Landuss

Log z rootkit detectora musi być pokazany. Masz napisane, że gdy Gmer nie rusza próbuj użyć RootRepeal. Daj też znać co powie Kaspersky TDSSKiller Czy w trybie awaryjnym jest tak samo? Proszę to sprawdzić. To może być problem z powłoką explorer.exe skoro mówisz, że po wejściu w cokolwiek tak się dzieje. W celu sprawdzenia tego spróbuj uruchomić program ShellExView i wyłącz w nim wszystkie rozszerzenia oznaczone na różowo, zresetuj komputer, obserwuj skutki.

Dodałeś logi w porządku. Nie widać aktywnej infekcji, ale można usunąć parę szczątek/śmieci. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Netia\Mobilny Internet\AssistantServices.exe -- (UI Assistant Service) SRV - File not found [Auto | Stopped] -- d:\opel epc\BHROOT\BIN\PORTMAP.EXE -- (portmapper) SRV - File not found [Disabled | Stopped] -- d:\opel epc\BHROOT\BIN\NT611SVC.EXE -- (bh611) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\SROBotVn1.31b\SROBotVn1.31b\NtProcDrv.sys -- (NTProcDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\cv2k1.sys -- (CV2K1) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Jarek\AppData\Local\Temp\25778978.08- -- (ByakkoDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\btwl2cap.sys -- (btwl2cap) DRV - File not found [Kernel | On_Demand | Stopped] -- G:\I386\AsProcOb.sys -- (ASUSProcObsrv) DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\System32\drivers\AsInsHelp32.sys -- (ASInsHelp) DRV - File not found [Kernel | Boot | Stopped] -- C:\Windows\System32\DRIVERS\17447622.sys -- (17447622) IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = "http://search.bearshare.com/pl/" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O27 - HKLM IFEO\taskmgr.exe: Debugger - "C:\USERS\MIMI\DESKTOP\PROCESSEXPLORER.EXE" File not found O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Reg Error: Key error. File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wklej log z usuwania, który powinien się otworzyć w notatniku.

Cóż logi przy takiej infekcji właściwie nie bardzo się przydają bo jej po prostu nie widzą. Warto jednak je wykonać skoro już tutaj jesteś. Zgodnie z zasadami wykonaj: 1. Logi z OTL na ustawieniach przy wszystkich pozycjach "Użyj filtrowania" 2. Log z rootkit detectora Gmer lub w razie problemów RootRepeal.

Prosze nie wymazywać logów we wcześniejszym poście(!), a zrobiłeś to. Temat musi jakoś wyglądać. Póki co logi nie potwierdzają aktywnej infekcji. 1. Usuwanie szczątków - Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- -- (RichVideo) Cyberlink RichVideo Service(CRVS) SRV - File not found [Auto | Stopped] -- -- (ForcewareWebInterface) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\usbVM303.sys -- (ZSMC303) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\gflmouhid.sys -- (genmcmnUSB) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dtscsi.sys -- (dtscsi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MICHA~1\USTAWI~1\Temp\catchme.sys -- (catchme) O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {35065594-9169-4A34-B167-FC4865038E53} - No CLSID value found. :Files C:\Qoobox :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wklejasz log z usuwania, który powinien otworzyć się w notatniku po restarcie. 2. Daj znać jeszcze co powie Kaspersky TDSSKiller

ComboFix to nie jest narzędzia do "robienia loga". W dodatku niczego nie wykazuje. Zacznij od zastosowania się do zasad działu i wklej wymagane logi z OTL + Gmer lub RootRepeal: KLIK

Gdzie jest log z Gmer? Jeśli masz z tym jakiś problem skorzystaj zamiennie z RootRepeal. Masz infekcję z urządzenia przenośnego. Przy podpietym urządzeniu przenośnym użyj narzędzia USBFix z opcji Listing i pokaż wynikowy raport.

Ja bym to zignorował i na ten czas zdeaktywował oprogramowanie zabezpieczające. Wykonaj sobie co masz wykonać i dopiero potem włącz.

To nic nie mówi. Napisz na jakim pliku i w jakiej lokalizacji bo to jest istotne.

Ponowne zainstalowanie programów powinno załatwić sprawe. Możesz usunąć foldery. Ewentualnie jeszcze się czymś przeskanuj. 1. W Start > Uruchom > wklej i wywołaj polecenie: "c:\documents and settings\Stingerowski\Pulpit\Install\ComboFix.exe" /uninstall - to spowoduje odinstalowanie ComboFix i reset folderu przywracania systemu. 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj obowiązkowe aktualizacje oprogramowania: Windows XP Home Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.0.19)" = Mozilla Firefox (3.0.19) Szczegóły rozpisane w tym temacie: INSTRUKCJE.

Wygląda, że jest dobrze ale sprawdź mi jeszcze czy coś jest w tych folderach: 2010-10-19 18:40 . 2010-10-19 18:40 -------- d-----w- c:\program files\win 2010-10-17 20:08 . 2010-10-19 18:50 -------- d-----w- c:\program files\Microsoft One się odtworzyły, ja na XP takich folderów nie mam więc spróbuj je usunąć normalnie. Napisz czy problem ustąpił. Jeśli tak przechodzimy do czynności końcowych.

