Landuss

W takim wypadku logów nie musze widzieć. Rozumiem, że obecnie nie ma żadnych problemów?

Wszystko zeszło i nic tu więcej nie ma na usuwanie. Użyj teraz opcji Sprzątanie z OTL. Wyzeruj tez przywracanie systemu: KLIK Aktualizacje automatyczne powinny być włączone bo dobrze jest mieć aktualne łaty. Nod to dobry antywirus, ale nic nie jest doskonałe.

Tak jak mówie bez pokazania jakie to pliki i w jakiej lokalizacji trudno coś powiedzieć na ten temat. Ukryte nie znaczy jeszcze szkodliwe. System zawiera wiele ukrytych plików i nawet zwykły użytkownik o tym nie wie. Czy te wykrycia nie były aby wykrywane w folderze System Volume Information? To folder przywracania systemu i na wszelki wypadek opróżnij go według instrukcji: KLIK Żadnego prawdziwego rootkita Gmer w logu nie wykazuje. Krycie rootkit stosuje wiele pożytecznych programów np. zabezpieczających. Nie wklejaj całego tylko kawałek w celu pokazania jak to wygląda i to powinno wystarczyć. ******************************* Generalnie jeśli nie widać infekcji w logach a z systemem jest problem na pierwszy strzał idzie oprogramowanie zabezpieczające czyli u ciebie Panda Internet Security. Prosze odinstalować cały pakiet i zobaczyć jak to wpłynie na zachowanie systemu. Kolejne złe połączenie WinPatrol + ThreatFire. Programy o podobnym przeznaczeniu i też któregoś proszę usunąć bo to jest niezdrowe powielenie i może powodować problemy dla systemu.

Zamontuj kolejny skrypt do OTL: :Files Recycled /alldrives RECYCLER /alldrives K:\i00dvoym.exe I:\i00dvoym.exe E:\et3ypes.exe C:\WINDOWS\System32\mgking1.dll :Commands [emptytemp] Nowy log z OTL do oceny i z USBFix przy podpiętych urządzeniach.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe -- (Norton Internet Security) DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX) DRV - File not found [File_System | System | Stopped] -- C:\WINDOWS\System32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2010c\WNt500x86\Sandra.sys -- (SANDRA) DRV - File not found [File_System | Unknown | Running] -- -- (pavboot) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ppp\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | Disabled | Running] -- C:\WINDOWS\System32\DRIVERS\a347bus.sys -- (a347bus) FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..keyword.URL: "http://radiobar.toolbarhome.com/search.aspx?srch=ku&q=" [2010-03-24 20:12:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\extensions\radiobar@toolbar [2009-12-30 16:02:44 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\searchplugins\daemon-search.xml [2010-03-24 20:11:57 | 000,001,589 | ---- | M] () -- C:\Documents and Settings\ppp\Dane aplikacji\Mozilla\Firefox\Profiles\y8c35n6v.default\searchplugins\web-search.xml O3 - HKU\S-1-5-21-1645522239-562591055-839522115-1004\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. [2010-12-18 12:47:39 | 000,115,712 | RHS- | M] () -- C:\WINDOWS\System32\mgking0.dll [2010-12-18 11:49:33 | 000,121,344 | RHS- | M] () -- C:\WINDOWS\System32\arking0.dll [2010-12-18 11:17:55 | 000,186,368 | RHS- | M] () -- C:\WINDOWS\System32\arking.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 3. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

W logach właściwie niczego nie widać co by miało związek z jakąkolwiek infekcją. Wykonaj jednak jeszcze na obu maszynach skan za pomocą Kaspersky TDSSKiller i w przypadku gdy coś wykryję ustaw opcję Skip. Zaprezentuj logi. BTW: Obie maszyny wymagają obowiązkowej aktualizacji do statusu Service Pack 3, a na komputerze 2 dodatkowo również IE do stanu Internet Explorer 8. To bardzo ważne dlatego dopilnuj tego i wykonaj. Niepołatany system też lubi sprawiać różne problemy.

