Landuss

Zacznij od zastosowania ComboFix i wklej wynikowy log.

Infekcja pomyślnie usunięta i nic tu więcej nie widać. 1. Użyj opcji Sprzątanie z OTL. 2. System nie ma SP3 i IE8: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Wykonaj obowiązkowe aktualizacje: INSTRUKCJE. .

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1177238915-1637723038-839522115-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found O4 - HKU\S-1-5-21-1177238915-1637723038-839522115-1003..\Run: [ap.exe] C:\Documents and Settings\Bartek\Dane aplikacji\PCenter\ap.exe () O20 - HKU\S-1-5-21-1177238915-1637723038-839522115-1003 Winlogon: Shell - (C:\Documents and Settings\Bartek\Dane aplikacji\PCenter\sp.exe) - C:\Documents and Settings\Bartek\Dane aplikacji\PCenter\sp.exe () :Files C:\Documents and Settings\Bartek\Dane aplikacji\PCenter :Services .EsetTrialReset :Reg [HKEY_USERS\S-1-5-21-1177238915-1637723038-839522115-1003\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Zamiast Gmer spróbuj wykonać z RootRepeal

Jak będziesz miał dysk zewnętrzny to możesz go podpiąć i wykonać log z USBFix. Temat pozostawię ci otwarty. Nie wiem co to jest i ja bym tego nie usuwał.

Wygląda na to, że wszystko poszło jak trzeba. Do wykonania jeszcze poniższe punkty 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBFix w celu zabezpieczenia przed infekcjami z mediów. 3. Wykonaj obowiązkowe aktualizacje: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11 "{1BC4026B-1957-4514-9058-2B542557F143}" = Opera 9.63 Szczegółowe instrukcje: INSTRUKCJE. .

Strona też jest wynikiem z kolei innej infkecji, którą też usuniemy. Urządzenie ma być teraz podpięte jeśli je posiadasz. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKLM\..\Toolbar: (Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - Reg Error: Value error. File not found O3 - HKU\S-1-5-21-1390067357-362288127-682003330-1003\..\Toolbar\WebBrowser: (Google Toolbar) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Reg Error: Value error. File not found O4 - HKLM..\Run: [A15F39] C:\WINDOWS\system32\AC58E3\A15F39.EXE () O4 - HKU\S-1-5-21-1390067357-362288127-682003330-1003..\Run: [dso32] C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\dsoqq.exe () O4 - Startup: C:\Documents and Settings\Marek\Menu Start\Programy\Autostart\A15F39.lnk = C:\WINDOWS\system32\AC58E3\A15F39.EXE () :Files 09lf.exe /alldrives 0fpdq2dw.exe /alldrives 12gn6id2.exe /alldrives 1gkbvsni.exe /alldrives 1hqup.exe /alldrives 1thes92p.exe /alldrives 1wf.exe /alldrives 31lyx.exe /alldrives 33r.exe /alldrives 3dcs9.exe /alldrives 8xcrbho6.exe /alldrives 9d6tpg.exe /alldrives 9fo3ar0j.exe /alldrives 9qqigqwf.exe /alldrives 9rfpp.exe /alldrives autorun.inf /alldrives awb3ryk.exe /alldrives ba.exe /alldrives bbjl2g.exe /alldrives bu8.exe /alldrives bveijo.exe /alldrives c2e.exe /alldrives ca.exe /alldrives cgaqyi.exe /alldrives chxnxyx.exe /alldrives cobn8w3.exe /alldrives df.exe /alldrives dqm.exe /alldrives e9naq.exe /alldrives eer6ril9.exe /alldrives eyruu.exe /alldrives f2kmj.exe /alldrives f662sjd.exe /alldrives fk.exe /alldrives g6jk.exe /alldrives g8k.exe /alldrives ggb6w.exe /alldrives hc3hvi0.exe /alldrives i8gcgmg.exe /alldrives i8ikdjwt.exe /alldrives img8hi.exe /alldrives iuvvl9f3.exe /alldrives ji83j.exe /alldrives k1d.exe /alldrives kmj.exe /alldrives lhhr8.exe /alldrives mh.exe /alldrives mi9al8rs.exe /alldrives mvmdh.exe /alldrives n0qls.exe /alldrives p3vwxx.exe /alldrives p6xebrnt.exe /alldrives p9rs.exe /alldrives Recycle.exe /alldrives pbyqfn.exe /alldrives qhbfqx.exe /alldrives qkm.exe /alldrives r3fhr.exe /alldrives r3x0k.exe /alldrives RECYCLER /alldrives RESTORE /alldrives rfg.exe /alldrives rhwhin.exe /alldrives s1.exe /alldrives sdfqh.exe /alldrives sywyrl0q.exe /alldrives tgt.exe /alldrives twhvna.exe /alldrives utcddeq.exe /alldrives vgyn6ewc.exe /alldrives vi8f.exe /alldrives wa.exe /alldrives wkimt.exe /alldrives ws.exe /alldrives wyskq6lt.exe /alldrives x3xh.exe /alldrives xjb3.exe /alldrives y6cqb2is.exe /alldrives yqq8eqil.exe /alldrives ysyjq1bs.exe /alldrives C:\WINDOWS\system32\AC58E3 C:\WINDOWS\system32\35DDF5 C:\Documents and Settings\Marek\Ustawienia lokalne\Temp C:\Documents and Settings\Marek\Menu Start\Programy\Autostart\A15F39.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.

