Landuss

W logach brak śladów infekcji. Temat zostaje przeniesiony do Sieci. Możesz od razu podrzucić raport z Net-log: http://www.fixitpc.p...iguracji-sieci/ Z mojej strony jedynie usuwanie sponsoringów (bez znaczenia dla problemu). Instrukcje w spoilerze.

W logach brak śladu jakiejkolwiek infekcji. Temat zmienia dział. Do usuwania jedynie sponsoringi bez znaczenia dla problemu (instrukcje w spoilerze): Jesli chodzi o problem główny: I tutaj masz odpowiedź, jeśli w awaryjnym jest w porządku to problem sprawia coś co ładuje się w trybie normalnym. Jest tu jakiś antywirus? WIdze zapisy od AVG.

Logi nie wskazują na jakąkolwiek infekcję. Temat zmienia swój dział. Usuniesz tylko drobne śmieci sponsoringowe. Instrukcje w spoilerze.

To jest typ infekcji, który nie infekuje systemu tylko urządzenia przenośne więc o system nie musisz się obawiać. Także te logi nic nie dają bo pokazują system, który jest czysty. Wykonaj raport pod kątem urządzeń przenośnych. Podepnij możliwie wszystkie zainfekowane urządzenia i uruchom USBFix z opcji Listing. Pokaż wynikowy raport.

Wykonaj raporty z trybu awaryjnego. Tam blokady być nie powinno.

Jeszcze kilka rzeczy jest tutaj do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKU\S-1-5-21-330179172-1715691971-3947289952-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" O3 - HKU\S-1-5-21-330179172-1715691971-3947289952-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Files C:\ProgramData\vlbbkmumgmebiqz C:\ProgramData\ulfsrvmrwfduxfp :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wskazują na jakąkolwiek infekcję, jedynie drobne odpadki sponsoringowe do usuwania. Zaś sprawę sieci zgłoś do działu Sieci. Teraz usuwam ci te odpadki (bez znaczenia dla problemu). 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\x\AppData\Local\Temp\fxdoruoc.sys -- (fxdoruoc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\TEMP\cpuz135\cpuz135_x32.sys -- (cpuz135) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1341477756_471980 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341477756_471980 IE - HKLM\..\SearchScopes\${searchCLSID}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d5c1e390-1e0a-11e1-9803-6cf04912e0ea&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_url = pl.v9.com/idg/idg_1341477756_471980 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1341477756_471980 IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=d5c1e390-1e0a-11e1-9803-6cf04912e0ea&q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110819&tt=100512_3_&babsrc=SP_ss&mntrId=187e21c700000000000000ff833a79e9" IE - HKCU\..\SearchScopes\{9FFD6468-0C27-4E87-8ADB-4AE3771ECF60}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" [2012-08-21 17:17:53 | 000,000,000 | ---D | M] (Reganam) -- C:\Users\x\AppData\Roaming\mozilla\Firefox\Profiles\taxuqupi.default\extensions\{db9d7a78-a76c-4bf2-97c6-258925ee1542} [2012-07-30 18:45:51 | 000,000,000 | ---D | M] (YTD Toolbar) -- C:\PROGRAM FILES\YTD TOOLBAR\FF [2012-05-18 13:37:44 | 000,002,352 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-07-05 10:50:01 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: YTD Toolbar v6.2 / Reganam Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete Logów nowych pokazywać nie musisz. Kliknij w Sprzątanie w OTL.