Wszystko zeszło jak należy. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK

W logach nie widać żadnej infekcji. Mylisz foldery z plikami autorun.inf, a u ciebie wyraźnie są to foldery: O32 - AutoRun File - [2010-11-12 15:51:45 | 000,000,000 | R--D | M] - C:\Autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010-11-12 15:51:45 | 000,000,000 | R--D | M] - D:\Autorun.inf -- [ NTFS ] O32 - AutoRun File - [2010-11-12 15:51:45 | 000,000,000 | R--D | M] - E:\Autorun.inf -- [ NTFS ] Taki folder to zabezpieczenie przeciwko infekcji z pendrive a więc musiałeś jakoś się zabezpieczać np. poprzez Pande USB Vaccine lub inny program. Ewentualnie jeżeli masz tego pendrive jeszcze to możesz go podpiąć i wykonać log z USBFix z opcji Listing

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-719012259-4033570728-3316012484-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () [2010/12/06 13:55:23 | 000,000,000 | ---D | C] -- C:\Users\Derbouz\AppData\Local\searchplugins :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Niepotrzebnie powielasz logi OTL, RSIT, OTS. To są podobne narzędzia, pokazują to samo właściwie i robisz log tylko z jednego a nie z każdego. Logi kompletnie infekcji nie wykazują więc można przypuszczać że tutaj nie chodzi o to. Choć jakieś wyniki ze skanerów przydałoby się pokazać żeby stwierdzić czy to jest coś poważnego czy nie ma się czym przejmować. Mówisz o problemach na Windows 7 więc z niego przydałyby się logi. Jeśli masz problem z ich wytworzeniem można skorzystać alternatywnie z płytki OTLPE

To oczywiście fałszywy alarm skanera. Jeśli gra jest odinstalowana to folder po niej też możesz usunąć.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-1532875563-2861539101-1551110648-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe () [2010-12-08 22:15:06 | 000,000,000 | ---D | C] -- C:\Users\Olenka\AppData\Local\searchplugins :Files C:\Users\Olenka\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach właściwie nic nie ma, ale dla pewności wykonaj skan narzędziem Kaspersky TDSSKiller. Jeśli coś znajdzie zaznacz opcję Skip i wklej tutaj raport.

Screenu nie mogę otworzyć niestety. Infekcję masz na pewno. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "AIM Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=&query=" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=&query=" [2008-10-29 18:06:45 | 000,001,728 | ---- | M] () -- C:\Users\Tomasz\AppData\Roaming\Mozilla\FireFox\Profiles\ijcruaqj.default\searchplugins\aim-search.xml O3:64bit: - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1618507633-2279673276-481183465-1001\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKU\S-1-5-21-1618507633-2279673276-481183465-1001\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found. O4 - HKU\S-1-5-21-1618507633-2279673276-481183465-1001..\Run: [JP595IR86O] C:\Users\Tomasz\AppData\Local\Temp\Gxj.exe File not found [2010-12-15 18:27:03 | 000,000,290 | -H-- | M] () -- C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job [2010-12-15 18:08:15 | 000,000,248 | -H-- | M] () -- C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job [2010-12-15 18:36:51 | 000,000,290 | -H-- | M] () -- C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job :Files C:\Windows\Grinya.exe :Commands [emptyflash] [emptytemp] 2. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Po restarcie systemu wytwórz nowy zestaw logów OTL. OTL zrób na dostosowanym warunku. W sekcji Własne opcje skanowania / skrypt wklej: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones Klik w Skanuj (nie Wykonaj skrypt)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [GProton] C:\ProgramData\gproton.exe () [2010-12-13 10:33:28 | 000,000,000 | ---D | C] -- C:\Users\Marek\AppData\Local\searchplugins :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Infekcja pomyślnie usunięta. Na koniec użyj opcji Sprzątanie z OTL oraz wyzeruj stan przywracania systemu: KLIK

Zabrakło loga z rootkit detectora więc to uzupełnij. Do wyboru narzedzie Gmer lub w razie problemów RootRepeal Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (D) - {FF8CFEC8-B0D7-3A31-BEEC-02115B600EFB} - Reg Error: Value error. File not found O4 - HKU\S-1-5-21-1698760367-3557742078-3876501299-1000..\Run: [] File not found O4 - HKU\S-1-5-21-1698760367-3557742078-3876501299-1000..\RunOnce: [dAdCc04300] C:\ProgramData\dAdCc04300\dAdCc04300.exe () :Files C:\ProgramData\dAdCc04300 C:\Users\Bartek\Desktop\System Tool 2011.lnk C:\Users\Bartek\AppData\Local\Temp*.html :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz Gmer lub RootRepeal.

