Landuss

A nie możesz ich do posta wkleic? Tutaj jest to jak najbardziej dozwolone.

Jest dobrze. W takim razie użyj opcji CleanUp z OTL i zaktualizuj sobie Javę: KLIK.

Może dałbyś rade załączyć poprzedni log z Gmer. Wystarczy zmienić rozszerzenie z .log na .txt i powinno pójść bo tu może być coś więcej. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :Processes killallprocesses :Files H:\h2o.exe H:\zPharaoh.exe H:\autorun.inf.exe :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Run Fix. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL i nowy log z pendrive

Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :OTL O4 - HKU\S-1-5-21-1872720407-1848050738-1605665321-1001..\Run: [M5T8QL3YW3] C:\Users\Damian\AppData\Local\Temp\Chr.exe () :Files C:\Users\Damian\AppData\Local\Temp\Chr.exe :Commands [emptyflash] [emptytemp] Kliknij w Run Fix. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL.

Przyznam, że nie mam pojęcia czy to jest szkodliwe czy nie. Rzuć ten plik C:\WINDOWS\wt\wtvh.dll na skaner Virus Total i daj znać jakie wyszły wyniki.

Sytuacja uległa znacznej poprawie, ale to jeszcze nie koniec usuwania. Montuj kolejny skrypt do ComboFix: File:: C:\gf6ffsds.exe C:\xjb3.exe C:\asdj.exe C:\hxf.exe C:\hxgfhd.exe C:\hgfhd.exe C:\lhhr8.exe C:\menu.exe C:\y6cqb2is.exe C:\nhx.exe D:\gf6ffsds.exe D:\xjb3.exe D:\asdj.exe D:\hxf.exe D:\hxgfhd.exe D:\hgfhd.exe D:\lhhr8.exe D:\menu.exe D:\y6cqb2is.exe D:\nhx.exe c:\windows\Vkuloa.exe Driver:: ayeomkhd bimvmvwx btbldaqy bzmlmylk cpahsbaa cwoodjjf dyskslro ebggbogv ecacsqcx fsxkaeup ftftuike giylfkyq gjaereco gkyyzzmd hcqvvwgz hkxklanh hnmqdbjo jtkwmair lrucuvku mjrlaety mmfojgjb mvkpnxbs nfoaqqoa nimqiznu ntwjpjzv oavxfmub pfilxmgl scorjrxy smofzbbr sujxnjjs tljefaae tpbtdxim tyjbeeoe uossidqf uouwrqzq vdktwjmr vkfqridq wrmnfedx xjvcimev yhcmrwbd zfyvqtiq Firefox:: FF - ProfilePath - c:\documents and settings\paulina\Dane aplikacji\Mozilla\Firefox\Profiles\mpya4vjv.default\ FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query= FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query= Taka sama operacja co poprzednio i nowy log z ComboFix do oceny.

Niestety loga z Gmer póki co nie mogę odczytać bo zamula serwis wklej.org. Jedyne co tutaj podejrzane to ten plik na dysku "H" czyli to pewnie pendrive: O32 - AutoRun File - [2010-06-01 10:42:16 | 000,090,112 | ---- | M] () - H:\autorun.inf.exe -- [ FAT32 ] Nie wiadomo czy jeszcze czegoś tam nie ma więc przy podpiętym urządzeniu przenośnym wejdź w Start >>> Uruchom >>> CMD i wpisz polecenie: H: Nastepnie wpisz polecenie tworzenia raportu: DIR /A:H >C:\LOG.TXT & start notepad C:\LOG.TXT Wklejasz zawartość pliku log.txt do posta.

