Landuss

To jest mniej istotny alarm Aviry. Obiekt w cache przeglądarki a więc bez szczególnego znaczenia. Takie rzeczy są i będą. Raz ci chyba już na starych śmieciach wyjaśniałem o tym, że można cache od czasu do czasu czyścić.

Nic tu więcej nie widać na usuwanie. 1. Użyj opcji Sprzątanie (CleanUp) z OTL. 2. Start >>> w polu szukania wpisz regedit i skasuj z prawokliku ten klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5823DAE2-76F5-3173-BF59-FEE2D2B0056A} 3. Zaktualizuj przeglądarkę Firefox: INSTRUKCJE. .

Pierwsza sprawa to pytanie do ciebie czy ten system jest jakiś sztucznie modyfikowany? Pytam dlatego, że w logu stoją niezgodne sumy kontrolne niektórych plików systemowych + brak niektórych plików. Wyjaśnij to. Wklej do notatnika systemowego taki tekst: File:: c:\windows\Bmylub.exe c:\windows\Bmylua.exe Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Pokazujesz wynikowy log z ComboFix oraz nowe logi z OTL i Gmer.

Generalnie w logach nie widać składników wirusa Sality czy innych podobnych, aloe tego wcale nie musi być widać. Do usunięcia są nieznane mi obiekty i teraz to wykonasz. Uruchom OTL i w białym oknie na dole wklej następujący tekst: :Processes killallprocesses :Files C:\Windows\System32\xwr62108.dll C:\Windows\System32\wr62108.dll C:\Windows\System32\xa6893855.exe C:\Windows\System32\xa6892623.exe :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt (Run Script). Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj (Run Scan). Pokazujesz nowy log z OTL.

Użyj i naprawdę nie masz się czego obawiać. To jest tu wskazane, a tam gdzie wskazane tam nie ma zagrożenia, że coś się stanie. ComboFix sam zrobi ci Konsole jeśli zgodzisz sie na to w stosownym komunikacie.

Zacznij od zastosowania narzędzia ComboFix i wklej z niego log.

Minęło kilka dni a więc prosze wykonaj nowy zestaw logów z OTL oraz wykonaj też obowiązkowy log z GMER Jeżeli tu rzeczywiście chodzi infekcja w plikach exe to może nie być to takie proste. Wszystko opisane jest w tym temacie na forum: KLIK

W kwestii optymalizacji usług radzę skorzystać z poradnika na naszym forum: https://www.fixitpc.pl/topic/43-optymalizacja-uslug-w-windows-xp/

Wygląda na to, że się udało i nic już więcej w logach nie widać. Zalecenia końcowe do wykonania: 1. Użyj opcji Sprzątanie z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Obowiązkowo zaktualizuj IE do wersji Internet Explorer 8

W logach nie ma żadnych śladów aktywnej infekcji więc najprawdopodobniej wygrałeś walkę.

Zacznijmy od tego, że jeżeli podmieniamy jakikolwiek plik systemowy to najpierw robimy to do folderu dllcache bo stamtąd system przywraca pliki ponownie na swoje miejsce i jeśli tam jest plik zainfekowany to zostanie on zawsze przywrócony. Tak jest też w twoim przypadku co widać w logach. Spróbuję plik podmienić przez OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [M3000Mnt] File not found O4 - HKU\S-1-5-21-927890586-2322712386-1997616605-1005..\Run: [cdoosoft] C:\DOCUME~1\Paula\USTAWI~1\Temp\herss.exe File not found O20 - HKLM Winlogon: UserInit - (autorun.bat) - C:\WINDOWS\System32\autorun.bat () :Files C:\WINDOWS\System32\dllcache\ndis.sys|C:\Documents and Settings\Paula\Pulpit\ndis.sys /replace C:\WINDOWS\System32\autorun.bat C:\WINDOWS\System32\autorun.vbs C:\WINDOWS\System32\autorun.pif C:\WINDOWS\System32\autorun.bin C:\WINDOWS\System32\autorun.reg C:\WINDOWS\System32\autorun.inf C:\WINDOWS\System32\AUTORUN.FCB C:\WINDOWS\System32\autorun.wsh C:\WINDOWS\System32\autorun.dat C:\WINDOWS\System32\Desktop_.ini C:\WINDOWS\explorer(2).exe C:\WINDOWS\explorer(3).exe C:\WINDOWS\explorer(4).exe C:\WINDOWS\explorer(5).exe C:\WINDOWS\explorer(6).exe C:\WINDOWS\explorer(7).exe C:\WINDOWS\explorer(8).exe C:\autorun.bat C:\autorun.bin C:\autorun.dat C:\autorun.inf C:\autorun.pif C:\autorun.reg C:\autorun.txt C:\autorun.vbs C:\autorun.wsh D:\autorun.bin D:\autorun.dat D:\autorun.pif D:\autorun.bat D:\autorun.txt D:\autorun.wsh D:\autorun.inf D:\autorun.reg D:\autorun.vbs :Services MSK80Service :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL i nowy log z Gmer.

Absolutnie nie używaj żadnego ComboFix jeśli cię o to nie poprosimy. Na początek aby sprawdzić czy rzeczywiście ndis.sys jest zainfekowany wykonaj logi z narzędzi OTL + GMER

Wszystko usunięte i nic tu więcej nie ma. Finalnie wykonaj poniższe zalecenia. 1. Użyj opcji Sprzątanie (CleanUp) z OTL. 2. Użyj opcji Vaccinate z USBFix co utworzy zabezpieczenie przeciwko infekcjom z mediów. 3. System jest pozbawiony SP3 i IE8: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Wykonaj obowiązkowe aktualizacje: INSTRUKCJE. .