Pliki, o których wspominasz to część infekcji z mediów przenośnych. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji Listing i pokaż wynikowy raport.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Services Bonjour Service :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "3705:TCP"=- :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. 2. Wykonaj skan przez Malwarebytes Anti-Malware i zaprezentuj raport.

Zasady działu nie do końca spełnione i log z OTL też nie zrobiony na takich ustawieniach jak trzeba. Do poprawek: 1. Robisz log z OTL i wszystkie ustawienia mają być zaznaczone na Użyj filtrowania. W rezulatacie powinny wyjść dwa logi otl.txt + extras.txt. 2. Log z Gmer próbujesz robić przy aktywnych emulatorach co jest niedopuszczalne: DRV - [2004-08-22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\d347prt.sys -- (d347prt) DRV - [2004-08-22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\d347bus.sys -- (d347bus) To przeszkadza i na początek zastosuj się do zaleceń z tego tematu: KLIK. W razie problemów usuń powyższe obiekty za pomocą Autoruns. Zamiennie możesz też wykonać log z RootRepeal

1. WKlej do notatnika nastepujący tekst: File:: c:\windows\system32\beed.sys Driver:: beed Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 2. Wklejasz nowy log utworzony z ComboFix i nowe logi z OTL.

Konkretnie jaki to błąd? 1. Wykonaj log z MBRCheck 2. Przeskanuj sie za pomocą Malwarebytes Anti-Malware i zaprezentuj log.

W logach nie widać żadnej aktywnej infekcji więc raczej nie mamy tu nic do roboty więcej. Wszystko zostało wyjaśnione. Temat zamykam.

Logi są czyste i nie ma tu podstaw do szukania aktywnej infekcji.

Oni na tym forum kompletnie nie mają pojęcia o logach i tylko mogli pogorszyć twój problem. MBRCheck nie wykazuje infekcji. Z prawokliku odinstaluj tą pozycje i wykonaj restart komputera. Sprawdź czy coś się zmieniło i czy nadal będzie tam wykrzyknik.

W logach nie widać właściwie niczego co wskazywałoby na aktywną infekcję. Jeszcze dla pewności wykonaj log z MBRCheck Sprawdź ponownie Start >>> uruchom >>> wpisz devmgmt.msc następnie kliknij w widok i zaptaszkuj opcję pokazywania urządzeń ukrytych. Patrz czy nie ma gdzieś przy jakiejś pozycji pytajnika lub wykrzyknika. Jeśli jest to napisz jaka to pozycja. BTW: Dobrze by było abyś podał link do forum na którym była prowadzona wcześniejsza pomoc.

To wszystko włącznie z restartem to najpewniej wina samego Gmera. W końcu to sterownik i sam w sobie może sprawiać problemy. W logach nie widzę niczego podejrzanego no ale nie dostałem żadnego loga z rootkit detectora. Mówisz, że masz z nimi problem, a czy na pewno zastosowałeś się do tematu o zdjęciu emulatorów?: KLIK

Tak myślałem, że któreś z tych oprogramowań sprawia problem. Wgraj sobie darmowego antywirusa Avira. Jest lekki i nie powinien sprawiać problemów.

