Wilk Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Bardzo proszę o pomoc w tej kwestii. Komputer przeskanowany Malwarebytes i innymi programami - bez powodzenia. Zainstalowałem więc OTL i załączam logi. Będę wdzięczny za pomoc. Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {00000000-0000-0000-0000-000000000000} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [structuredQuery] C:\Documents and Settings\dn429663\Local Settings\Application Data\Microsoft\Windows\673\StructuredQuery.exe () :Files C:\Documents and Settings\dn429663\Application Data\hellomoto C:\Documents and Settings\dn429663\Local Settings\Application Data\Microsoft\Windows\673 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Vuze Remote Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Wilk Opublikowano 23 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2012 Dziękuję bardzo za pomoc. Nie mogłem wcześniej odpisać z powodu problemów z dostępem do netu. Załączam nowy log. OTL-3.Txt Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 Infekcja Ukash usunięta, ale tu jest jeszcze ZeroAccess i teraz za niego się weźmiemy. Wykonaj jednak przed tym raport dodatkowy. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
Wilk Opublikowano 24 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 Dziękuję. Postaram się wykonać jak najszybciej ale mogę mieć obsuwę z powodu kolejnego wyjazdu... Odnośnik do komentarza
Wilk Opublikowano 24 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 Zrobione. Raport wynikowy załączony. SystemLook 30.07.11 by jpshortstuff Log created at 18:53 on 24/08/2012 by dn429663 (Limited User) ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="%SystemRoot%\system32\shdocvw.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 110592 bytes [11:27 01/02/2010] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 110592 bytes [11:27 01/02/2010] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 110592 bytes [08:33 26/05/2010] [10:22 06/02/2009] 4712531AB7A01B7EE059853CA17D39BD C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 108544 bytes [08:46 26/05/2010] [03:42 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108032 bytes [11:34 01/02/2010] [00:56 04/08/2004] C6CE6EEC82F187615D1002BB3BB50ED4 C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 108544 bytes [08:36 26/05/2010] [03:42 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [00:00 01/01/1980] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [11:27 01/02/2010] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 24 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2012 No to lecimy dalej. 1. Wejdź w start > uruchom > cmd i wklep to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{bf3724dd-2aa6-d0d0-b2e6-34143ece2f74} C:\Documents and Settings\dn429663\Local Settings\Application Data\{bf3724dd-2aa6-d0d0-b2e6-34143ece2f74} :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Do obejrzenie dajesz nowy log z OTL ze skanowania, nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania) Odnośnik do komentarza
Wilk Opublikowano 29 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 29 Sierpnia 2012 witam, zadane instrukcje z dnia 24-08-2012 - 21:23 wykonałem, sorry, ale nie wiem dlaczego ten nowy OTL.txt taki duzy 2,2MB z gory dziekuje za kolejne instrukcje dn (w zastepstwie Wilka) SystemLook 30.07.11 by jpshortstuff Log created at 20:25 on 29/08/2012 by dn429663 (Limited User) ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="%systemroot%\system32\wbem\wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3GDR\services.exe --a---- 110592 bytes [11:27 01/02/2010] [11:11 06/02/2009] 65DF52F5B8B6E9BBD183505225C37315 C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a---- 110592 bytes [11:27 01/02/2010] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 C:\WINDOWS\$NtServicePackUninstall$\services.exe -----c- 110592 bytes [08:33 26/05/2010] [10:22 06/02/2009] 4712531AB7A01B7EE059853CA17D39BD C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 108544 bytes [08:46 26/05/2010] [03:42 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\$NtUninstallKB956572_0$\services.exe -----c- 108032 bytes [11:34 01/02/2010] [00:56 04/08/2004] C6CE6EEC82F187615D1002BB3BB50ED4 C:\WINDOWS\ServicePackFiles\i386\services.exe ------- 108544 bytes [08:36 26/05/2010] [03:42 14/04/2008] 0E776ED5F7CC9F94299E70461B7B8185 C:\WINDOWS\system32\services.exe --a---- 110592 bytes [00:00 01/01/1980] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 C:\WINDOWS\system32\dllcache\services.exe -----c- 110592 bytes [11:27 01/02/2010] [11:06 06/02/2009] 020CEAAEDC8EB655B6506B8C70D53BB6 -= EOF =- FSS-20120829.txt Odnośnik do komentarza
Landuss Opublikowano 30 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 sorry, ale nie wiem dlaczego ten nowy OTL.txt taki duzy 2,2MB Usuwam ten wadliwy załącznik. Dlatego taki duży bo na złych (zbyt szerokich) ustawieniach OTL był zrobiony log. Wszystkie opcje mają być zaznaczone na "Użyj filtrowania" a nie na "Wszystko" oraz ma być zaptaszkowana opcja "Pomiń pliki Microsoftu". Wtedy log wyjdzie szczuplejszy - to tak na przyszłość. Jeśli chodzi o infekcję to ta zażegnana, tylko jeszcze trzeba dwie usługi odtworzyć w rejestrze. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000119c [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008" "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj system. 2. Nowy log z FSS do pokazania. Odnośnik do komentarza
Wilk Opublikowano 30 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2012 witam, sorry, troche przedobrzylem to filtrowanie. jak juz załapałem ze Notatnik Systemowy to Notepad to poszło gładko i oto załączam log z FSS. z gory dzieki za kolejną odp. pozdr dn FSS-20120830.txt Odnośnik do komentarza
Landuss Opublikowano 31 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2012 Wszystko poprawnie wykonane i problemów być nie powinno. Możesz przejść do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3) "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Odnośnik do komentarza
Rekomendowane odpowiedzi