Xebritas Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 Witam Was serdecznie! Mam problem, od pewnego czasu nie mogę zobaczyć ukrytych plików. Po wejściu do Panel Sterowania > Opcje Folderów > Widok , zaznaczeniu Pokaz ukryte pliki i foldery i kliknięciu Zastosuj oraz Ok komputer łapie jakby chwilową zwieszkę, a ukrytych plików jak nie widać tak nie widać. Zauważyłem także spowolnienie pracy komputera oraz coraz częściej system się zawiesza. Oto logi: Extras.Txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 Tak, jest tu infekcja, która weszła drogą typu przenośne USB. W procesie usuwania od razu przestawię także ustawienia relatywne do widoczności plików oraz usunę drobnostki typu resztki po Ask Toolbar w preferencjach Firefox i zapisy typu "not found" / "key error". 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives C:\WINDOWS\neoqaz2.dll C:\TP*.$$$ :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "api32"=- "dso32"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" :OTL FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" [2010-09-20 17:59:57 | 000,002,565 | ---- | M] () -- C:\Documents and Settings\Xebritas\Dane aplikacji\Mozilla\Firefox\Profiles\vsw57i6c.default\searchplugins\askcom.xml O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\sdasdas8806s\catchme.sys -- (catchme) @Alternate Data Stream - 8 bytes -> C:\WINDOWS: :Commands [emptyflash] [emptytemp] Rozpocznij usuwanie przez opcję Wykonaj skrypt. Będzie restart komputera, po którym otrzymasz log z procesu. 2. Do prezentacji: log powstały z usuwania OTL oraz nowy OTL opcji Skanuj. Dołącz także USBFix z opcji Listing. Jeśli masz jakieś urządzenie przenośne USB w rękach, na czas generowania tego raportu podepnij je. . Odnośnik do komentarza
Xebritas Opublikowano 22 Września 2010 Autor Zgłoś Udostępnij Opublikowano 22 Września 2010 Ok, zrobione wszystko. Uruchomiłem ten skrypt, komp się uruchomił ponownie i na dzień dobry taki error : A tutaj logi: http://wklej.org/id/392146/ - po uruchomieniu kompa http://wklej.org/id/392152/ - z USBFix'a Edit: Co do tego błędy to chyba przez to, że instalowałem tez IE 8, a potem roboot systemu od wykonywania skryptu przez OTL. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 Wszystko zostało według planu usunięte. W OTL brak już znaków infekcji, ale USBFix pokazuje dodatkowe ukryte pliki infekcji na dyskach: [14/07/2010 - 10:52:55 | RSH | 117248] C:\i8gcgmg.exe[14/07/2010 - 10:52:55 | RSH | 117248] D:\i8gcgmg.exe[14/07/2010 - 10:52:55 | RSH | 117248] E:\i8gcgmg.exe 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files i8gcgmg.exe /alldrives Jak poprzednio: Wykonaj skrypt. Tym razem nie będzie ani zabijania procesów, ani restartu, ponieważ nie planuję tych operacji mniemając, że te pliki nie są ładowane i ich usunięcie nie nastręczy żadnych trudności. Do prezentacji będzie tylko log z usuwania. 2. Następnie zabezpiecz system via Panda USB Vaccine przy udziale opcji Computer Vaccination. To jeszcze nie koniec operacji, ale stopniuję zadania. Uruchomiłem ten skrypt, komp się uruchomił ponownie i na dzień dobry taki error Wątpliwe, by to było związane z moimi procesami w OTL, ponieważ w ogóle nie dotykałam tego obszaru. Ciąg na błędzie to jest zapis związany z Internet Explorer w następującym kluczu: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]@="Browser Customizations""ComponentiD"="BRANDING.CAB""IsInstalled"=dword:00000001"Locale"="*""LocalizedName"="@C:\\WINDOWS\\system32\\iedkcs32.dll.mui,-3052""StubPath"="\"C:\\WINDOWS\\system32\\rundll32.exe\" \"C:\\WINDOWS\\system32\\iedkcs32.dll\",BrandIEActiveSetup SIGNUP""Version"="8,0,6001,18702" Wniosek: między wklejeniem skryptu a jego wykonaniem musiał zajść dodatkowy proces związany z Internet Explorer. Widzę to w logu, radykalna zmiana wersji Internet Explorer. W pierwszym logu: Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.5512) W obecnym logu: Windows XP Professional Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 8.0.6001.18702) Wniosek: nastąpił błąd aktualizacji. Zwrot na błędzie sugeruje, że wersja pliku iedkcs32.dll jest starsza niż wymagana i nie zawiera odpowiednich instrukcji. Pokaż mi jak ten plik u Ciebie wygląda. Uruchom SystemLook, w oknie wklej poniższy tekst, kliknij w Look i czekaj na raport. :filefindiedkcs32.dll EDIT: Edit: Co do tego błędy to chyba przez to, że instalowałem tez IE 8, a potem roboot systemu od wykonywania skryptu przez OTL. No właśnie. . Odnośnik do komentarza