1. Z poziomu dodaj/usuń programy w panelu sterowania odinstaluj śmieci - Google Toolbar / RelevantKnowledge / Foxit Toolbar / DAEMON Tools Toolbar / Winamp Toolbar 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKU\S-1-5-21-117609710-484763869-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/pl/" IE - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.1.0014 FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2009-11-26 20:34:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\extensions\DTToolbar@toolbarnet.com [2009-04-30 19:15:40 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\searchplugins\daemon-search.xml [2010-09-07 17:20:04 | 000,001,201 | ---- | M] () -- C:\Documents and Settings\Krystian\Dane aplikacji\Mozilla\Firefox\Profiles\buch6skk.default\searchplugins\winamp-search.xml O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareIEHelper.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\Krystian\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (Foxit Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll File not found O3 - HKLM\..\Toolbar: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O3 - HKU\S-1-5-21-117609710-484763869-682003330-1003\..\Toolbar\WebBrowser: (BearShare MediaBar) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Program Files\BearShare Applications\BearShare MediaBar\BearShareMediaBar.dll File not found O4 - HKLM..\Run: [bearShare] d:\Program Files\BearShare\BearShare.exe File not found O4 - HKLM..\Run: [RelevantKnowledge] C:\Program Files\RelevantKnowledge\rlvknlg.exe (TMRG, Inc.) O4 - HKU\S-1-5-21-117609710-484763869-682003330-1003..\Run: [RGSC] E:\Program Files\Rockstar Games\GTA IV\Rockstar Games Social Club\RGSCLauncher.exe File not found O4 - HKU\S-1-5-21-117609710-484763869-682003330-1003..\Run: [Yodm3D] C:\Documents and Settings\Krystian\Pulpit\Programy\yodm3D(dobreprogramy.pl)\Yodm3D.exe File not found O4 - Startup: C:\Documents and Settings\Krystian\Menu Start\Programy\Autostart\Adobe Media Player.lnk = C:\Program Files\Adobe Media Player\Adobe Media Player.exe File not found O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html () O33 - MountPoints2\{9275268e-0d75-11dd-a857-00304f20eceb}\Shell\Open(&0)\command - "" = J:\Recycled\ctfmon.exe -- File not found O33 - MountPoints2\{9275268f-0d75-11dd-a857-00304f20eceb}\Shell\Open(&0)\command - "" = K:\Recycled\ctfmon.exe -- File not found O33 - MountPoints2\{cefd22b4-f047-11dc-a80f-00304f20eceb}\Shell\Open(&0)\command - "" = H:\Recycled\ctfmon.exe -- File not found :Files C:\Program Files\RelevantKnowledge :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os2C.tmp\ossproxy.exe"=- "C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os20.tmp\ossproxy.exe"=- "C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os143.tmp\rlvknlg.exe"=- "C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os114.tmp\rlvknlg.exe"=- "C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~osA5.tmp\rlvknlg.exe"=- "C:\Documents and Settings\Krystian\Ustawienia lokalne\Temp\~os52.tmp\rlvknlg.exe"=- "c:\program files\relevantknowledge\rlvknlg.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz log z USBFix z opcji Listing

Rzeczywiście nie poszło do końca jak trzeba. W takim wypadku użyj ComboFix i wklej wynikowy log.

W logach nie widać infekcji w stanie aktywnym. Jedynie obowiązkowo do zaktualizowania system oraz IE: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Service Pack 3 + Internet Explorer 8

Dobrze ale masz wykonać jeszcze nowe logi z OTL żebym widział obecną sytuacje.

Nie wkleiłeś loga z rootkit detectora więc uzupełnij to w kolejnym poście. Do wyboru GMER lub w razie problemów RootRepeal w tym samym linku. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - {0CA10898-7F98-4709-A479-B8134AB3D9F3} - No CLSID value found. O4 - HKLM..\Run: [nonep] C:\Documents and Settings\Stingerowski\Ustawienia lokalne\Temp\tmp0deffca5\kill.exe () O4 - HKU\S-1-5-21-725345543-2077806209-2146892821-1004..\Run: [{B10BFC3D-2D98-82F4-CA38-9D2436A5EC67}] C:\Documents and Settings\Stingerowski\Dane aplikacji\Wyabu\yhray.exe () :Files C:\Program Files\win C:\Program Files\Microsoft C:\Documents and Settings\Stingerowski\Dane aplikacji\Wyabu C:\Documents and Settings\Stingerowski\Dane aplikacji\Ybyrwi :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Nowe logi do oceny.

Dlaczego usunąłeś log z ComboFixa w pierwszym poście i wstawiłeś OTL? Tak się nie robi bo jak to teraz wygląda? Czy w trybie awaryjnym też masz problemy o których piszesz? Daj znać jeszcze co powie MBRCheck + Kaspersky TDSSKiller

Jest dobrze, wykonaj poniższe zalecenia na koniec: 1. Użyj opcji Sprzątanie z OTL 2. Użyj opcji Vaccinate z USBFix aby zabezpieczyć się przed infekcjami przenośnymi. 3. Zaktualizuj oprogramowanie "{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java 6 Update 3 "Mozilla Thunderbird (1.5)" = Mozilla Thunderbird (1.5) Szczegóły w przyklejonym: INSTRUKCJE.

