Landuss

Infekcja pomyślnie usunięta i nic tu więcej nie widać. 1. Użyj opcji Sprzątanie z OTL. 2. System nie ma SP3 i IE8: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Wykonaj obowiązkowe aktualizacje: INSTRUKCJE. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1177238915-1637723038-839522115-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found O4 - HKU\S-1-5-21-1177238915-1637723038-839522115-1003..\Run: [ap.exe] C:\Documents and Settings\Bartek\Dane aplikacji\PCenter\ap.exe () O20 - HKU\S-1-5-21-1177238915-1637723038-839522115-1003 Winlogon: Shell - (C:\Documents and Settings\Bartek\Dane aplikacji\PCenter\sp.exe) - C:\Documents and Settings\Bartek\Dane aplikacji\PCenter\sp.exe () :Files C:\Documents and Settings\Bartek\Dane aplikacji\PCenter :Services .EsetTrialReset :Reg [HKEY_USERS\S-1-5-21-1177238915-1637723038-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Zamiast Gmer spróbuj wykonać z RootRepeal

Jak będziesz miał dysk zewnętrzny to możesz go podpiąć i wykonać log z USBFix. Temat pozostawię ci otwarty. Nie wiem co to jest i ja bym tego nie usuwał.

Wygląda na to, że wszystko poszło jak trzeba. Do wykonania jeszcze poniższe punkty 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix w celu zabezpieczenia przed infekcjami z mediów. 3. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11 "{1BC4026B-1957-4514-9058-2B542557F143}" = Opera 9.63 Szczegółowe instrukcje: INSTRUKCJE. .

Strona też jest wynikiem z kolei innej infkecji, którą też usuniemy. Urządzenie ma być teraz podpięte jeśli je posiadasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1390067357-362288127-682003330-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Reg Error: Value error. File not found O4 - HKLM..\Run: [A15F39] C:\WINDOWS\system32\AC58E3\A15F39.EXE () O4 - HKU\S-1-5-21-1390067357-362288127-682003330-1003..\Run: [dso32] C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\dsoqq.exe () O4 - Startup: C:\Documents and Settings\Marek\Menu Start\Programy\Autostart\A15F39.lnk = C:\WINDOWS\system32\AC58E3\A15F39.EXE () :Files 09lf.exe /alldrives 0fpdq2dw.exe /alldrives 12gn6id2.exe /alldrives 1gkbvsni.exe /alldrives 1hqup.exe /alldrives 1thes92p.exe /alldrives 1wf.exe /alldrives 31lyx.exe /alldrives 33r.exe /alldrives 3dcs9.exe /alldrives 8xcrbho6.exe /alldrives 9d6tpg.exe /alldrives 9fo3ar0j.exe /alldrives 9qqigqwf.exe /alldrives 9rfpp.exe /alldrives autorun.inf /alldrives awb3ryk.exe /alldrives ba.exe /alldrives bbjl2g.exe /alldrives bu8.exe /alldrives bveijo.exe /alldrives c2e.exe /alldrives ca.exe /alldrives cgaqyi.exe /alldrives chxnxyx.exe /alldrives cobn8w3.exe /alldrives df.exe /alldrives dqm.exe /alldrives e9naq.exe /alldrives eer6ril9.exe /alldrives eyruu.exe /alldrives f2kmj.exe /alldrives f662sjd.exe /alldrives fk.exe /alldrives g6jk.exe /alldrives g8k.exe /alldrives ggb6w.exe /alldrives hc3hvi0.exe /alldrives i8gcgmg.exe /alldrives i8ikdjwt.exe /alldrives img8hi.exe /alldrives iuvvl9f3.exe /alldrives ji83j.exe /alldrives k1d.exe /alldrives kmj.exe /alldrives lhhr8.exe /alldrives mh.exe /alldrives mi9al8rs.exe /alldrives mvmdh.exe /alldrives n0qls.exe /alldrives p3vwxx.exe /alldrives p6xebrnt.exe /alldrives p9rs.exe /alldrives Recycle.exe /alldrives pbyqfn.exe /alldrives qhbfqx.exe /alldrives qkm.exe /alldrives r3fhr.exe /alldrives r3x0k.exe /alldrives RECYCLER /alldrives RESTORE /alldrives rfg.exe /alldrives rhwhin.exe /alldrives s1.exe /alldrives sdfqh.exe /alldrives sywyrl0q.exe /alldrives tgt.exe /alldrives twhvna.exe /alldrives utcddeq.exe /alldrives vgyn6ewc.exe /alldrives vi8f.exe /alldrives wa.exe /alldrives wkimt.exe /alldrives ws.exe /alldrives wyskq6lt.exe /alldrives x3xh.exe /alldrives xjb3.exe /alldrives y6cqb2is.exe /alldrives yqq8eqil.exe /alldrives ysyjq1bs.exe /alldrives C:\WINDOWS\system32\AC58E3 C:\WINDOWS\system32\35DDF5 C:\Documents and Settings\Marek\Ustawienia lokalne\Temp C:\Documents and Settings\Marek\Menu Start\Programy\Autostart\A15F39.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

