Landuss

Komunikat mówi abyś zastartował komputer w trybie awaryjnym.

Nie wszystko zostało usunięte. Kolejny skrypt o takiej zawartości: :Files C:\WINDOWS\Temp\pauel2.exe :OTL O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: xfo23b = C:\WINDOWS\TEMP\pauel2.exe () :Commands [emptytemp] Nowe logi do oceny.

MBAM wykrył to co wskazywałem. Usuń jego wykrycie. Haseł nie musisz zmieniać. To nie była infekcja wykradająca hasła. Temat uznaję za zakończony i zamykam.

Odczytałem logi. W związku z tym usuwanie infekcji. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found O4 - HKLM..\Run: [wuaucldt] C:\WINDOWS\system32\wuaucldt.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: xfo23b = C:\WINDOWS\TEMP\pauel2.exe () :Files C:\Documents and Settings\Administrator\wuaucldt.exe :Services vcdrom :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W jednym ze zrzutów widnieje sterownik PCTCore.sys, który jest częścią właśnie PC Tools. Przeleć komputer narzędziem ESET Uninstaller. Ewentualnie jeszcze zaktualizuj dane wbem. W tym celu wklej do notatnika systemowego taki tekst: SC STOP winmgmt CD C:\WINDOWS\system32\WBEM RD /S /Q Repository SC START winmgmt Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Ja z mojej strony mogę ci polecić za darmo Avirę, Avasta lub Pande Cloud, ale każdy powie ci co innego więc decyzja należy do ciebie.

Jeszcze to niepokoi: [2010-10-03 17:58:53 | 000,000,001 | ---- | C] () -- C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd Wykonaj skan za pomocą Malwarebytes Anti-Malware i zaprezentuj raport.

Logi do poprawy. Konkretnie otl.txt nie zrobione na takich ustawieniach jakie są u nas preferowane w opisie. Wszystkie sekcje masz zaznaczyć na Użyj filtrowania więc popraw to. A log z USBfix masz wykonać z opcji Listing. Jako, że jest tutaj infekcja z pendrive urządzenie też powinieneś podpiąć podczas skanu jeśli je posiadasz. Wykonaj też brakujący log z GMER lub jeśli byłby problem z RootRepeal

Według poprzedniego logu pliku nie było, widocznie znów się pojawił. W takim razie kolejny skrypt do OTL: :OTL O4 - HKU\S-1-5-21-2254651957-1038395838-2164521862-1000..\Run: [wuaucldt] c:\users\tomasz\wuaucldt.exe () :Files C:\Users\Tomasz\AppData\Roaming\yopgrf.dat C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd :Commands [emptytemp] Nowe logi do oceny.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-2254651957-1038395838-2164521862-1000..\Run: [wuaucldt] c:\users\tomasz\wuaucldt.exe File not found O4 - Startup: C:\Users\Tomasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\algkir32.exe () O9 - Extra Button: eBay - {76577871-04EC-495E-A12B-91F7C3600AFA} - File not found O9 - Extra Button: Amazon.co.uk - {8A918C1D-E123-4E36-B562-5C1519E434CE} - File not found :Files C:\Users\Tomasz\AppData\Roaming\yopgrf.dat C:\Users\Tomasz\AppData\Roaming\avdrn.dat C:\Users\Tomasz\AppData\Local\Temp*.html C:\Users\Tomasz\oashdihasidhasuidhiasdhiashdiuasdhasd :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{485852E0-54A0-4871-BC62-09063EDCE42D}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{34079D77-50E6-4566-91AA-B23148358764}C:\program files\sopcast\adv\sopadver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Wszystko wskazuje, że w przynajmniej jednym przypadku winnym jest PC Tools Security. Na próbę odinstaluj i zobacz jak się zachowuje system.

A gdzie zgubiłeś log z ComboFix, którego używałeś? Dołącz go jeszcze i przejdziemy do usuwania.