Sytuacja bardzo trudna. Oprócz infekcji z mediów przenośnych jest infekcja trudnym wariantem infekcji rootkitem TDL co widać w logu z Gmer: File C:\WINDOWS\system32\drivers\dmio.sys suspicious modification File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification W tym przypadku prawidłowym zaprawionym plikiem jest ten pierwszy zaś atapi to pozorna modyfikacja pamięci co można wywnioskować po logu z Gmer. 1. Pobierz narzędzie ComboFix 2. Wklej do notatnika ten tekst: TDL:: C:\WINDOWS\system32\drivers\dmio.sys ADS:: C:\WINDOWS\Temp C:\WINDOWS\Help File:: C:\sd.exe C:\asdj.exe D:\sd.exe D:\asdj.exe C:\autorun.inf D:\autorun.inf C:\yqq8eqil.exe C:\p6xebrnt.exe C:\gf6ffsds.exe C:\p9rs.exe C:\n6eyw.exe C:\xjb3.exe C:\12gn6id2.exe C:\qhbfqx.exe C:\9rfpp.exe C:\bveijo.exe C:\mvmdh.exe C:\y.exe C:\c2e.exe C:\qkm.exe C:\9fo3ar0j.exe C:\sywyrl0q.exe C:\9xf8.exe C:\mh.exe C:\ljy.exe D:\yqq8eqil.exe D:\p6xebrnt.exe D:\gf6ffsds.exe D:\p9rs.exe D:\n6eyw.exe D:\xjb3.exe D:\12gn6id2.exe D:\qhbfqx.exe D:\9rfpp.exe D:\bveijo.exe D:\mvmdh.exe D:\y.exe D:\c2e.exe D:\qkm.exe D:\9fo3ar0j.exe D:\sywyrl0q.exe D:\9xf8.exe D:\mh.exe D:\ljy.exe C:\WINDOWS\Vkuloa.exe C:\Program Files\infocard.exe C:\WINDOWS\Vkulob.exe C:\WINDOWS\lnfocard.exe C:\WINDOWS\mdm.exe C:\WINDOWS\rundll32.exe C:\WINDOWS\system32\sshnas21.dll C:\Documents and Settings\paulina\ltryqaf.exe C:\WINDOWS\system32\drivers\tdvakmcw.sys C:\WINDOWS\system32\drivers\rtiixojd.sys C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job C:\WINDOWS\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job Folder:: C:\Documents and Settings\paulina\Ustawienia lokalne\Temp Driver:: sshnas tdvakmcw rtiixojd Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CFmon"=- "Firewall Administrating"=- "Firewall Aliase"=- "Microsoft Update checker"=- [HKEY_USERS\S-1-5-21-1292428093-1979792683-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"=- "dso32"=- "EA Core"=- "EXPLORER.EXE"=- "Firewali Administrating"=- "Firewall Aliase"=- "M5T8QL3YW3"=- "Microsoft Update checker"=- "nod32"=- "wsctf.exe"=- [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\DOCUME~1\paulina\USTAWI~1\Temp\IXP000.TMP\hgfrs.exe"=- "C:\Documents and Settings\paulina\Moje dokumenty\Pobieranie\IM11842.JPG-www.facebook.com.exe"=- "C:\Program Files\infocard.exe"=- "c:\menu.exe"=- "c:\hxf.exe"=- "c:\gf6ffsds.exe"=- Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Wklejasz wynikowy log z ComboFix oraz nowe logi z OTL + Gmer.

Sytuacja wygląda na opanowaną. Drobnostki na koniec do wykonania. 1. W Start > Uruchom > wklej i wywołaj polecenie "C:\ComboFix.exe" /uninstall 2. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner 3. Wyłącz tymczasowo przywracanie systemu: KLIK 4. Wykonaj obowiązkowe aktualizacje oprogramowania: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "{C619B312-19F3-460A-9F7B-443248379F18}" = Opera 9.25 Szczegółowe INSTRUKCJE. .

Log z Gmer jest też czysty więc nie ma podstaw do stwierdzenia aktywnej infekcji. Wyczyść sobie lokalizacje tymczasowe (Temp) za pomocą narzędzia TFC - Temp Cleaner. Koniecznie też zaktualizuj dziurawego IE6 do wersji IE8: KLIK. To podstawa nawet jeśli nie korzystasz.

Logi z OTL są czyste natomiast jeśli chodzi o Gmer spróbuj dać log na serwis http://wklej.org/

Wszystko wykonane jak należy i wygląda na to, że pozostały tylko kroki końcowe. 1. Użyj opcji CleanUp z OTL. 2. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1033-7B44-A70500000002}" = Adobe Reader 7.0.8 Uzupełnij SP3 i IE8 oraz zaktualizuj Adobe Reader: INSTRUKCJE. .