Pliki, o których wspominasz to część infekcji z mediów przenośnych. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services Bonjour Service :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3705:TCP"=- :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 2. Wykonaj skan przez Malwarebytes Anti-Malware i zaprezentuj raport.

Zasady działu nie do końca spełnione i log z OTL też nie zrobiony na takich ustawieniach jak trzeba. Do poprawek: 1. Robisz log z OTL i wszystkie ustawienia mają być zaznaczone na Użyj filtrowania. W rezulatacie powinny wyjść dwa logi otl.txt + extras.txt. 2. Log z Gmer próbujesz robić przy aktywnych emulatorach co jest niedopuszczalne: DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt) DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) To przeszkadza i na początek zastosuj się do zaleceń z tego tematu: KLIK. W razie problemów usuń powyższe obiekty za pomocą Autoruns. Zamiennie możesz też wykonać log z RootRepeal

1. WKlej do notatnika nastepujący tekst: File:: c:\windows\system32\beed.sys Driver:: beed Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Wklejasz nowy log utworzony z ComboFix i nowe logi z OTL.

Konkretnie jaki to błąd? 1. Wykonaj log z MBRCheck 2. Przeskanuj sie za pomocą Malwarebytes Anti-Malware i zaprezentuj log.

W logach nie widać żadnej aktywnej infekcji więc raczej nie mamy tu nic do roboty więcej. Wszystko zostało wyjaśnione. Temat zamykam.

Logi są czyste i nie ma tu podstaw do szukania aktywnej infekcji.

Oni na tym forum kompletnie nie mają pojęcia o logach i tylko mogli pogorszyć twój problem. MBRCheck nie wykazuje infekcji. Z prawokliku odinstaluj tą pozycje i wykonaj restart komputera. Sprawdź czy coś się zmieniło i czy nadal będzie tam wykrzyknik.

W logach nie widać właściwie niczego co wskazywałoby na aktywną infekcję. Jeszcze dla pewności wykonaj log z MBRCheck Sprawdź ponownie Start >>> uruchom >>> wpisz devmgmt.msc następnie kliknij w widok i zaptaszkuj opcję pokazywania urządzeń ukrytych. Patrz czy nie ma gdzieś przy jakiejś pozycji pytajnika lub wykrzyknika. Jeśli jest to napisz jaka to pozycja. BTW: Dobrze by było abyś podał link do forum na którym była prowadzona wcześniejsza pomoc.

To wszystko włącznie z restartem to najpewniej wina samego Gmera. W końcu to sterownik i sam w sobie może sprawiać problemy. W logach nie widzę niczego podejrzanego no ale nie dostałem żadnego loga z rootkit detectora. Mówisz, że masz z nimi problem, a czy na pewno zastosowałeś się do tematu o zdjęciu emulatorów?: KLIK

Tak myślałem, że któreś z tych oprogramowań sprawia problem. Wgraj sobie darmowego antywirusa Avira. Jest lekki i nie powinien sprawiać problemów.