Czynnej infekcji w logach nie widać natomiast jest ślad sugerujący, że było tutaj podpinane jakieś zainfekowane urządzenie przenośne. Jeśli je posiadasz to podepnij je i sporządź log z USBFix z opcji Listing Na teraz do wykonania skrypt usuwający drobne resztki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-790525478-1801674531-725345543-500\..\URLSearchHook: CFBFAE00-17A6-11D0-99CB-00C04FD64497} - Reg Error: Key error. File not found FF - prefs.js..browser.search.defaultenginename: "Yahoo! Search" O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [resethosts] [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokazujesz nowe logi z OTL.

ComboFix użyty na własną rękę co jest tutaj zabronione. Nie wykonane wymagane logi zgodnie z zasadami działu. 1. Według loga jest zaprawiony systemowy userinit.exe: c:\windows\system32\userinit.exe . . . jest zainfekowany!! Plik można wymienić już teraz. Pobierz userinit.exe w wersji pod Windows 7 zgodnie z twoim systemem: KLIK Plik umieść bezpośrednio na dysku C:\ 2. Wklej do notatnika taki tekst: FCopy:: C:\userinit.exe | C:\windows\system32\userinit.exe Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Prezentujesz nowy log z ComboFix oraz logi z wymaganych u nas narzędzi - OTL + GMER lub RootRepeal.

Nie wygląda na to by był to problem infekcji gdyż takiej nie widać w stanie czynnym, chociaż prosze załączyć jeszcze log z rootkit detectora do wyboru - GMER lub w razie problemów masz tam RootRepeal Nie wiadomo co robił ComboFix dlatego wymagane jest wklejenie z niego loga lub zawartoci kwarantanny - ComboFix-quarantined-files.txt W obecnych logach ślad po infekcji z mediów przenośnych: O33 - MountPoints2\{c0f49253-a4f5-11dc-836f-001d60f21b3d}\Shell\AutoRun\command - "" = F:\EXPLORER.EXE -- File not found O33 - MountPoints2\{c0f49253-a4f5-11dc-836f-001d60f21b3d}\Shell\explore\Command - "" = F:\EXPLORER.EXE -- File not found O33 - MountPoints2\{c0f49253-a4f5-11dc-836f-001d60f21b3d}\Shell\open\Command - "" = F:\EXPLORER.EXE -- File not found To tak naprawdę bzdura mało znacząca. Skorygujesz to wchodząc w start >>> uruchom >>> regedit i usuwając ten numerkowy klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c0f49253-a4f5-11dc-836f-001d60f21b3d} Idąc dalej usuń z dysku tą kopię svchosta: [2010-09-27 08:55:43 | 000,014,336 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\svchost(2).exe Poza tym prosi się obowiązkowa aktualizacja i ją wykonaj: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Service Pack 3 + Internet Explorer 8

Jest dobrze, wykonaj jeszcze poniższe zalecenia. 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: INSTRUKCJE. 3. Obowiązkowo zaktualizuj oprogramowanie Internet Explorer i Java: INSTRUKCJE.

Sytuacja wygląda na opanowaną. Wykonaj poniższe zalecenia. 1. Użyj opcji Sprzątanie w OTL. 2. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\master_mix\Pulpit\ComboFix.exe" /uninstall 3. Wykonaj obowiązkowo aktualizacje Internet Explorer, java i Avast: INSTRUKCJE.

W żadnym wypadku nie ruszaj tego i nie usuwaj. To są większości puste, bezplikowe usługi XP i tak ma pozostać. Każdy to ma tylko mało kto o tym wie.

Zabrakło loga extras z OTL. Opcja Rejestr - skan dodatkowy ma być zaznaczona na Użyj filtrowania. Przechodzimy do usuwania. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O4 - Startup: C:\Documents and Settings\master_mix\Menu Start\Programy\Autostart\spoolsvcs.exe () O4 - Startup: C:\Documents and Settings\master_mix\Menu Start\Programy\Autostart\wnr232.exe () :Files C:\WINDOWS\System32\winfuq32.dll :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winfuq32] [-HKEY_LOCAL_MACHINE\Software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^master_mix^Menu Start^Programy^Autostart^ctfmon.exe] [-HKEY_LOCAL_MACHINE\Software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^master_mix^Menu Start^Programy^Autostart^spoolsvcs.exe] [-HKEY_LOCAL_MACHINE\Software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^master_mix^Menu Start^Programy^Autostart^wnr232.exe] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Brak śladu aktywnej infekcji i to nie ma z tym związku. Z mojej strony tylko drobne korygowanie rejestru co nie ma bezpośrednio związku z problemem. Wklej do notatnika systemowego następujący tekst: Windows Registry Editor Version 5.00 [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4278bce0-e65a-11dd-b671-002269f3ca70}] [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9a89cd7e-5811-11de-89c6-002269f3ca70}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Temat zostaje przeniesiony do działu Hardware.