1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :OTL IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\S-1-5-21-2025429265-1292428093-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.bearshare.com/" IE - HKU\S-1-5-21-2025429265-1292428093-682003330-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.) FF - prefs.js..browser.search.defaultenginename: "Ask" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.order.1: "Ask" FF - prefs.js..keyword.URL: "http://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q=" [2009-08-04 09:06:05 | 000,000,681 | ---- | M] () -- C:\Documents and Settings\X\Dane aplikacji\Mozilla\Firefox\Profiles\c7g15q4a.default\searchplugins\ask.xml [2009-03-28 20:04:03 | 000,001,196 | ---- | M] () -- C:\Documents and Settings\X\Dane aplikacji\Mozilla\Firefox\Profiles\c7g15q4a.default\searchplugins\winamp-search.xml O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKU\S-1-5-21-2025429265-1292428093-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - Startup: C:\Documents and Settings\X\Menu Start\Programy\Autostart\Registration Ghost Recon Advanced Warfighter.LNK = D:\Gry\Ubisoft\Ghost Recon Advanced Warfighter\Support\Register\RegistrationReminder.exe File not found :Files C:\WINDOWS\Tasks\2430728348-0020 C:\Documents and Settings\X\Dane aplikacji\avdrn.dat C:\Documents and Settings\X\Dane aplikacji\qvjsge.dat C:\Documents and Settings\NetworkService\Dane aplikacji\qvjsge.dat :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- "C:\WINDOWS\temp\wpv161239289922.exe"=- "C:\WINDOWS\system32\wpv161239289922.exe"=- :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Run Fix. Zatwierdź restart komputera. 2. Z panelu sterowania odinstaluj śmieci Winamp Toolbar / My Global Search Bar / Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL. .

W logach nie widać śladu aktywnej infekcji więc czekamy aż podasz gdzie to coś zostało wykryte i na jakich obiektach.

Pewnie, ze jest. Niech cię nie mylą nazwy wykrywane przez skaner. Ja tej infekcji raczej nie wiąże z Tibią. W logach juz nie widać aktywnej infekcji więc wykonaj jeszcze drobne rzeczy. 1. Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\profilux12.FBUH-DC790BF809\Pulpit\xxxxCFixxxx.exe" /uninstall 2. Wyłącz tymczasowo przywracanie systemu w celu pozbycia się kopii szkodników: KLIK 3. Wyczyść lokalizacje tymczasowe używając TFC - Temp Cleaner

W tych logach właściwie nie widać aktywnej infekcji, a log z MBAM by się przydał abyśmy wiedzieli co tam zostało wykryte. Log extras z OTL pokazuje pare błędów z WMI co jest powiązane z Centrum zabezpieczeń więc prawdopodobnie wynikiem problemu nie jest infekcja. Zacznijmy od ponownej rekestracji WMI. W tym celu wklej do systemowego Notatnika taki tekst: WINMGMT.EXE /REGSERVER CD C:\WINDOWS\system32\WBEM for %i in (*.dll) do RegSvr32 -s %i net stop winmgmt net start winmgmt Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.BAT >>> uruchom ten plik Przerestartuj system. O efektach poinformuj.

Jeszcze raz zrób "ref" to na pewno nikt ci tu nie pomoże. Podbijanie tematów jest tu zakazane i trzeba cierpliwie czekać na pomoc. Jedyne co w logu na skorygowanie to wpis userinit błędnie kierujący prawdopodobnie do szkodnika: Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :Reg [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\YWZuNGqAhP] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\\WINDOWS\\system32\\userinit.exe," :Commands [emptyflash] [emptytemp] Kliknij w Run Fix. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL.

Sterowniki zainfekowane pójdą jednak na wymianę. 1. Pobierz obydwa oryginalne pliki w wersji XP SP3 zgodnie z twoim systemem: KLIK Obydwa pliki wypakuj bezpośrednio na dysk C:\ 2. Zamontuj taki skrypt do ComboFix: FCopy:: C:\cdrom.sys | c:\windows\system32\dllcache\cdrom.sys C:\ndis.sys | C:\windows\system32\dllcache\ndis.sys C:\ndis.sys | C:\windows\system32\drivers\ndis.sys Ta sama operacja co poprzednio i wynikowy log do oceny.