Skrypt się nie wykonał dlatego: O jedno .txt za dużo więc popraw to i wykonaj co trzeba. Załącz kilka najnowszych zrzutów zrzutów pamięci z C:\Windows\Minidump. Możesz jeszcze wykonać log z MBRCheck Napisz dokładnie co to za błąd.

W takim razie kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. 2. Wyzeruj stan przywracania systemu: INSTRUKCJE. 3. Wykonaj obowiązkowe aktualizacje Java i Thunderbird: INSTRUKCJE.

Wygląda, że się powiodło. Finalnie do wykonania pare rzeczy. 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix. 3. Wyzeruj stan przywracania systemu: INSTRUKCJE. 4. Obowiązkowa aktualizacja - Service Pack 3 + Internet Explorer 8

Dopóki nie wykonasz logów zgodnych z zasadami działu niczego się od nas nie dowiesz. Na podstawie tego loga nie można nic powiedzieć.

W porządku, przechodzimy do usuwania. Zastanawiają mnie też te dziwne pliki .tmp na partycji D i to też usuwam. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Unknown | Running] -- -- (zxsderfbukjfyshlhdfrstdzh) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) O4 - HKLM..\Run: [0FA4F9] C:\WINDOWS\system32\3600FB\0FA4F9.EXE () O4 - HKLM..\Run: [NVMixerTray] C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe File not found O4 - HKU\S-1-5-21-436374069-1580436667-839522115-1005..\Run: [amva] C:\WINDOWS\system32\amvo.exe () O4 - Startup: C:\Documents and Settings\Testowe\Menu Start\Programy\Autostart\0FA4F9.lnk = C:\WINDOWS\system32\3600FB\0FA4F9.EXE () O4 - Startup: C:\Documents and Settings\win xp\Menu Start\Programy\Autostart\0FA4F9.lnk = C:\WINDOWS\system32\3600FB\0FA4F9.EXE () :Files autorun.inf /alldrives RECYCLER /alldrives Recycled /alldrives i.cmd /alldrives D:\n*.tmp C:\WINDOWS\system32\3600FB C:\WINDOWS\system32\amvo0.dll C:\Documents and Settings\Testowe\Menu Start\Programy\Autostart\0FA4F9.lnk C:\Documents and Settings\win xp\Menu Start\Programy\Autostart\0FA4F9.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Masz/miałeś infekcję masowo podstawiającą sterowniki. Objawy pasują do tej infekcji. Wykonaj poniższe czynności. 1. Wchodzisz w start >>> uruchom >>> devmgmt.msc i na liście usuwasz wszystkie urządzenia mające pytajnik lub wykrzyknik (o ile takie będą). 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.order.1: "Ask" [2009-07-04 17:27:38 | 000,000,687 | ---- | M] () -- C:\Documents and Settings\user\Dane aplikacji\Mozilla\Firefox\Profiles\xtcv1p52.default\searchplugins\ask.xml O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - No CLSID value found. O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O3 - HKU\S-1-5-21-1202660629-152049171-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O3 - HKU\S-1-5-21-1202660629-152049171-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found. O33 - MountPoints2\{97d5cbaa-14be-11de-8d00-001fe208a0c7}\Shell\AutoRun\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe O33 - MountPoints2\{97d5cbaa-14be-11de-8d00-001fe208a0c7}\Shell\open\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe O33 - MountPoints2\{f2893f07-99cf-11dd-8b30-001fe208a0c7}\Shell\AutoRun\command - "" = K:\bo1dhu.bat -- File not found O33 - MountPoints2\{f2893f07-99cf-11dd-8b30-001fe208a0c7}\Shell\explore\Command - "" = K:\bo1dhu.bat -- File not found O33 - MountPoints2\{f2893f07-99cf-11dd-8b30-001fe208a0c7}\Shell\open\Command - "" = K:\bo1dhu.bat -- File not found :Files C:\WINDOWS\System32\drivers\lbrtfdc.sys C:\WINDOWS\System32\dllcache\lbrtfdc.sys C:\WINDOWS\System32\dllcache\i2omgmt.sys C:\WINDOWS\System32\drivers\changer.sys C:\WINDOWS\System32\dllcache\changer.sys C:\WINDOWS\system32\drivers\oopuhnpkpjv.sys :Services khqlmxop :Commands [emptyflash] [emptytemp] [resethosts] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Czy coś się poprawiło po tych zabiegach? Wykonaj jeszcze log z OTL na takim ustawieniu - sekcja Usługi i sekcja Sterowniki zaznacz Wszystko, a reszte ustaw na brak i wykonaj log.