Ominąłem wcześniej jeden szczegół więc zamontuj jeszcze jeden skrypt: :OTL O4 - HKLM..\RunOnce: [MyWebSearch bar Uninstall] C:\Program Files\Uninstall Fun Web Products.dll (MyWebSearch.com) :Files C:\Program Files\Uninstall Fun Web Products.dll :Commands [emptytemp] Logów już nie musisz pokazywać. Problemy z siecią możesz opisać właśnie w dziale sieci.

W logach brak śladu aktywnej infekcji. Drobne uwagi na podstawie logów: 1. Powtarzający się błąd w dzienniku zdarzeń: Error - 2010-07-29 03:37:31 | Computer Name = DOM | Source = Service Control Manager | ID = 7000 Description = Nie można uruchomić usługi PSTRIP z powodu następującego błędu: %%2 Wejdź w start >>> uruchom >>> wpisz cmd i wklep polecenie SC DELETE PSTRIP 2. Sprawdź jak się zachowuje system po całkowitym pozbyciu się Comodo oraz kodeków K-Lite. Jeśli nic się nie zmieni temat najprawdopodobniej zmieni dział.

W logach nie widać śladu aktywnej infekcji jednak usuniemy parę zbędnych rzeczy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2636068138-2957215748-2907887089-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.5.0.145 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=PTV&o=15184&locale=en_US&apn_uid=D8E3730D-10FF-437C-A8BC-8DE3F175D821&apn_ptnrs=RY&apn_sauid=DA6A7E70-5E89-47D7-940B-ED3EE70F6F5F&apn_dtid=&q=" [2010-07-09 22:05:22 | 000,000,000 | ---D | M] -- C:\Users\Lucassith\AppData\Roaming\Mozilla\Firefox\Profiles\gk5dbcdz.default\extensions\toolbar@ask.com [2010-07-30 18:52:37 | 000,002,555 | ---- | M] () -- C:\Users\Lucassith\AppData\Roaming\Mozilla\Firefox\Profiles\gk5dbcdz.default\searchplugins\askcom.xml O2 - BHO: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKLM\..\Toolbar: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O3 - HKU\S-1-5-21-2636068138-2957215748-2907887089-1000\..\Toolbar\WebBrowser: (PandoraTV Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask) O4 - HKLM..\Run: [HDDtemp4] F:\Program Files\BinarySense\HDDTemp4\HDDtemp4.exe File not found O4 - HKU\S-1-5-21-2636068138-2957215748-2907887089-1000..\Run: [AdobeBridge] File not found :Services MSSQL$BWDATOOLSET HDD & SSD access service VMnetAdapter Loader :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj pozycje śmiecia Ask Toolbar 3. Profilaktycznie przeskanuj się za pomocą Malwarebytes Anti-Malware i zaprezentuj wyniki. 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Usuń to co znalazł MBAM i to by było na tyle.

W logach nie widać aktywnej infekcji. Możemy jedynie usunąć rzeczy zbędne + drobne spyware. 1. Uruchom OTL i w oknie Własne opcje skanowania / skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) FF - prefs.js..browser.search.defaultenginename: "Yahoo! Search" FF - prefs.js..extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1 FF - prefs.js..keyword.URL: "http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_us&p=" FF - HKLM\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2010-07-27 11:11:52 | 000,000,000 | ---D | M] O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com) O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com) O4 - HKU\S-1-5-21-2169942964-3003231554-4121875202-1000..\Run: [AdobeBridge] File not found O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} "http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-4/WebfettiInitialSetup1.0.1.1.cab" (Reg Error: Key error.) :Files C:\Program Files\MyWebSearch C:\Users\Przemek\AppData\Local\Temp*.html :Services Bonjour Service MyWebSearchService :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj śmiecia My Web Search (Webfetti) 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

Temat łącze w jeden. To nie jest już problem. To obiekty właśnie w Przywracaniu systemu. Jak je wyłączysz to folder przywracania się opróżni: INSTRUKCJE.

Infekcja pomyślnie usunięta. Drobnostki na koniec o wykonania. 1. Użyj opcji Sprzątanie z OTL. 2. Użyj opcji Vaccinate z USBfix co spowoduje nałożenie zabezpieczenia przeciwko tym infekcjom. 3. Zaktualizuj IE do stanu Internet Explorer 8. To konieczne nawet jeśli z niej nie korzystasz.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives RECYCLER /alldrives :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z USBFix.