W logach nic nie widać szkodliwego. Przeczyść jeszcze system za pomocą Kaspersky Remover. To akurat nie było konieczne do wykonania. Foldery FOUND to fragmenty od checkdiska (sprawdzanie błędów). W dodatku komendy [reboot] nie używa się jeśli jest komenda [emptytemp], która sama wymusza restart komputera. W ten sposób następuje powielenie. Proponuję Avirę. Poza tym proszę wykonać obowiązkowe aktualizacje oprogramowania: Internet Explorer (Version = 6.0.2900.5512) "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13 "Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9) Szczegółowe INSTRUKCJE. .

Tutaj nadal jest powazna infekcja z podstawionymi sterownikami systemowymi włącznie. Wklej do notatnika ten tekst: File:: c:\windows\system32\atitvo3.dll c:\windows\system32\actmoviez.exe SRPeek:: c:\windows\system32\drivers\ndis.sys c:\windows\system32\drivers\cdrom.sys Registry:: [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC867A88-C6F8-4027-B24A-93791EAD04CF}] Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: Wklejasz nowy log z ComboFix.

Absolutnie taki odczyt nie oznacza rootkita w MBR szczególnie przy istnieniu tej linijki: user & kernel MBR OK Ten odczyt jest najczęściej głównie z powodu aktywnych emulatorów napędów wirtualnych co powinieneś wyłączyć według tego tematu: KLIK W logach natomiast widać innego rootkita Windows Defender Apps Control: skanowanie ukrytych procesów ... c:\documents and settings\All Users\My applications\Windows Defender Apps Control.exe [1884] 0x89371B80 ********************************* 1. Start > Uruchom > regedit i w kluczu: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Dwuklik na wartość Startup i zamieniasz ciąg na taki %USERPROFILE%\Menu Start\Programy\Autostart 2. Wklej do notatnika taki tekst: Rootkit:: c:\documents and settings\All Users\My applications\Windows Defender Apps Control.exe Folder:: C:\Program Files\Temp c:\documents and settings\All Users\My applications File:: c:\documents and settings\profilux12.FBUH-DC790BF809\cpuxp.sys Driver:: cpuxp Plik >>> zapisz pod nazwą CFScript.txt a nastepnie przeciągnij go i upuść na ikonę ComboFixa w taki sposób: 3. Wklejasz wynikowy log z ComboFix oraz brakujący log z GMER

Największym powodem problemów tutaj jest zapewne zainfekowany sterownik systemowy: DRV - [2010-05-27 18:23:16 | 000,098,240 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\cdrom.sys -- (Cdrom) Spróbuj czy dasz rade uruchomić ComboFix. Jeśli tak to wklej z niego wynikowy log. Powinien sporo usunąć.

W takim razie parę rzeczy na koniec do wykonania. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Program Files\\SopCast\\adv\\SopAdver.exe"=- [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_USERS\S-1-5-21-117609710-1580818891-854245398-1003\Software\Microsoft\Internet Explorer\Toolbar] "{32099AAC-C132-4136-9E9A-4E364A424E17}"=- "{71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7}"=- "{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji CleanUp z OTL 3. Wykonaj obowiązkowe aktualizacje: "{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java 6 Update 12 "{AC76BA86-7AD7-1045-7B44-A81200000003}" = Adobe Reader 8 - Polish "Mozilla Firefox (3.5.9)" = Mozilla Firefox (3.5.9) Szczegółowe INSTRUKCJE. .

To by było na tyle z usuwania. 1. Użyj opcji CleanUp z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Obowiązkowo do wersji Internet Explorer 8: KLIK.

Nie wykonałeś tego polecenia: ...ale teraz montuj kolejny skrypt z podpiętym urządzeniem. :Processes killallprocesses :Files I:\Autorun.inf C:\Recycler E:\12gn6id2.exe E:\33r.exe E:\9rfpp.exe E:\cobn8w3.exe E:\eer6ril9.exe E:\f662sjd.exe E:\n6eyw.exe E:\p6xebrnt.exe E:\p9rs.exe E:\q0wfr.exe E:\qhbfqx.exe E:\rhwhin.exe E:\wa.exe J:\12gn6id2.exe J:\33r.exe J:\f662sjd.exe J:\OSTAVIM J:\wa.exe J:\RECYCLER32 J:\SVETEJEBLO C:\WINDOWS\system32\TempDel.EXE Dajesz nowe logi z OTL i nowy z USBFix. .