Landuss

Avira też wyrzuca jakieś komunikaty

To musisz sprecyzować dokładnie co to są za komunikaty i o jakiej treści.

Gmera oczywiście wykonać musisz. Pamiętaj tylko o wyłączeniu emulatorów bo obecnie masz aktywne. Poza tym możesz wykonać też log z MBRCheck

1. Zacznij od wykonania dwóch logów z OTL

2. Wykonaj log z MBRCheck

Nie bardzo jest tutaj czego szukać bo logi nie wykazują infekcji a przyczyny trzeba szukać gdzie indziej.

1. Sprawdzić jak się zachowuje system po deaktywacji lub nawet odinstlowaniu Nortona.

2. Za pomocą narzędzia Autoruns wyłącz trwale poniższe wpisy w karcie Logon:

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Camera Assistant Software] C:\Program Files\Camera Assistant Software for Toshiba\traybar.exe (Chicony)

O4 - HKLM..\Run: [FingerPrintNotifer] C:\Program Files\TrueSuite Access Manager\FpNotifier.exe (AuthenTec, Inc)

O4 - HKLM..\Run: [Google EULA Launcher] c:\Program Files\Google\Google EULA\GoogleEULALauncher.exe ( )

O4 - HKLM..\Run: [PwdBank] C:\Program Files\TrueSuite Access Manager\PwdBank.exe (Arachnoid Biometrics Identification Group)

O4 - HKLM..\Run: [smoothView] C:\Program Files\Toshiba\SmoothView\SmoothView.exe (TOSHIBA Corporation)

O4 - HKLM..\Run: [sMSTray] C:\Program Files\Samsung\Samsung Media Studio 5\SMSTray.exe (SAMSUNG ELECTRONICS)

O4 - HKLM..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe (TOSHIBA)

O4 - HKLM..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe (Toshiba)

O4 - HKLM..\Run: [Toshiba TEMPO] C:\Program Files\Toshiba TEMPRO\Toshiba.Tempo.UI.TrayApplication.exe (Toshiba Europe GmbH)

O4 - HKU\S-1-5-21-2121021179-2380161755-872617078-1000..\Run: [TOSCDSPD] C:\Program Files\Toshiba\TOSCDSPD\TOSCDSPD.exe (TOSHIBA)

O4 - Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)

O4 - Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\TRDCReminder.lnk = C:\Program Files\Toshiba\TRDCReminder\TRDCReminder.exe (TOSHIBA Europe)

W karcie Task Scheduler usuń poniższe niepotrzebne zaplanowane zadania od Google:

[2010-09-12 15:07:05 | 000,001,036 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2010-09-12 15:01:11 | 000,001,062 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2121021179-2380161755-872617078-1000UA.job

[2010-08-29 11:25:51 | 000,001,010 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskUserS-1-5-21-2121021179-2380161755-872617078-1000Core.job

3. Wykonaj defragmentacje dysku za pomocą Puran Defrag Free Edition

Temat zostaje przeniesiony do działu systemowego.

Wygląda na to, że wszystko się powiodło ale w najbliższym czasie obserwuj czy infekcja znowu się nie uaktywniła.

1. Użyj opcji Sprzątanie z OTL.

2. Koniecznie zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz IE ma być w najnowszej wersji co zwiększa bezpieczeństwo.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
RECYCLER /alldrives
 
:Services
asc3360pr
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

W logach właściwie nie widać aktywnej infekcji. Jedyne co zastanawia to nieznane mi zaplanowane zadanie:

[2010-09-04 13:32:23 | 000,000,310 | -HS- | M] () -- C:\WINDOWS\tasks\jpeljmsor.job

Przeskanuj ten plik na skanerze Virus Total i daj znać jakie są wyniki. Plik jest ukryty dlatego przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych + systemowych plików i folderów.

Poza tym masz bardzo mało wolnego miejsca na partycji "E":

Drive E: | 74,83 Gb Total Space | 0,18 Gb Free Space | 0,24% Space Free | Partition Type: NTFS

To też może mieć niepożądany wpływ na system.

W logach widzę też oprogramowanie IObit, którego tutaj nie polecamy dlatego, że twórcy kradli sygnatury właśnie Malwarebytes. Radzę to odinstalować za pomocą BitRemover. Zobacz czy coś się zmieni po jego odinstalowaniu.

Niestety ale sytuacja jest trudna. ComboFix usuwał taką usługe:

(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ASC3360PR

-------\Service_asc3360pr

-------\Legacy_ASC3360PR

-------\Service_asc3360pr

To sugeruje wirusa Sality, który infekuje wszystkie pliki .EXE na dysku. Skoro po formacie nadal jest to albo nie sformatowałeś wszystkich partycji, albo gdzieś zostawiłeś zalążek wirusa i tym samym ponownie zaogniłeś infekcje. Poczytaj sobie temat na naszym forum o tych infekcjach: KLIK

W twoim przypadku najlepiej po pierwsze użyć narzędzia Sality Killer, a po drugie lepszym sposobem jest po prostu skanowanie z zewnątrz (nie spod działającego Windowsa) poprzez zrobienie na innym zdrowym komputerze bootowalnej płytki: KLIK. Proponuję wykonać płytkę Dr.Web LiveCD lub Kaspersky Rescue Disk.

Dopiero po tym możesz zgłosić się tutaj z nowymi logami z Gmera i OTL.

To by było na tyle z usuwania i problem powinien zniknąć.

