Jakiś wirus. Wyświetla się komunikat "Cyberprzępczość"

[Matteo1989]

Dobry wieczór. Mam problem taki jak w temacie... Czy ktoś mógłby mi pomóc?

 

Załączam pliki OTL i Extras.

Extras.Txt

OTL.Txt

[picasso]

Użyłeś stary OTL 3.2.57.0, pozbawiony wielu nowych skanów i poprawek. Wygląda też na to, że logi są zrobione z poziomu nie tego konta co należy, czyli wbudowanego w system Administratora a nie konta użytkownika Marlena:

 

Computer Name: LAPTOP-B7DCE933 | User Name: Administrator | Logged in as Administrator.

 

Konta mają inne rejestry i foldery, logi muszą być robione z poziomu konta na którym jest problem. Na koncie Administratora też jest infekcja, ale inna (Live Security Platinum), więc na razie wyczyszczę co widzę. Natomiast trojan policyjny jest na innym koncie i z tego konta na końcu podasz logi.

 

 

1. Pobierz najnowszy OTL: KLIK. Z poziomu konta Administrator uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\All Users\Dane aplikacji\6F638BC82B17D979A7C6D2B94A174311
C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad
C:\Documents and Settings\All Users\Dane aplikacji\giajzima.dav
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Asyv
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Iwumi
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Typuze
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Urruov
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Yqanr
C:\Documents and Settings\Marlena Hajman\Dane aplikacji\Zoria
 
:OTL
O4 - HKU\S-1-5-21-57989841-1770027372-725345543-500..\RunOnce: [6F638BC82B17D979A7C6D2B94A174311] C:\Documents and Settings\All Users\Dane aplikacji\6F638BC82B17D979A7C6D2B94A174311\6F638BC82B17D979A7C6D2B94A174311.exe ()
SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\gqyletiq.dll -- (aervmiti)
NetSvcs: aervmiti - File not found
DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\MARLEN~1\USTAWI~1\Temp\5689.sys -- (5689)
 
:Reg
[-HKEY_USERS\S-1-5-21-57989841-1770027372-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
[-HKEY_USERS\S-1-5-21-57989841-1770027372-725345543-500\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Pojawi się log z wynikami usuwania.

 

2. Zaloguj się na konto Marlena. Zrób nowe logi: OTL z opcji Skanuj, Farbar Service Scanner oraz zaległy GMER. Dołącz log z usuwania OTL powstały w punkcie 1.

 

 

 

.

[Matteo1989]

Załączam logi. Nie mogę załadować loga gmer i tego po wykonaniu skryptu(pokazuje mi się komunikat,że nie mam uprawnień do wysyłania tego typu plików). Jak to zrobić?

OTL.Txt

Extras.Txt

FSS.txt

[picasso]

Nie mogę załadować loga gmer i tego po wykonaniu skryptu(pokazuje mi się komunikat,że nie mam uprawnień do wysyłania tego typu plików). Jak to zrobić?

 

Było wyraźnie powiedziane w instrukcji GMER: nie zapisywać pliku opcją tylko użyć przycisk Kopiuj i stworzyć nowy plik TXT. Nie byłoby wtedy "problemu". A ów "problem" wyjaśniają zarówno zasady działu, jak i Pomoc forum (link na spodzie strony): załączniki akceptują tu tylko rozszerzenie *.TXT, a Ty próbujesz wstawiać *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku.

 

Wstaw GMER, a zajmę się dalszą analizą.

 

 

 

 

.

[Matteo1989]

Zaległe logi:

gmer.txt

12132012_130803.txt

[picasso]

Nieprawidłowo zrobione logi:

- Tym razem zrobiłeś OTL na nieprawidłowych ustawieniach, czyli sekcję "Rejestr" ustawiłeś na "Wszystko", a ma być Użyj filtrowania.

- Log z Farbar Service Scanner nie ma wszystkich informacji. Wyraźnie było powiedziane, by zaznaczyć do skanu wszystkie opcje.