Sality ma to do siebie że całkowicie usuwa tryb awaryjny z systemu dlatego nie mogłeś się do niego dostać. Wykonaj poniższe czynności: 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv64xx) DRV - File not found [Kernel | Boot | Stopped] -- -- (mv61xx) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\D & S\Administrator\Pulpit\Michał\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys -- (glynnxxGE) DRV - File not found [Kernel | On_Demand | Unknown] -- -- (avynlk97) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rjejin.sys -- (amsint32) IE - HKU\S-1-5-21-1645522239-1637723038-1801674531-500\..\SearchScopes\{AC129BF9-68BF-4bc4-A1DC-ECB62712FF99}: "URL" = "http://search.kikin.com/search/?q={searchTerms}" [2011-09-01 20:30:13 | 000,000,000 | ---D | M] (kikin plugin) -- C:\D & S\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\uxvzitcr.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED} O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-1645522239-1637723038-1801674531-500..\Run: [] File not found :Files C:\TMP :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\TMP\Rar$EX01.672\hma ultimate proxy grabber v1.0.exe"=- "C:\WINDOWS\Explorer.EXE"=- "C:\TMP\winusfvj.exe"=- "C:\TMP\winfnnkqo.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: kikin plugin 2.9 / YouTube Downloader Toolbar v4.9 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie (zaznacz wszystkie opcje na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz daj znać co pokazał SalityKiller.

Sytuacja niestety nie jest ciekawa. Oprócz "śmieci" to jest wirus Sality, który infekcuje pliki .exe na całym dysku komputera i dowodem jest ta usługa od Sality: DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pprmp.sys -- (amsint32) Spróbujesz z tym powalczyć, ale w niektórych przypadkach nie jest to łatwe i nie zawsze kończy się powodzeniem. 1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych. 2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Running] -- C:\Program Files\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe WMP54Gv4.exe -- (WMP54Gv4SVC) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerfltj.sys -- (UsbserFilt) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmbo.sys -- (nmwcdc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ccdcmb.sys -- (nmwcd) DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pprmp.sys -- (amsint32) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340382096_300259 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1340382096_300259 IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={92FE112C-03A0-4607-A5A9-E88218BEEF58}" IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1340382096_300259 IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1340382096_300259 IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=dpgppc&s={searchTerms}&f=4" IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/howfytdl/{FCC8DA4F-3FA8-4759-8A97-DEA5814FEC05}?q={searchTerms}" IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3214568" IE - HKU\S-1-5-21-448539723-1708537768-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={92FE112C-03A0-4607-A5A9-E88218BEEF58}" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.1010000&st=12&barid={92FE112C-03A0-4607-A5A9-E88218BEEF58}" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Yahoo" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Yahoo" [2012-06-18 07:39:26 | 000,004,002 | ---- | M] () -- C:\Documents and Settings\D 1\Dane aplikacji\Mozilla\Firefox\Profiles\p59g6let.default\searchplugins\sweetim.xml [2011-11-03 18:14:57 | 000,002,049 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrch.xml [2012-05-18 08:35:37 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml :Files autorun.inf /alldrives netsh firewall reset /C :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-448539723-1708537768-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / DealPly / Complitly / Babylon toolbar on IE / Facemoods Toolbar / FYTDL DB Toolbar / V9 HomeTool / Winamp Toolbar / FoxTab PDF Creator (program adware) / Przyspiesz Komputer - Kompletna deinstalacja (śmieć a nie przyspieszacz) Otwórz Firefox i w Dodatkach odmontuj: Winamp Toolbar / FreeMake Community Toolbar / DealPly 5. Uruchom AdwCleaner z opcji Delete 6. Uruchamiasz OTL ponownie (zaznacz wszystkie opcje na "Użyj filtrowania"), tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz daj znać co pokazał SalityKiller.

1. Wejdź w start > uruchom > cmd i wklep to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [On_Demand | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe -- (WPFFontCache_v0400) SRV - File not found [On_Demand | Stopped] -- winhttp.dll -- (WinHttpAutoProxySvc) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) DRV - File not found [Adapter | On_Demand | Unknown] -- -- (LicenseInfo) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev) [2012-04-07 14:05:59 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{d94d712d-3eb3-8a6b-3e11-c354b0b69f1b} O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\{eda4f6ba-c30f-8a8c-06a4-0fe0b62d0259} netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: vShare Plugin 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Logi nie wykazują by byłą tutaj jakakolwiek infekcja. A może masz dane gdzie to było wykryte (lokalizacja) i na jakim obiekcie?

