Landuss

OTS to log alternatywny a nie podstawowy. Prosze wykonać logi wymagane czyli OTL + Gmer Vista Service Pack 2

I poza tym wszystko jest dobrze? Bo jesli tak to juz tu nie ma co robić tylko drobne sprawy. 1. Użyj opcji Sprzątanie z OTL. 2. Wykonaj aktualizację systemu oraz IE - Service Pack 3 + Internet Explorer 8 Możesz też odinstalować zbędny AOL Toolbar jeśli nie korzystasz.

Mbam nie pomoże bo po pierwsze sam został już zainfekowany a po drugie tu jest infekcja biorąca się za pliki exe uruchamiane w autostarcie. Wklej do notatnika taki tekst: RenV:: c:\program files\cFosSpeed\cFosSpeed .exe c:\program files\Common Files\Java\Java Update\jusched .exe c:\program files\Logitech\Logitech WebCam Software\LWS .exe c:\program files\Malwarebytes' Anti-Malware\mbam .exe c:\program files\Nokia\Nokia PC Suite 7\PCSuite .exe c:\program files\Skype\Phone\Skype .exe File:: c:\windows\system32\~.tmp c:\programdata\gFr3Y2PR8.dat C:\Users\Maja\AppData\Local\Temp*.html Driver:: HLTEAHI GY DUV .1254677016 Registry:: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "KiesTrayAgent"=- [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SearchSettings] Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Wklejasz nowy log z ComboFix i nowe logi z OTL.

Usuń tą pozycję z wykrzyknikiem. Następnie zamontuj taki skrypt do OTL: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Dom\USTAWI~1\Temp\Rar$EX00.187\Kiki Engine 1.41\kiki.sys -- (KIKIDRIVER) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Dom\USTAWI~1\Temp\51771640.09- -- (ByakkoDriver) O4 - HKLM..\Run: [KernelFaultCheck] File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Możesz pokazać log z usuwania. Daj znać czy problem nadal występuje.

Osobiście polecam Online Armor Free Edition. Sprawdź, może nie będzie sprawiał problemów.

Nie ma tu co szukać infekcji. Logi jej nie wykazują. Pierwszy podejrzany - ZoneAlarm. Pozbądź się go i sprawdź. Temat idzie do Sieci.

Sprawdź czy odpalisz OTL.scr. Jeśli i to zawiedzie pozostaje wykonanie logów z płytki OTLPE

Logi z OTL robione nie na takim ustawieniu jak opisane u nas na forum. Do poprawki. Wszystkie opcje w OTL ustawiasz na Użyj filtrowania i dopiero wtedy wykonujesz logi. Wykonaj tez brakujący log z Gmer Wejdź w start >>> uruchom >>> wpisz devmgmt.msc i szukaj na liście czy nie ma jakichś pytajników itp przy danym urzadzeniu. Jeśli tak to daj znać. Sterownik XDva288.sys widzę w logu, później to usuniemy.

USBFix nie wykazuje infekcji, ale nic nie piszesz czy podpiąłeś to właściwe infekcyjne urządzenie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files $RECYCLE.BIN /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL.

Są ślady infekcji z urządzenia przenośnego np. z pendrive, telefonu, aparatu itp: O33 - MountPoints2\{46f03e32-a090-11df-94ed-001a6bbdd14a}\Shell\AutoRun\command - "" = H:\ O33 - MountPoints2\{46f03e32-a090-11df-94ed-001a6bbdd14a}\Shell\explore\command - "" = mane\\\strane.exe O33 - MountPoints2\{46f03e32-a090-11df-94ed-001a6bbdd14a}\Shell\open\command - "" = mane\\\strane.exe O33 - MountPoints2\{7a5d1184-8d39-11df-aeb9-001a6bbdd14a}\Shell\AutoRun\command - "" = .\garbage/[Filtr wulgaryzmów]ec.exe O33 - MountPoints2\{7a5d1184-8d39-11df-aeb9-001a6bbdd14a}\Shell\explore\command - "" = garbage////[Filtr wulgaryzmów]ec.exe O33 - MountPoints2\{7a5d1184-8d39-11df-aeb9-001a6bbdd14a}\Shell\open\command - "" = garbage\\\[Filtr wulgaryzmów]ec.exe O33 - MountPoints2\{df3278f1-c154-11df-8efe-001a6bbdd14a}\Shell\AutoRun\command - "" = LEVATE\\\macuru.exe O33 - MountPoints2\{df3278f1-c154-11df-8efe-001a6bbdd14a}\Shell\explore\command - "" = LEVATE\\\\macuru.exe O33 - MountPoints2\{df3278f1-c154-11df-8efe-001a6bbdd14a}\Shell\open\command - "" = LEVATE\\\\macuru.exe O33 - MountPoints2\H\Shell\AutoRun\command - "" = .\garbage/[Filtr wulgaryzmów]ec.exe O33 - MountPoints2\H\Shell\explore\command - "" = garbage////[Filtr wulgaryzmów]ec.exe O33 - MountPoints2\H\Shell\open\command - "" = garbage\\\[Filtr wulgaryzmów]ec.exe Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

1. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport. 2. Wykonaj logi z OTL + GMER

Infekcję widać choć nie jest tego zbyt wiele. Sprawdzimy czy rzeczywiście to jest powodem problemu, jesli nie to będziemy szukać dalej. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [File_System | Boot | Stopped] -- C:\Windows\System32\DRIVERS\Lbd.sys -- (Lbd) O4 - HKLM..\Run: [Adobe ARM] C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe File not found O4 - HKLM..\Run: [winn] C:\Windows\System32\winn\winn.exe (Konsorcjum EuroFirma) :Files C:\Windows\System32\winn :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "{7F7CF2B2-54E0-40E4-983B-19765B3DE0DD}"=- "{B2455284-EE1A-41A9-BB6D-8969F9596BB3}"=- "UDP Query User{C632743B-133D-4921-AB04-3083505E8D35}C:\windows\system32\winn\winn.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To akurat bym zostawił bo nie wygląda mi na powiązanie z Virtualem.

Infekcji tutaj nie widać. Od Virtuala stoją te usługi: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt) DRV - [2010-08-05 14:08:02 | 000,031,824 | ---- | M] (Oracle Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VBoxUSB.sys -- (VBoxUSB) DRV - [2010-02-12 21:34:58 | 000,099,152 | ---- | M] (Sun Microsystems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\VBoxNetAdp.sys -- (VBoxNetAdp) Zamontuj taki skrypt do OTL: :Files C:\WINDOWS\system32\drivers\VBoxUSB.sys C:\WINDOWS\system32\drivers\VBoxNetAdp.sys :Services VBoxNetFlt VBoxUSB VBoxNetAdp :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Finalnie możesz pokazać wynikowy log.

To zależy tylko od ciebie, chcesz to włącz a nie to nie. Zresztą ja nie wiem czy on się sam nie przestawi jeśli będzie taka potrzeba. Jeśli nic się nie dzieje to nie widzę takiej potrzeby. Kontrolnie możesz się skanować jakimiś skanerami - polecam Malwarebytes Anti-Malware Temat zamykam.

W logach nie widać śladu czynnej infekcji, ale nie wykonałeś loga z Gmer który jest obowiązkowy więc go załączysz. W dodatku posługiwałeś się ComboFix więc z niego log też jest wymagany aby wiedzieć co on tam robił. Z OTL można usunąć rzeczy zbędne i teraz będziesz to wykonywał. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- c:\Program Files\Lenovo\System Update\SUService.exe -- (SUService) SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService) SRV - File not found [Auto | Stopped] -- C:\Program Files\mks_vir_9\bin\mks_services.exe -- (mks_services) SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\npptNT2.sys -- (NPPTNT2) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipinip.sys -- (IpInIp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\ProgramData\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found O3 - HKU\S-1-5-21-883408154-990023310-2734133172-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. :Files C:\Users\Łukasz\AppData\Local\Temp*.html :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{48A8E15D-4E6F-4676-A4AD-F7D1DEBB27FC}C:\program files\sopcast\adv\sopadver.exe"=- "TCP Query User{F3E5D749-4A0E-4D03-9404-CF71B2238F7E}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{0A4264FB-2B55-40E3-9CAB-A53BB7F72A5E}C:\program files\sopcast\adv\sopadver.exe"=- "UDP Query User{0E0CBFA5-9926-4EA1-AB0C-0F72A74992FE}C:\program files\sopcast\adv\sopadver.exe"=- :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Według loga extras jest jak najbardziej, sam zobacz: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar Spróbuj to wykończyć za pomocą ToolBar S&D Generalnie w logach nie widać już niczego na usuwanie więc wykonaj jeszcze poniższe zalecenia: 1. W Start w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "c:\users\abc\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Wykonaj obowiązkowe aktualizacje: Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) Uzupełnij SP2 + IE8: INSTRUKCJE .