- Log z GMER zrobiony w złych warunkach, nie wykonałeś ogłoszenia KLIK i działa w tle DAEMON Tools Lite + jego sterownik SPTD:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (amkgu51e)
DRV - [2012-02-29 18:01:57 | 000,691,696 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

---

Logi z konta Marlena potwierdzają, że to nie koniec, infekcji cała masa. Jest infekcja "policyjna", rootkit ZeroAccess, fałszywy "Adobe Reader Update" opisany zresztą jako "SonyAgent" i ślady innych trojanów. Kto wie czy tu nie ma i rootkita w sterownikach, bo log z GMER podejrzany, ale w związku z nieprawidłowym skanem muszę ujrzeć nowe dane. Przeprowadź następujące działania z poziomu konta Marlena:

 

1. Otwórz Notatnik i wklej w nim:

 

reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f
reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f
reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SonyAgent /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Retygy /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wsctf.exe /f
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v Yxhuvozoqu /f
reg delete "HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks" /v {08C06D61-F1F3-4799-86F8-BE1A89362C85} /f
reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System /v DisableRegistryTools /f
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom plik przez dwuklik. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

 

2. Otwórz Notatnik i wklej w nim:

 

cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F

cacls C:\RECYCLER\S-1-5-18\$98329357e2c2015736f789b460d9ee2a /E /G Wszyscy:F
cacls C:\RECYCLER\S-1-5-21-57989841-1770027372-725345543-1003\$98329357e2c2015736f789b460d9ee2a /E /G Wszyscy:F
rd /s /q C:\RECYCLER
pause

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

 

Uruchom plik przez dwuklik.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

%userprofile%\Menu Start\Programy\Autostart\runctf.lnk
C:\WINDOWS\Installer\{98329357-e2c2-0157-36f7-89b460d9ee2a}
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\MFAData
C:\Program Files\Adobe\Reader 9.0\Reader\update.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Wyczyść Firefox ze starych naleciałości: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Zrób nowe logi: OTL z opcji Skanuj (przypominam: Użyj filtrowania wszędzie), GMER (po deinstalacji DAEMON Tools Lite + usunięciu sterownika SPTD narzędziem SPTDinst + restart systemu), Farbar Service Scanner (przypominam: wszystkie opcje zaznaczone). Dodatkowo, uruchom SystemLook i do skanu wklej:

 

:dir

C:\RECYCLER /C

 

 

 

.

[Matteo1989]

Mam nadzieję,że teraz dobrze. Oto logi:

 

SystemLook 30.07.11 by jpshortstuff

Log created at 15:23 on 13/12/2012 by Marlena Hajman

Administrator - Elevation successful

 

========== dir ==========

 

C:\RECYCLER - Parameters: "/C"

 

---Files---

None found.

 

---Folders---

S-1-5-21-57989841-1770027372-725345543-1003 d--hs-- [13:55 13/12/2012]

 

-= EOF =-

Extras.Txt

FSS.txt

gmer.txt

OTL.Txt

[picasso]

O ile zadania wykonane i infekcje pomyślnie usunięte, to:

- Log z Farbar Service Scanner potwierdza uszkodzenie usług systemu przez infekcję ZeroAccess. Plus plik HOSTS ma nienormalne atrybuty. Ale tym się zajmę po uzyskaniu tych danych:

- Log z GMER bardzo podejrzany, jest w nim niedopasowany wątek w sekcji Threads, który sugeruje coś w stylu rootkita Rloader. Zrób skan za pomocą Kaspersky TDSSKiller. Jeśli cokolwiek wykryje, ustaw Skip i log do oceny zaprezentuj (zostanie utworzony na dysku C).

 

 

 

.

[Matteo1989]

Nie doczytałem bo chciałem krok po kroku i ustawiłem CURE. Teraz nic nie wykrywa. Był jeden malware...

[picasso]

Zaprezentuj więc log z usuwania TDSSKiller. Został nagrany na dysku C.

[Matteo1989]

oto one:

TDSSKiller.2.8.15.0_13.12.2012_15.37.56_log.txt

[picasso]

Wystarczy tylko jeden log, ten z usuwania. Sprawdziło się 1:1, tu był rootkit Rloader:

 

15:38:30.0968 3816  Detected object count: 1
15:38:30.0968 3816  Actual detected object count: 1
15:38:36.0343 3816  C:\WINDOWS\system32\DRIVERS\ACPI.sys - copied to quarantine
15:38:37.0375 3816  Backup copy found, using it..
15:38:37.0406 3816  C:\WINDOWS\system32\DRIVERS\ACPI.sys - will be cured on reboot
15:38:37.0406 3816  ACPI ( Virus.Win32.Rloader.a ) - User select action: Cure 

 

TDSSKiller go pomyślnie wyleczył, więc możemy przejść do kolejnych czynności:

 