Na początek zastosuj się do zasad działu i wykonaj wymagane raporty z OTL + Gmer

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=58533610-90a0-11e1-8cd8-c0fc046a42a8" IE - HKU\S-1-5-21-3502868549-3929179804-3416593510-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=58533610-90a0-11e1-8cd8-c0fc046a42a8" IE - HKU\S-1-5-21-3502868549-3929179804-3416593510-1001\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111122&user_guid=3FB8DA3F388944BDA003AD7E2CDE3088&machine_id=e75a4b7834b7b778802971620193a5a8&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source}" IE - HKU\S-1-5-21-3502868549-3929179804-3416593510-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=58533610-90a0-11e1-8cd8-c0fc046a42a8&q={searchTerms}" IE - HKU\S-1-5-21-3502868549-3929179804-3416593510-1001\..\SearchScopes\{38D28DD0-52D2-490C-A708-483563C124EC}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=MYC-ST&o=102869&src=kw&q={searchTerms}&locale=&apn_ptnrs=5J&apn_dtid=YYYYYYYYPL&apn_uid=cb5302bb-a7bf-4989-9491-076ffbee4c7b&apn_sauid=9DB99BA0-0FFE-4E53-A47F-ABC0FD94B955&" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..keyword.URL: "http://klit.startnow.com/s/?src=addrbar&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20111122&user_guid=3FB8DA3F388944BDA003AD7E2CDE3088&machine_id=e75a4b7834b7b778802971620193a5a8&browser=FF&os=win&os_version=6.1-x86-SP1&q=" [2011-11-17 20:25:44 | 000,002,333 | ---- | M] () -- C:\Users\Mikolaj\AppData\Roaming\Mozilla\Firefox\Profiles\1s7gdt0i.default\searchplugins\askcom.xml [2012-04-27 21:37:13 | 000,000,792 | ---- | M] () -- C:\Users\Mikolaj\AppData\Roaming\Mozilla\Firefox\Profiles\1s7gdt0i.default\searchplugins\startsear.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) 5. Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log.

W logach nie widać śladów infekcji, natomiast WU rzeczywiście sypie błedami w dzienniku zdarzeń: Error - 2012-08-23 12:16:46 | Computer Name = Tomek-Komputer | Source = Service Control Manager | ID = 7023 Description = Usługa Windows Update zakończyła działanie; wystąpił następujący błąd: %%-2147024893 Możliwe, że coś jest nie tak z samą usługą. Wykonaj więc raport z Farbar Service Scanner (zaznacz wszystko do skanowania)

Infekcja Ukash usunięta, ale tu jest jeszcze ZeroAccess i teraz za niego się weźmiemy. Wykonaj jednak przed tym raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport.

ComboFix usuwał rootkita ZeroAccess w najnowszej odsłonie. Wykonaj zatem jeszcze dwa raporty uzupełniające. 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner (zaznacz wszystko do skanowania)

