Landuss

To jeszcze drobne poprawki tym razem już spod systemu normalnie. 1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :Processes killallprocesses :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://toolbar.ask.com/toolbarv/askRedirect?o=13925&gct=&gc=1&q=" IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.ask.com?o=15003&l=dis" IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask.com) IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll () IE - HKU\S-1-5-21-117609710-1580818891-854245398-1003\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - Reg Error: Key error. File not found :Files C:\Documents and Settings\dom\Dane aplikacji\avdrn.dat C:\Documents and Settings\dom\Dane aplikacji\pdfforge C:\Documents and Settings\dom\Dane aplikacji\Search Settings C:\Documents and Settings\dom\Dane aplikacji\Mozilla\Firefox\Profiles\6cang0s8.Anetka\extensions\toolbar@ask.com :Commands [emptyflash] [clearallrestorepoints] Kliknij w Run Fix. Zatwierdź restart komputera. 2. Z Panelu sterowania >>> dodaj/usuń programy odinstaluj śmieci DAEMON Tools Toolbar / Ask Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. W OTL prosze zaznacz opcję Extra Registry tak aby uzyskać też log dodatkowy extras.txt Pokazujesz nowe logi z OTL. .

Widać infekcję z mediów przenośnych. 1. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :OTL O4 - HKLM..\Run: [KernelFaultCheck] File not found O4 - HKU\S-1-5-21-1993962763-1292428093-839522115-1003..\Run: [dso32] C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\dsoqq.exe () O4 - HKLM..\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found :Files J:\autorun.inf C:\bu8.exe D:\bu8.exe E:\bu8.exe J:\bu8.exe C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\dsoqq.exe C:\Documents and Settings\Ja\Ustawienia lokalne\Temp\dsoqq0.dll :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Run Fix. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowe logi z OTL. 2. Przy podpiętym urządzeniu przenośnym, uruchom USBFix z opcji 5 i pokaż wynikowy raport. .

Nic tu więcej nie widać na usuwanie. Standardowo użyj opcji CleanUp Nie widze u ciebi zabezpieczenia przed tymi infekcjami a powinieneś to wykonać. Propobuję Panda USB Vaccine

Są ślady po infekcji z mediów przenośnych. Trzeba to usunąć. Uruchom OTL i w oknie Custom Scans/Fixes wklej następujący skrypt: :OTL FF - prefs.js..browser.search.defaultenginename: "Winamp Search" FF - prefs.js..browser.search.defaulturl: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=" FF - prefs.js..browser.search.selectedEngine: "Winamp Search" FF - prefs.js..keyword.URL: "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampab&query=" [2010-04-14 17:20:39 | 00,001,196 | ---- | M] () -- C:\Documents and Settings\Kasia\Dane aplikacji\Mozilla\FireFox\Profiles\agmcu41o.default\searchplugins\winamp-search.xml :Files C:\WINDOWS\Tasks\desktop.ini :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptyflash] [emptytemp] [clearallrestorepoints] Kliknij w Run Fix. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Run Scan. Pokazujesz nowy log z OTL. .

W takim razie możliwe, że już tej infekcji tu nie ma. Tak jak mówię ja w logach nie widziałem żadnego komponentu świadczącego o jej aktywności. Obserwuj system i tyle pozostaje zrobić. Przy takiej infekcji nigdy nic nie wiadomo. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{AC1E4C93-C1E7-11D6-9D10-00010240CE95}" = Java 2 Runtime Environment, SE v1.4.0_03 Do uzupełnienia SP3 i IE8 oraz do wyrzucenia koszmarnie stara Java: INSTRUKCJE. .

Mimo wszystko zamontuj taki skrypt do OTL: :Processes killallprocesses :Files F:\autorun.inf F:\$RECYCLE.BIN F:\RECYCLER C:\RECYCLER :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 "Hidden"=dword:00000001 "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" Kliknij w Run Fix. Zatwierdź restart komputera. Następnie pokazujesz mi nowo zrobiony log z USBFix z opcji 5. .

Widać tu między innymi rootkita: DRV - [2010/05/17 17:12:46 | 000,000,000 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\nvgubxm.sys -- (nvgubxm) Czyli sprawa infekcyjna więc zabieramy się za usuwanie. 1. Skonstruuj skrypt tekstowy, który zostanie załadowany w OTLPE. Otwórz Notatnik i wklej w nim: :Files C:\WINDOWS\System32\fjhdyfhsn.bat C:\WINDOWS\system32\drivers\nvgubxm.sys C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\NetworkService\Dane aplikacji\qvjsge.dat C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe :Services nvgubxm :OTL O2 - BHO: (no name) - {A20854FD-DDB5-4931-8F76-D11EA2364D94} - No CLSID value found. O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found. O4 - Startup: C:\Documents and Settings\dom\Menu Start\Programy\Autostart\wwwzuc32.exe (Ghisler Software GmbH) :Commands [emptytemp] Plik zapisz pod nazwą FIX.TXT 2. Plik FIX.TXT umieść na pendrive lub innym urządzeniu przenośnym, które może być podpięte do komputera. 3. Podpinasz urządzenie przenośne startujesz z płyty OTLPE. 4. Uruchamiasz z Pulpitu program OTLPE zgodnie ze wskazówkami montując rejestr. Klikasz w Run Fix. Zostanie zgłoszony komunikat o braku skryptu i wtedy wskazujesz plik o nazwie FIX.TXT. OTLPE wykona zadanie i poda log, który zachowasz bo będziesz go prezentował. 5. Wykonujesz restart komputera. Jeśli całe zadanie się uda, system Windows zastartuje prawidłowo. 6. Wytwarzasz z poziomu systemu już normalny log z OTL + GMER. Dołączasz także log z OTLPE powstały z czyszczenia. .

Skrypt wykonany i w logach nie widzę już niczego na usuwanie. Użyj opcji CleanUp z OTL. Możesz wejść jeszcze w start >>> uruchom >>> wpisz devmgmt.msc i na liście sprawdź czy nie masz jakichś pozycji z pytajnikiem lub wykrzyknikiem. Jeśli coś takiego jest to z prawokliku to odinstaluj i wykonaj restart komputera.

Jeżeli tu jest Sality to w logach tego nie zobaczymy. To infekcja w kodzie plików. Czasami jest widoczna część tej infekcji w postaci bezplikowej usługi, u ciebie takiego czegoś nie widzę. W takim wypadku każdy problem możesz wiązać z tą infekcją. Proponuję skan z zewnątrz. Czyli na innym komputerze wykonać bootowalną płytkę Dr. Web LiveCD i za jej pomocą przeskanować cały dysk wielokrotnie.

Sytuacja wygląda na opanowaną. Prosze wykonać kroki finalne. 1. Użyj opcji CleanUp z OTL. 2. Zabezpiecz się przed infekcjami z mediów przenośnych przez Panda USB Vaccine 3. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216013FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1033-7B44-A82000000003}" = Adobe Reader 8.2.2 Należy uzupełnić SP3 i IE8 oraz zaktualizować Java i Adobe: KLIK .

Widać infekcje z urządzeń przenośnych. Na początek może podepnij wszelkie urządzenia jakie masz pod reką i uruchom USBFix z opcji 5 i pokaż wynikowy raport.