Na ten moment infekcja wygląda na opanowaną, ale żeby być pewnym trzeba odczekać pare dni z werdyktem. Wykonaj kroki końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Wyzeruj stan przywracania systemu: KLIK 4. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{AC76BA86-7AD7-1038-7B44-CEA000000001}" = Adobe Reader 6.0.2 CE "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 Szczegóły w tym temacie: INSTRUKCJE.

Infekcja pomyślnie usunięta. Wykonaj poniższe czynności. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: KLIK 3. Wykonaj obowiązkowe aktualizacje: Windows Vista Home Basic Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16982) "{AC76BA86-7AD7-1033-7B44-A70000000000}" = Adobe Reader 7.0 Szczegóły w tym temacie: INSTRUKCJE.

Gdzie jest log extras? On jest istotny zwłaszcza przy tej infekcji. Czy skanowałeś SalityKillerem? Nic nie wspominasz. Skanuj do skutku dopóki nic nie wykryje. Tymczasem kolejny skrypt do OTL: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/home?AF=11900" IE - HKCU\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - Reg Error: Key error. File not found O4 - Startup: C:\Documents and Settings\mateusz\Menu Start\Programy\Autostart\Thoosje Vista Sidebar.lnk = C:\Program Files\Thoosje Vista Sidebar\Thoosje Vista Sidebar.exe File not found :Services wanatw dac970nt :Commands [emptytemp] Nowe logi do oceny z OTL. Postaraj się też extras.

Dobrze odpuśćmy Gmera. Teraz usuwanie infekcji oraz szczątków po AVG i Symantec. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (LiveUpdate Notice Ex) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe -- (CLTNetCnService) SRV - [2008-01-29 16:38:31 | 000,583,048 | ---- | M] (Symantec Corporation) [Auto | Running] -- C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe -- (LiveUpdate Notice Service) DRV - [2010-07-15 08:13:00 | 000,371,248 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.qooqlle.com/" FF - prefs.js..browser.search.selectedEngine: "qooqlle" FF - prefs.js..browser.startup.homepage: "http://www.qooqlle.com/" [2010-12-12 12:47:51 | 000,001,860 | ---- | M] () -- C:\Users\Radek\AppData\Roaming\Mozilla\FireFox\Profiles\o2e5pvq6.default\searchplugins\search.xml O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG10\avgssie.dll File not found O4 - HKLM..\Run: [symantec PIF AlertEng] C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (Symantec Corporation) O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG10\avgpp.dll File not found O4 - HKLM..\Run: [GProton] C:\ProgramData\GProton.exe () [2010-12-11 22:11:02 | 000,000,000 | ---D | C] -- C:\Users\Radek\AppData\Local\searchplugins :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{7008FFDB-25F0-4A27-B12C-3777147CE7A6}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{FC1B314A-D87F-4C45-829D-1DB15735ED14}C:\program files\sopcast\adv\sopadver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj śmiecia Ask Toolbar. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zamiennie można użyć w takiej sytuacji narzędzia RootRepeal Opcja Rejestr - skan dodatkowy ma być zaznaczona na "Użyj filtrowania" by powstał log extras. Na razie jednak nie warto się tym zajmować. Poniższa usługa w OTL mówi wszystko i potwierdza to o czym wspominasz: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\iommef.sys -- (dac970nt) Wirus Sality w plikach wykonywalnych. Wstępnie spróbujemy to usuwać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\wanatw4.sys -- (wanatw) WAN Miniport (ATW) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\System32\drivers\iommef.sys -- (dac970nt) [2010-11-02 18:25:15 | 000,002,226 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml O2 - BHO: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O2 - BHO: (no name) - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} - No CLSID value found. O2 - BHO: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found. O4 - Startup: C:\Documents and Settings\mateusz\Menu Start\Programy\Autostart\raw32.dll () O4 - Startup: C:\Documents and Settings\mateusz\Menu Start\Programy\Autostart\raw32.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1 O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\AutoPlaY\ComMAnD - "" = E:\neraph.pif -- File not found O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\AutoRun\command - "" = E:\neraph.pif -- File not found O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\ExpLore\COmmANd - "" = E:\neraph.pif -- File not found O33 - MountPoints2\{90e05c34-0501-11e0-8d5e-00304f67daa9}\Shell\open\comManD - "" = E:\neraph.pif -- File not found :Files C:\Documents and Settings\mateusz\Ustawienia lokalne\Temp :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj. 2. Wykonaj skanowania całego dysku za pomocą narzędzia SalityKiller 3. Wykonaj naprawe trybu awaryjnego za pomocą Sality_RegKeys.zip 4. Do oceny log z usuwania OTL oraz nowe logi z OTL wytworzone z ponownego skanowania + log z Gmer lub RootRepeal.