Przywracałeś system więc infekcji nie masz natomiast jest kilka rzeczy do wykonania. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334781087_135596 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1334781087_135596 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334781087_135596 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2481033" IE - HKCU\..\SearchScopes\{E2E3BEC8-DB26-4745-9DBD-4D1905119A4B}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033" FF - prefs.js..browser.search.defaultthis.engineName: "WinZipBar Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3106777&SearchSource=3&q={searchTerms}" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3106777&SearchSource=2&q=" [2012-08-22 07:32:26 | 000,000,000 | ---D | M] (WinZipBar Community Toolbar) -- C:\Users\ppp\AppData\Roaming\mozilla\Firefox\Profiles\ijaxhflc.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37} [2012-08-23 07:15:24 | 000,000,000 | ---D | M] (Ashampoo PO) -- C:\Users\ppp\AppData\Roaming\mozilla\Firefox\Profiles\ijaxhflc.default\extensions\{d43723ae-1ae1-4a25-a6a4-bf0929273cab} [2012-03-14 22:15:10 | 000,000,921 | ---- | M] () -- C:\Users\ppp\AppData\Roaming\Mozilla\Firefox\Profiles\ijaxhflc.default\searchplugins\conduit.xml [2012-04-18 22:31:27 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ashampoo PO Toolbar / V9 HomeTool 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=2f1da218-ada9-11e1-a225-000e50c75408" IE - HKLM\..\SearchScopes\{DFA949D0-66D5-40DA-8930-EAA298DEC25C}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=2f1da218-ada9-11e1-a225-000e50c75408&q={searchTerms}" IE - HKU\S-1-5-21-1177238915-57989841-1644491937-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch={searchReason}" O2 - BHO: (extrafind) - {419ab5d8-f950-fb80-65dd-14ba925ea148} - C:\WINDOWS\system32\7a36e84c.dll () O4 - HKLM..\Run: [ppkmodcgccfjbqd] C:\Documents and Settings\All Users\Dane aplikacji\ppkmodcg.exe () O4 - HKU\S-1-5-21-1177238915-57989841-1644491937-1003..\Run: [ppkmodcgccfjbqd] C:\Documents and Settings\All Users\Dane aplikacji\ppkmodcg.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\lrufvvov.exe C:\Documents and Settings\All Users\Dane aplikacji\adcklyow.exe C:\Documents and Settings\All Users\Dane aplikacji\rualpvituodjhnk C:\Documents and Settings\All Users\Dane aplikacji\oceuwqkocbyiimc C:\Documents and Settings\A\0.7047840934377934.exe C:\WINDOWS\System32\622fba0e.exe :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Browsers Protector / LiveVDO plugin 1.3 / StartSearch Toolbar 1.3 / vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie notuję żadnych śladów infekcji. ComboFix zaś nic szczególnego nie wykonał usuwał tylko te dwa obiekty: ((((((((((((((((((((((((((((((((((((((( Usunięto ))))))))))))))))))))))))))))))))))))))))))))))))) . . c:\programdata\5B5A46CB11.sys c:\users\Michal0z\AppData\Roaming\chrtmp Folder chrtmp jest upuszczany przez niektóre infekcje natomiast ten plik .sys trudno powiedzieć czy był szkodliwy. Odinstaluj narzędzie w prawidłowy sposób: Wciśnij klawisz z flagą Windows + R następnie wklej i wywołaj polecenie "C:\users\Michal0z\Desktop\ComboFix.exe" /uninstall I pytanie czy istnieje na tą chwilę jakiś problem?

Temat infekcji możemy porzucić. W logach brak jakiegokolwiek śladu infekcyjnego. Nie ma się po prostu do czego przyczepić. Temat przenoszę na inny dział. Rozpocznij od najprostszej rzeczy - sprawdź czy problem występuje na czystym rozruchu systemu: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście i dołącz tego loga.

Na pierwszy rzut oka nie widać w logach infekcji, jedynie śmieci sponsoringowe i to potem usuniemy. Wykonaj raport z Farbar Service Scanner (zaznacz wszystko do skanowania)

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Odbuduj skasowane usługi (w instrukcjach omiń sfc /scannow): Rekonstrukcja usług Zapory systemu Windows (MpSvc + Bfe + SharedAccess): KLIK. Rekonstrukcja usługi Centrum zabezpieczeń: KLIK. Rekonstrukcja usługi Windows Defender: KLIK. Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj: KLIK 3. Pokazujesz nowy log z FSS oraz z SystemLook.

W logach nie dopatrzyłem się żadnych śladów infekcyjnych. Temat przenoszę do SIeci. Zaprezentuj na początek raport z Net-log: https://www.fixitpc.pl/topic/2394-diagnostyka-ogolny-raport-konfiguracji-sieci/

Na forum jest napisane by nie korzystać na własną rękę z żadnego ComboFix. Wykonaj wymagane raporty z OTL + Gmer. Jeśli system 64-bitowy to Gmera odpuść. Raporty umieść opcją załączniki na forum.