Zabrakło loga z Gmer którego też powinieneś wykonać. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\System32\DRIVERS\ipinip.sys -- (IpInIp) DRV - File not found [Kernel | On_Demand | Running] -- C:\Program Files\Garena\plugins\UI\safedrv.sys -- (GGSAFERDriver) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\abc\AppData\Local\Temp\PDLEA7F.tmp -- (GarenaPEngine) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.6.6.117 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=SPC2&o=15000&locale=en_US&apn_uid=16A7EFA7-1239-4AAE-ADB4-0EEA4EDCFA66&apn_ptnrs=PV&apn_sauid=4F6F3FD9-AF15-44B7-B22A-9D4117D6F6BC&apn_dtid=&q=" [2010-06-24 21:05:42 | 000,000,000 | ---D | M] -- C:\Users\abc\AppData\Roaming\mozilla\Firefox\Profiles\re86uvme.default\extensions\toolbar@ask.com [2010-09-14 19:32:56 | 000,002,556 | ---- | M] () -- C:\Users\abc\AppData\Roaming\Mozilla\FireFox\Profiles\re86uvme.default\searchplugins\askcom.xml :Files $RECYCLE.BIN /alldrives :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj śmiecia Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Wykonaj też log z USBFix z opcji Listing.

Po pierwsze radze przeczytac: https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/ Po drugie: https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/

Nic tutaj nie ma. Jedynie też kłania się aktualizacja Avasta oraz IE i Service Packa.

Wszystko zostało pomyślnie usunięte. Wykonaj jeszcze na koniec poniższe kroki: 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix - to nałoży zabezpieczenie 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1033-7B44-A70700000002}" = Adobe Reader 7.0.7 "Mozilla Firefox (3.0.5)" = Mozilla Firefox (3.0.5) "avast!" = avast! Antivirus Niezbędna instalacja SP3 + IE8, aktualizacja wersji Avast oraz pozostałych tu wyliczonych: INSTRUKCJE. .

Gmera nie musisz mi pokazywać bo tam się nic nie zmienia. To rootkit detector, a u ciebie nie ma takiej infekcji. Przy podpiętych dyskach zamontuj taki skrypt do OTL: :Processes killallprocesses :Files RECYCLER /alldrives G:\autorun.inf Wynikowo podajesz log z usuwania OTL (powinien się otworzyć w notatniku) oraz nowy log z USBFix.

Według logów nie ma tutaj czym się przejmować. To co wykryła Avira to tylko na partycji E i są to obiekty od infekcji z pendrive. Według raportu Avira zostały usunięte. Dla pewności możesz wkleić jeszcze log z USBFix z opcji Listing, żeby sprawdzić partycje na okoliczność tej infekcji. Wykonaj też następujący skrypt do OTL (kosmetyczne usuwanie pustych usług i oczyszczanie tempów): :OTL SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\Lineage II\system\npkcrypt.sys -- (npkcrypt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Ja\USTAWI~1\Temp\MUR5.tmp -- (GarenaPEngine) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\Drivers\DgiVecp.sys -- (DgiVecp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\AmdTools.sys -- (AmdTools) :Commands [emptyflash] [emptytemp] Wkleić możesz tutaj tylko log powstały z usuwania. Powinien się otworzyć w Notatniku, jeśli nie - będzie w folderze C:\_OTL Sprawdź też czy na każdej przeglądarce masz problem z wczytywaniem stron. Taką diagnostyke to już trzeba wystawiać w dziale Hardware.

W takim rzie podepnij wszystkie dyski i uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Rozpoczynamy usuwanie. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Disabled | Stopped] -- -- (NMIndexingService) SRV - File not found [On_Demand | Stopped] -- -- (ACDaemon) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\XtremeTuner\PMReader.sys -- (WINIO) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbdev.sys -- (hwusbdev) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\DRIVERS\ewusbmdm.sys -- (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Dokumenty Mariusza\Overclocking\A64Tweaker_V0.6beta\cpuz.sys -- (cpuz) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\TBPANEL.SYS -- (Cardex) FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=14797" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=adbartrp&AF=14797&q=" [2010-09-09 18:47:50 | 000,000,000 | ---D | M] (Babylon-English Toolbar) -- C:\Documents and Settings\-M-A-D-\Dane aplikacji\Mozilla\Firefox\Profiles\npns500x.default\extensions\{ce18769b-c7fa-42d2-860d-17c4662c70ad} O33 - MountPoints2\{8720d54a-ed7a-11de-9d3f-00508d957883}\Shell\AutoRun\command - "" = L:\k0maw.exe -- File not found O33 - MountPoints2\{8720d54a-ed7a-11de-9d3f-00508d957883}\Shell\open\Command - "" = L:\k0maw.exe -- File not found :Files C:\WINDOWS\Tasks\Wczgoreug.job C:\WINDOWS\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.