1. Użyj opcji Sprzątanie z OTL.

2. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.

3. Zaktualizuj IE do wersji Internet Explorer 8. Nawet jeśli nie korzystasz powinna być w najnowszej wersji.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
autorun.inf /alldrives
RECYCLER /alldrives
vgyn6ewc.exe /alldrives
cgaqyi.exe /alldrives
utcddeq.exe /alldrives
i8ikdjwt.exe /alldrives
Recycled /alldrives
9rfpp.exe /alldrives
bbjl2g.exe /alldrives
affi8l.exe /alldrives
mi9al8rs.exe /alldrives
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]
[clearallrestorepoints]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Z panelu sterowania opcja dodaj/usuń programy odinstaluj niepotrzebny ZoneAlarm Toolbar.

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

To nic innego jak infekcja z mediów przenośnych np. z pendrive. Nie wykonałeś drugiego loga z OTL - extras.txt. Podczas skanu opcja Rejestr - skan dodatkowy ma być zaznaczona na Użyj filtrowania. Uzyskaj ten log i wklej go na forum.

Poza tym najlepiej przy podpiętych wszelkich urządzeniach przenośnych uruchom USBFix z opcji Listing i pokaż wynikowy raport.

Teraz jest już dobrze i tylko końcówka do zrobienia.

1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Krzysiek\Pulpit\ComboFix.exe" /uninstall

2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner

3. Dokonaj obowiązkowej aktualizacji systemu - Service Pack 3

Logi nie wykazują aktywnej infekcji. Możesz ewentualnie sprawdzić co pokaże Virus Total, ale moim zdaniem to nie wygląda na infekcję. Tym bardziej jeśli łatka była pobierana z zaufanego źródła.

Skrypt jednak nie do końca wykonany bo nie poszedł sterownik.

Powtórz skrypt z takątreścią:

Driver::
xp
sgoybcrmn

Wynikowy log do oceny.

Wklej do notatnika taki tekst:

File::
c:\windows\system32\zijdj.dll
 
Driver::
xp
sgoybcrmn
 
NetSvc::
sgoybcrmn
 
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^All Users^My applications^Windows Defender Apps Control.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6681:TCP"=-

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

Wklejasz wynikowy log z ComboFix.

Wszystko wygląda w porządku. Wykonaj poniższe zalecenia:

1. W Start > Uruchom > wklej i wywołaj polecenie "C:\Documents and Settings\panJankowski\Pulpit\ComboFix.exe" /uninstall

2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner

3. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.

4. Dokonaj obowiązkowej aktualizacji Service Pack 3 + Internet Explorer 8: INSTRUKCJE.

1. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

2. Wykonaj log z GMER

Operacja pomyślnie wykonana. Kroki końcowe:

1. Wejdź w start >>> uruchom >>> regedit i skasuj z prawokliku ten klucz:

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4249f6f0-5227-11df-ba59-028037ec0200}

2. Wyzeruj stan przywracania systemu: KLIK

3. Użyj opcji Vaccinate z USBFix w celu nałożenia zabezpieczenia.

4. Możesz wykonać skan za pomocą Malwarebytes Anti-Malware

.

W tym wypadku zacznij od zastosowania ComboFix i wklej wynikowy log.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\Documents and Settings\administrator.AXPLNT01\Dane aplikacji\gnja.exe
 
:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Taskman"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Zastosuj się do zasad działu i wklej wymagane logi: KLIK. ComboFixa też dołącz skoro go używałeś.

Logi nie wykazują żadnej infekcji więc możesz być spokojny. To wygląda na fałszywy alarm, a kwarantanne możesz sobie opróżnić jeśli ci przeszkadza.

Operacja pomyślnie wykonana. Na koniec pare rzeczy jeszcze do zrobienia.

1. W menu Start w polu szukania wpisz Uruchom a następnie wklej i wywołaj polecenie "e:\users\Damian\Downloads\ComboFix.exe" /uninstall

2. Wykonaj skan za pomocą Malwarebytes Anti-Malware

3. Wykonaj obowiązkową aktualizację Java: INSTRUKCJE.

1. Start > w polu szukania wpisz regedit > wejdź do klucza:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

Dwuklik w wartość Startup i zastąp obecny tam ciąg prawidłową ścieżką Windows 7:

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

2. Wklej do notatnika taki tekst:

File::
C:\Program Files\My applications\Windows Live Control.exe
C:\Program Files\My applications\Windows Defender Apps Control.exe
e:\users\Damian\AppData\Roaming\TuneUp Software\TuneUp Utilities\StartUp Manager\Wyłącz obiekty\win.exe
 
Folder::
c:\program files\My applications
 
Registry::
[-HKLM\~\startupfolder\C:^Program Files^My applications^W]
[-HKLM\~\startupfolder\C:^Program Files^My applications^Windows Defender Apps Contro]

Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób:

3. Wklejasz nowy log z ComboFix, Gmer i OTL.

1. Zastosuj ComboFix i wklej z niego log.

2. Wykonaj log z Gmer na ustawieniu - Rootkit >>> zaznaczyć tylko Usługi >>> zaznaczyć Pokaż wszystko >>> Szukaj >>> Zapisz

Na początek radzę poczytać i się zastosować:

https://www.fixitpc.pl/forum-38/announcement-3-wazne-zakladanie-tematu-obowiazkowe-logi/

https://www.fixitpc.pl/topic/7-dezynfekcja-narzedzie-combofix/