór programów należy do Ciebie. Temat uznajemy za zakończony i zamykamy.

Wykonaj skan przez Kaspersky TDSSKiller i jeśli coś znajdzie ustaw na Skip. Zaprezentuj raport.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL NetSvcs: hcscwtiq - C:\WINDOWS.0\System32\yfolfs.dll File not found :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i Gmer.

No i gdzie te logi? Czekamy.

To co wykrył MBAM jest właściwie bez znaczenia. Ja bym sprawdził NODa czy to aby nie jego sprawka. Możesz jeszcze ewentualnie dorzucić log z Kaspersky TDSSKiller

Ostatnio mam dużo innych rzeczy na głowie poza forum dlatego nie zawsze odpowiadam szybko. Jesli tak się dzieje to najpierw lepiej zająć się naprawą tego problemu, a dopiero potem infekcji. Zobacz artykuł MS: KLIK

Infekcja pomyślnie usunięta. Użyj opcji Sprzątanie z OTL. W dalszej kolejności zaktualizuj oprogramowanie Java oraz IE (nawet jeśli nie korzystasz) - INSTRUKCJE.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2010-12-15 20:04:47 | 000,001,860 | ---- | M] () -- C:\Documents and Settings\xxx\Dane aplikacji\Mozilla\Firefox\Profiles\bp4qri04.default\searchplugins\search.xml O2 - BHO: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-21-1229272821-1202660629-1644491937-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. [2010-12-14 20:38:08 | 007,794,688 | RHS- | C] () -- C:\Documents and Settings\All Users\GProton.exe :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W porządku, więc czy jest jeszcze jakiś problem?

Wszystko zostało usunięte i nic więcej nie widać. Czynności na koniec do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Możesz wykonać skan przez Malwarebytes Anti-Malware 3. Wyzeruj stan przywracania systemu: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (IDMIEHlprObj Class) - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1757981266-842925246-1417001333-1004..\Run: [FlashGet 3] C:\Program Files\FlashGet Network\FlashGet 3\FlashGet3.exe File not found O4 - HKU\S-1-5-21-1757981266-842925246-1417001333-1004..\Run: [JP595IR86O] C:\DOCUME~1\MarcinJ\USTAWI~1\Temp\Yjf.exe File not found O4 - HKU\S-1-5-21-1757981266-842925246-1417001333-1004..\Run: [Z30KYPG3WS] C:\DOCUME~1\MarcinJ\USTAWI~1\Temp\Yjh.exe File not found [2010-11-27 15:46:01 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-11-27 15:40:05 | 000,000,290 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job [2010-11-27 15:33:00 | 000,000,290 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010-11-27 14:16:36 | 000,000,318 | -HS- | M] () -- C:\WINDOWS\tasks\Zvtol.job [2010-11-27 12:18:59 | 000,247,296 | ---- | M] (Windows ® Codename Longhorn DDK provider) -- C:\WINDOWS\Yceryb.exe [2010-11-27 12:18:51 | 000,247,296 | ---- | M] (Windows ® Codename Longhorn DDK provider) -- C:\WINDOWS\Ycerya.exe [2010-11-27 12:18:39 | 000,108,032 | RHS- | M] () -- C:\WINDOWS\System32\audiodevh.dll :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

1. Wykonaj log z OTL na dodatkowym warunku i w oknie Własne opcje skanowania/Skrypt wpisz netsvcs a nastepnie kliknij w Skanuj (nie w Wykonaj skrypt) 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Miałeś wkleić nowe logi. Zauważ, że my nie kasujemy pliku explorer.exe tylko wartość rejestru, której być nie powinno, a która kieruje do tego pliku. Ten wpis rejestru jest składnikiem infekcji. To też można łatwo naprawić robiąc taki plik reg: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @=""

Ten wpis się ostał: O4 - HKU\S-1-5-21-606747145-842925246-1060284298-500..\Run: [EXPLORER.EXE] C:\WINDOWS\explorer.exe (Microsoft Corporation) Wklej do notatnika: Windows Registry Editor Version 5.00 [HKEY_USERS\S-1-5-21-606747145-842925246-1060284298-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- Dalej wykonujesz tak jak poprzednim razem. Kontrolnie daj jeszcze jedne nowe logi.