1. Zrekonstruuj usługi usunięte przez trojana ZeroAccess. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Usługa inteligentnego transferu w tle"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Używa przepustowości bezczynnej sieci do transferu danych. Jeżeli BITS zostanie wyłączone, funkcje takie jak Windows Update przestaną działać."
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,68,e3,0c,\
  00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Enum]
"0"="Root\\LEGACY_BITS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Aktualizacje automatyczne"
"ObjectName"="LocalSystem"
"Description"="Umożliwia pobieranie i instalowanie ważnych aktualizacji systemu Windows. Jeśli ta usługa zostanie wyłączona, komputer nie będzie umożliwiał korzystania z funkcji Automatyczne aktualizacje lub strony Windows Update."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,75,00,\
  61,00,75,00,73,00,65,00,72,00,76,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Enum]
"0"="Root\\LEGACY_WUAUSERV\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Adnotacja dla innych czytających: import dopasowany do Windows XP.

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\system32\drivers\etc\hosts

 

Klik w Unlock. Następnie zresetuj plik HOSTS za pomocą Fix-it z artykułu: KB972034. Po tej operacji przez SHIFT+DEL skasuj plik C:\WINDOWS\system32\drivers\etc\hosts.old.

 

3. Zresetuj system. Zrób nowy log z Farbar Service Scanner oraz OTL ale graniczony do: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

 

 

.

[Matteo1989]

Nie było tego pliku hosts.old

 

Logi:

FSS.txt

[picasso]

Log z OTL źle wykonany, usuwam. Miało być:

 

tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj.

 

Opcja "Rejestr" a nie "Rejestr - skan dodatkowy".

 

 

 

.

[Matteo1989]

Proszę:

OTL.Txt

[picasso]

Usługi odbudowane, plik HOSTS pomyślnie zresetowany. Kolejne działania:

 

1. Ten plik na pewno jest, bo tak działa Fix-it (tworzy kopię starego pliku):

 

Nie było tego pliku hosts.old

 

... tylko go nie widzisz. Ustaw opcje widoku w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Skasuj plik hosts.old.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine + resztę używanych narzędzi.

 

3. Zainstaluj Malwarebytes Anti-Malware. Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Matteo1989]

Czy mam teraz jakoś usunąć te wirusy? Znaleziono 53...

mbam-log-2012-12-13 (18-37-24).txt

[picasso]

Wyniki: wszystkie określone jako Trojan.Lameshield + Rogue.LiveSecurityPlatinum to szkodniki, Virus.Jeefo niepewny, PUP.Hacktool.Patcher w keygenie + VirTool.Vbcrypt + Spyware.OnlineGames w patcherach nie jestem pewna i na wszelki wypadek wyrzuć, a Trojan.Dropper w instalatorze Ventrillo to fałszywy alarm. Owszem, teraz masz to usunąć za pomocą programu Malwarebytes Anti-Malware.

 

 

 

 

 

.

[Matteo1989]

Czy to już wszystko? Dziękuje bardzo za pomoc. Czy jest jakaś możliwość małej pomocy finansowej dla serwisu w ramach wdzięczności? Ja teraz muszę wyjść i będę po 22. Wtedy zajrzę. Życzę miłego wieczoru. Pozdrawiam

[picasso]

Na zakończenie wykonaj te operacje:

 

1. Zaktualizuj Windows wyliczone poniżej programy: KLIK. Wg raportu obecnie krytyczny poziom aktualizacji XP oraz zainstalowane wersje:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{90110415-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A93000000001}" = Adobe Reader 9.3 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX (wtyczka dla IE)

 

W podsumowaniu: wszystkie wyliczone tu stare Adobe + Java do deinstalacji, aktualizacja Skype oraz pełna aktualizacja XP (SP3 + IE8 + reszta łat).

 

2. Brak tu jakiegokolwiek programu zabezpieczającego. Z darmowych przykładowe propozycje:

• Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall
  
• Antywirus: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus
  
• Pakiet: COMODO Internet Security
  

3. Dla bezpieczeństwa zmień hasła logowania w serwisach.

 

 

Uwaga poboczna: jest tu zainstalowany zasobożerny koszmar Gadu-Gadu 10. Do wglądu alternatywne programy z obsługą sieci Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

 

Czy jest jakaś możliwość małej pomocy finansowej dla serwisu w ramach wdzięczności?

 

Jest. Mam to przecież w sygnaturze.

 

 

 

.