OTL nie wykonany prawidłowo. Brakuje drugiego loga - extras.txt. Prosze to poprawić a więc wykonać skan za pomocą OTL zaznaczając opcje Rejestr - skan dodatkowy na "Użyj filtrowania". Kolejna sprawa to brak loga z rootkit detectora. Do wyboru GMER lub w razie problemów zamiennie Root Repeal. Dopiero wtedy weźmiemy się za usuwanie.

Wykonaj jeszcze poniższe czynności. 1. Pobierz narzędzie Streams i umieść je w ścieżce C:\WINDOWS. Następnie wejdź w start >>> w polu szukania wpisz uruchom >>> cmd i wklep polecenie: streams -d C:\WINDOWS 2. Użyj opcji Sprzątanie z OTL. 3. Wyzeruj stan przywracania systemu: KLIK Problemy powinny ustapić.

Spróbuj wykonać log zastępczy z narzedzia RootRepeal. Jeśli chodzi o obecne logi infekcji nie widać natomiast wykonasz skrypt usuwający drobne śmieci. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\VcommMgr.sys -- (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\VComm.sys -- (VComm) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbfake.sys -- (hwusbfake) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\btcusb.sys -- (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\btnetdrv.sys -- (BT) IE - HKU\S-1-5-21-329068152-764733703-1343024091-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT1708250" IE - HKU\S-1-5-21-329068152-764733703-1343024091-1004\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found [2009-05-05 09:03:24 | 000,000,000 | ---D | M] (BearShare MediaBar) -- C:\Program Files\Mozilla Firefox\extensions\{D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} [2009-01-07 17:16:34 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll File not found O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll File not found O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found O4 - HKLM..\Run: [bEWINTERNET-PL-IEWSessionManager] C:\Program Files\OrangeBS\BEWInternet-PL-IEW\SessionManager\SessionManager.exe File not found O4 - HKLM..\Run: [DataMngr] C:\Program Files\BearShare Applications\MediaBar\DataMngr\DataMngrUI.exe File not found O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-329068152-764733703-1343024091-1004..\Run: [Wru] C:\Program Files\Wru\Wru.exe File not found O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () O33 - MountPoints2\{170ee27d-2c47-11df-b415-000d56e31a9f}\Shell\Open(&0)\command - "" = F:\Recycled\ctfmon.exe -- File not found [2010-12-09 15:33:01 | 000,001,148 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-329068152-764733703-1343024091-1004UA.job [2010-12-09 15:01:00 | 000,000,242 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job [2010-12-09 08:15:21 | 000,000,266 | ---- | M] () -- C:\WINDOWS\tasks\WGASetup.job [2010-12-06 20:33:07 | 000,001,096 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-329068152-764733703-1343024091-1004Core.job :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Odinstaluj z panelu dodaj/usuń programy następujące śmieci - Ask Toolbar / Free_Lunch_Design Toolbar / MediaBar / Winamp Toolbar 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL. 4. Sprawdź Comodo na okoliczność problemów a więc proponuje go odinstalować i sprawdzić efekty. 5. System wymaga obowiązkowej aktualizacji (to też może powodować problemy): Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Service Pack 3 + Internet Explorer 8 Dopiero po tych wszystkich zabiegach zgłoś się jakie są rezultaty.