W logach nie widać śladu infekcji choć nie dołączyłeś obowiązkowego loga z Gmer. ComboFix użyty bez sensu bo i tak nic nie zrobił pożytecznego zaś niesłusznie usunął obiekty prawidłowe należące do narzędzi typu JV16 PowerTools: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) c:\windows\system32\ddddada5_d.dll c:\windows\system32\fddbeb9_d.dll Pliki te możesz ewentualnie wyciągnąć z kwarantanny C:\Qoobox, usunąć końcówkę .vir i wrzucić ponownie do folderu system32. Odinstaluj narzędzie - Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\user\Moje dokumenty\Downloads\ComboFix.exe" /uninstall Jeśli chodzi o wpisy 07 to nie jestem pewny, ale może to wynik pracy ComboFix. Tak czy inaczej tu nie ma nic niepokojącego bo wszystkie wpisy są prawidłowe.

Ja to widzę w logu w rejestrze na liście dodaj/usuń programy: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Nie wiem czy tam patrzyłeś czy nie. Możliwe, ze to szczątek bo więcej nic od tej pozycji w logach nie widzę. W razie problemów usuń po prostu klucz z rejestru. Start >>> uruchom >>> regedit i usuwasz cały ten numerkowy klucz HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

W logach nie widać żadnej infekcji w stanie czynnym. Dla twojej informacji powiem tylko, że OTL zrobiłeś nie na takich ustawieniach jakich sobie tutaj życzymy tylko wziąłeś je z cudzego forum. Na przyszłość zaglądnij do tematu przyklejonego i zobacz jak u nas wykonuje się logi z OTL. To co pokazujesz w msconfig to szczątki. Wystarczy, że usuniesz za pomocą choćby HijackThis te poniższe wpisy: F3 - REG:win.ini: load=? F3 - REG:win.ini: run=?

Według logów strona nie ma prawa się już pojawiać bo wszystkie komponenty infekcji zostały usunięte. Możesz jeszcze zrobić skan za pomocą Malwarebytes Anti-Malware Poza tym użyj opcji Sprzątanie z OTL. Odinstaluj też zbędne śmieci - Ask Toolbar / DAEMON Tools Toolbar / Conduit Engine / uTorrentBar Toolbar

Zabrakło obowiązkowego loga z GMER więc to uzupełnij. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\mcdbus.sys -- (mcdbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\IvtBtBus.sys -- (IvtBtBUs) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\RTKVHDA.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\Drivers\BtHidBus.sys -- (BtHidBus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\Drivers\btcombus.sys -- (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btcomport.sys -- (BTCOM) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btnetdrv.sys -- (BT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Softwin\BitDefender10\bdrsdrv.sys -- (BDRsDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Softwin\BitDefender10\bdfsdrv.sys -- (BDFsDrv) IE - HKU\S-1-5-21-1154569863-500260780-181193088-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-15 11:25:50 | 000,000,000 | ---D | M] -- C:\Users\AGROMAR\AppData\Roaming\mozilla\Firefox\Profiles\vnzja2n9.default\extensions\toolbar@ask.com [2010-12-15 11:41:48 | 000,001,860 | ---- | M] () -- C:\Users\AGROMAR\AppData\Roaming\Mozilla\FireFox\Profiles\vnzja2n9.default\searchplugins\search.xml O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () O4 - HKU\S-1-5-21-1154569863-500260780-181193088-1000..\Run: [Wisdom-soft AutoScreenRecorder 3.1 Free] File not found [2010-12-15 10:50:50 | 000,000,000 | ---D | C] -- C:\Users\AGROMAR\AppData\Local\searchplugins :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zamiast Gmera może spróbuj użyć RootRepeal z tego samego linka. Chodzi o to czy to log z pierwszego uruchomienia narzędzia czy może uruchamiałeś je więcej niż jeden raz. To ma znaczenie. Załącz kilka najnowszych zrzutów pamięci wykonając punkt 5 z tego tematu: KLIK