Absolutnie tu nie ma podstaw do przenoszenia tematu. Wszystkie logi są czyste. To co widzisz w Gmer to nie sugeruje rootkita ponieważ log z MBR wykazał by stosowny komunikat, a ten wyraźnie pokazuje, że MBR jest czysty. Podejrzani na podstawie logów: 1. Bardzo duży plik HOSTS: O1 - Hosts: 14125 more lines... Taki stan rzeczy może wprowadzać problem z systemem. Przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych plików + pokazywanie plików systemowych i odszukaj w lokalizacji C:\WINDOWS\system32\drivers\etc plik HOSTS. Otwórz go w Notatniku i wyedytuj zawartość tak aby została tam tylko linijka 127.0.0.1 localhost. 2. Problematyczne kodeki: "KLiteCodecPack_is1" = K-Lite Mega Codec Pack 6.0.4 To bardzo duża paczka, za duża. Prosze je odinstalować a w zamian zainstalować lekki zestaw bazujący na ffdshow - Combined Community Codec Pack

Według loga na dysku "H" pozostał nam jeszcze jeden plik infekcji. Zamontuj kolejny skrypt z podpiętym pendrivem "H": :Processes killallprocesses :Files H:\vi8f.exe Następnie wklejasz log z USBFix.

Mogłeś podłączyć od razu obydwa pendrivy. Urządzenia mają być teraz podpięte. Montuj taki skrypt do OTL: :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-776561741-813497703-1060284298-1003..\Run: [dso32] C:\Documents and Settings\Michalek\Ustawienia lokalne\temp\dsoqq.exe () :Files C:\09lf.exe C:\autorun.inf C:\eyruu.exe C:\krwyrv0d.exe C:\RECYCLER C:\SYSTEM C:\vi8f.exe D:\09lf.exe D:\autorun.inf D:\eyruu.exe D:\krwyrv0d.exe D:\RECYCLER D:\vi8f.exe G:\SYSTEM G:\09lf.exe G:\vi8f.exe G:\autorun.inf H:\autorun.inf H:\SYSTEM :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz nowy log z USBFix z tej samej opcji.

Nic nie rób. Skany Pandy są do olania. Problem uznaję za rozwiązany i temat zamykam.

Wpisy mountpoints wykazują, że było tu podpinane zainfekowane urządzenie przenośne. W celu usunięcia wejdź w start >>> uruchom >>> regedit i skasuj ten klucz: HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c4f70787-04f3-11de-ae72-00225f0bf101} Poza tym w logach nie ma śladu aktywnej infekcji. Na początek sprawdziłbym jak się zachowuje system po odinstalowaniu Comodo. Temat idzie do działu Windows XP.

Ja polecam odinstalowanie poprzedniej wersji.

Nic tu nie ma i pytanie czy coś się zmieniło po kasacji powyższego pliku. Nie odpowiedziałeś nic w tej kwestii: To co można tu zrobić na podstawie logów to redukcja ogromnego pliku HOSTS: O1 - Hosts: 9926 more lines... Taki stan wprowadza oprogramowanie Spybot i często sprawia to problemy z systemem. Przestaw sobie opcje widoku w panelu sterowania na pokazywanie ukrytych plików + pokazywanie plików systemowych i odszukaj w lokalizacji C:\WINDOWS\system32\drivers\etc plik HOSTS. Otwórz go w Notatniku i wyedytuj zawartość tak aby została tam tylko linijka 127.0.0.1 localhost. Jeśli po tej operacji ten długi start systemu nadal będzie występował warto srawdzić jaki jest start w stanie czystego rozruchu

W logach brak śladów czynnej infekcji więc możesz być spokojny. Jedynie Avast u ciebie wymaga aktualizacji do najnowszej wersji KLIK.

Wykasuj ten plik z dysku przez SHIFT + DEL: [2010-06-21 23:03:08 | 000,000,364 | ---- | M] () -- C:\WINDOWS\Tasks\At1.job Poza tym nic tu w logach nie widać jednak nie wkleiłeś jeszcze loga extras.txt z OTL. Podczas skanu powinieneś mieć zaznaczoną opcje Extra Registry W przypadku wykrycia Pandy musisz podać konkretne dane czyli ścieżka dostępu + nazwa pliku.

Log z Gmer może tak wyglądać i to nie jest zaskoczenie. W logach brak śladu aktywnej infekcji. Na początek sprawdź co się stanie po odinstalowaniu Hamachi: DRV - [2009-09-23 11:41:58 | 000,026,176 | -H-- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi) Wprawdzie ty masz XP a to powoduje raczej problem na systemach Vista / 7, ale warto spróbować. Tu przykład: KLIK Temat wędruje do działu Windows XP.

Jeśli masz takie coś to usuń. Nie powinno byc problemu.

Infekcja pomyślnie usunięta. Do wykonania kroki końcowe. 1. Zamontuj skrypt przywracający folder omyłkowo usunięty przez ComboFix: DeQuarantine:: C:\Qoobox\Quarantine\C\WINDOWS\SEC Quit:: 2. W Start > w polu szukania wpisz Uruchom > wklej i wywołaj polecenie "c:\users\marzar\Desktop\viry\ComboFix.exe" /uninstall 3. Wykonaj obowiązkowe aktualizacje oprogramowania: "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{E1BBBAC5-2857-4155-82A6-54492CE88620}" = Opera 9.64 "Mozilla Thunderbird (3.0.4)" = Mozilla Thunderbird (3.0.4) Szczegółowe INSTRUKCJE.