Niestety ale "jakiś" komunikat musi być nam pokazany lub przepisany. Nie można się domyślić po logach o co chodzi i od czego był komunikat. W logach brak śladu infekcji. Temat na razie wędruje do Windows.

ComboFix użyty bezpodstawnie. Radzę poczytać: https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/ Nastepnie wykonaj logi zgodnie z naszymi zasadami: https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/

Zacznijmy od tego że tu był stosowany ComboFix i nic o tym nie wspominasz. Pokaz log z jego pracy bo musi być wiadome co on tam robił. Gmerem się nie przejmuj. Dałeś RootRepeal a to jest wlaściwie to samo i wystarczy. W logach nie widać czynnej infekcji, ale jest podejrzenie, że tu była infekcja podstawiająca sterowniki co jest widoczne w logu: DRV - [2004-08-03 23:00:14 | 000,008,192 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\changer.sys -- (Changer) DRV - [2004-08-03 22:59:34 | 000,034,688 | ---- | M] (Toshiba Corp.) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\lbrtfdc.sys -- (lbrtfdc) Plików changer.sys + lbrtfdc.sys normalnie na XP być nie powinno. Normalne zjawisko to puste usługi bez plików. Twój objaw spowolnienia pracy systemu pasuje do tej infekcji. 1. Wchodzisz w start >>> uruchom >>> devmgmt.msc i na liście usuwasz wszystkie urządzenia mające pytajnik lub wykrzyknik (o ile takie będą). 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\XVSROXXBIUVV.exe -- (XVSROXXBIUVV) SRV - File not found [On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\XEJX.exe -- (XEJX) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\System32\mklmon32.exe -- (Mklmonservice) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\vitality.sys -- (Vitality) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\SAS_SelfExtract\SASKUTIL.sys -- (SASKUTIL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\SAS_SelfExtract\SASENUM.SYS -- (SASENUM) DRV - File not found [Kernel | System | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\SAS_SelfExtract\SASDIFSV.SYS -- (SASDIFSV) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\admin\Pulpit\xqz ring0 by dedi\xqz ring0 by dedi\injectDLL.sys -- (injectDLL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ftser2k.sys -- (FTSER2K) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ftdibus.sys -- (FTDIBUS) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ENTECH.sys -- (ENTECH) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\CnxTgNW.sys -- (CnxTgNW) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\CnxEtU.sys -- (CnxEtU) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\CnxEtP.sys -- (CnxEtP) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\ChangeMe.sys -- (ChangeMe) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\admin\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex) O3 - HKU\S-1-5-21-1229272821-73586283-839522115-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found. :Files C:\WINDOWS\System32\drivers\changer.sys C:\WINDOWS\System32\drivers\lbrtfdc.sys :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Pokarz wynikowy log.

Gmera nie pokazałeś, ale to exe więc pewnie też byś nie uruchomił. To na infekcję akurat nie wygląda bo wtedy objaw jest nieco inny. Może to być problem ze skojarzeniami typów plików. Być może pomocne okaże się narzedzie FileTypesMan

Powtórz skrypt do ComboFix o następującej treści: RenV:: c:\program files\Skype\Phone\Skype .exe Kontrolnie nowy log juz tylko z ComboFix.

Masz infekcję z urządzenia przenośnego. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.