Ominąłem wcześniej jeden szczegół więc zamontuj jeszcze jeden skrypt: :OTL O4 - HKLM..\RunOnce: [MyWebSearch bar Uninstall] C:\Program Files\Uninstall Fun Web Products.dll (MyWebSearch.com) :Files C:\Program Files\Uninstall Fun Web Products.dll :Commands [emptytemp] Logów już nie musisz pokazywać. Problemy z siecią możesz opisać właśnie w dziale sieci.

W logach brak śladu aktywnej infekcji. Drobne uwagi na podstawie logów: 1. Powtarzający się błąd w dzienniku zdarzeń: Error - 2010-07-29 03:37:31 | Computer Name = DOM | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi PSTRIP z powodu następującego błędu: %%2 Wejdź w start >>> uruchom >>> wpisz cmd i wklep polecenie SC DELETE PSTRIP 2. Sprawdź jak się zachowuje system po całkowitym pozbyciu się Comodo oraz kodeków K-Lite. Jeśli nic się nie zmieni temat najprawdopodobniej zmieni dział.

W logach nie widać śladu aktywnej infekcji jednak usuniemy parę zbędnych rzeczy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2636068138-2957215748-2907887089-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.5.0.145 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=PTV&o=15184&locale=en_US&apn_uid=D8E3730D-10FF-437C-A8BC-8DE3F175D821&apn_ptnrs=RY&apn_sauid=DA6A7E70-5E89-47D7-940B-ED3EE70F6F5F&apn_dtid=&q=" [2010-07-09 22:05:22 | 000,000,000 | ---D | M] -- C:\Users\Lucassith\AppData\Roaming\Mozilla\Firefox\Profiles\gk5dbcdz.default\extensions\toolbar@ask.com [2010-07-30 18:52:37 | 000,002,555 | ---- | M] () -- C:\Users\Lucassith\AppData\Roaming\Mozilla\Firefox\Profiles\gk5dbcdz.default\searchplugins\askcom.xml O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-2636068138-2957215748-2907887089-1000\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [HDDtemp4] F:\Program Files\BinarySense\HDDTemp4\HDDtemp4.exe File not found O4 - HKU\S-1-5-21-2636068138-2957215748-2907887089-1000..\Run: [AdobeBridge] File not found :Services MSSQL$BWDATOOLSET HDD & SSD access service VMnetAdapter Loader :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj pozycje śmiecia Ask Toolbar 3. Profilaktycznie przeskanuj się za pomocą Malwarebytes Anti-Malware i zaprezentuj wyniki. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Usuń to co znalazł MBAM i to by było na tyle.

W logach nie widać aktywnej infekcji. Możemy jedynie usunąć rzeczy zbędne + drobne spyware. 1. Uruchom OTL i w oknie Własne opcje skanowania / skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) FF - prefs.js..browser.search.defaultenginename: "Yahoo! Search" FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js..keyword.URL: "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_us&p=" FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2010-07-27 11:11:52 | 000,000,000 | ---D | M] O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O4 - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000..\Run: [AdobeBridge] File not found O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} "http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/WebfettiInitialSetup1.0.1.1.cab" (Reg Error: Key error.) :Files C:\Program Files\MyWebSearch C:\Users\Przemek\AppData\Local\Temp*.html :Services Bonjour Service MyWebSearchService :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj śmiecia My Web Search (Webfetti) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Temat łącze w jeden. To nie jest już problem. To obiekty właśnie w Przywracaniu systemu. Jak je wyłączysz to folder przywracania się opróżni: INSTRUKCJE.

Infekcja pomyślnie usunięta. Drobnostki na koniec o wykonania. 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBfix co spowoduje nałożenie zabezpieczenia przeciwko tym infekcjom. 3. Zaktualizuj IE do stanu Internet Explorer 8. To konieczne nawet jeśli z niej nie korzystasz.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

W logach nie ma śladu aktywnej infekcji. To co pokazuje Spybot nic nie mówi, to tylko potwierdza, że był restart zaś nie wskazuje winowajcy. Takie coś sprawdza się dzięki zrzutom pamięci tak jak w punkcie 5 w tym temacie: KLIK