Xebritas Opublikowano 22 Września 2010 Autor Zgłoś Udostępnij Opublikowano 22 Września 2010 Zrobione: ========== FILES ========== C:\i8gcgmg.exe moved successfully. D:\i8gcgmg.exe moved successfully. E:\i8gcgmg.exe moved successfully. i8gcgmg.exe not found in Y:\ i8gcgmg.exe not found in Z:\ OTL by OldTimer - Version 3.2.14.1 log created on 09222010_153320 Log z SystemLook'a SystemLook 04.09.10 by jpshortstuff Log created at 15:37 on 22/09/2010 by Xebritas Administrator - Elevation successful ========== filefind ========== Searching for "iedkcs32.dll" C:\WINDOWS\$NtServicePackUninstall$\iedkcs32.dll -----c- 323584 bytes [13:09 14/10/2009] [22:44 03/08/2004] 8E7B1275B12BCAAE51E36EFC9D97FCA2 C:\WINDOWS\ie8\iedkcs32.dll -----c- 323584 bytes [12:31 22/09/2010] [20:50 14/04/2008] A5C254F09DC54C733214B7C7F0E5A166 C:\WINDOWS\ServicePackFiles\i386\iedkcs32.dll ------- 323584 bytes [13:14 14/10/2009] [20:50 14/04/2008] A5C254F09DC54C733214B7C7F0E5A166 C:\WINDOWS\system32\iedkcs32.dll ------- 323584 bytes [22:44 03/08/2004] [20:50 14/04/2008] A5C254F09DC54C733214B7C7F0E5A166 C:\WINDOWS\system32\dllcache\iedkcs32.dll -----c- 391536 bytes [12:09 08/03/2009] [12:09 08/03/2009] 4646415E600AFEB74B0279D89754F52F -= EOF =- Edit: Przepraszam za zamieszanie z tym IE Odnośnik do komentarza
picasso Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 Takie krótkie logi to wklejaj bezpośrednio do posta. 1. Kończąc sprawę infekcji, drobne porządki i skanowanie potwierdzające czystość komputera: Usuń przez SHIFT+DEL cały katalog kwarantanny C:\_OTL. Podobnie z katalogiem C:\sdasdas, który wygląda mi na katalog po ComboFix uruchomiony pod zmienioną nazwą (w logu była wcześniej usługa Catchme Gmera startująca z podobnego bełkotliwego folderu C:\sdasdas8806s). USBFix jest już niepotrzebny i możesz go odinstalować. Wyczyść foldery Przywracania systemu: INSTRUKCJE Wykonaj pełny skan przez Malwarebytes' Anti-Malware i zgłoś się tu z raportem tego narzędzia. 2. W kwestii Internet Explorer i tego fragmentu zestawienia z SystemLook: C:\WINDOWS\ie8\iedkcs32.dll -----c- 323584 bytes [12:31 22/09/2010] [20:50 14/04/2008] A5C254F09DC54C733214B7C7F0E5A166C:\WINDOWS\system32\iedkcs32.dll ------- 323584 bytes [22:44 03/08/2004] [20:50 14/04/2008] A5C254F09DC54C733214B7C7F0E5A166C:\WINDOWS\system32\dllcache\iedkcs32.dll -----c- 391536 bytes [12:09 08/03/2009] [12:09 08/03/2009] 4646415E600AFEB74B0279D89754F52F Wyekstraktowałam instalację Internet Explorer 8 PL do postaci gołej i plik w tej paczce ma inne parametry niż ten Twój w system32 (jest nowszy), ale ma identyczne parametry jak Twój plik w dllcache: C:\d3d2942a7b8277066719823c\iedkcs32.dll --a---- 391536 bytes [12:09 08/03/2009] [12:09 08/03/2009] 4646415E600AFEB74B0279D89754F52F Spróbujmy podstawić plik właściwą wersją, czyli przekopiowując wersję z dllcache do system32. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Processes killallprocesses :Files C:\WINDOWS\system32\iedkcs32.dll|C:\WINDOWS\system32\dllcache\iedkcs32.dll /replace Scenariusz znany: Wykonaj skrypt i autoreset. I zobaczymy co się stanie po restarcie systemu..... Dla potwierdzenia zamiany pliku możesz dodać końcowy SystemLook na to samo wyszukiwanie co wcześniej. . Odnośnik do komentarza
Xebritas Opublikowano 22 Września 2010 Autor Zgłoś Udostępnij Opublikowano 22 Września 2010 Dobra, wszystko zrobiłem tak jak kazałaś. Logi: ========== PROCESSES ========== All processes killed ========== FILES ========== File C:\WINDOWS\system32\iedkcs32.dll successfully replaced with C:\WINDOWS\system32\dllcache\iedkcs32.dll OTL by OldTimer - Version 3.2.14.1 log created on 09222010_175221 Files\Folders moved on Reboot... Registry entries deleted on Reboot... Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Wersja bazy: 4671 Windows 5.1.2600 Dodatek Service Pack 3 Internet Explorer 8.0.6001.18702 2010-09-22 17:47:12 mbam-log-2010-09-22 (17-47-12).txt Typ skanowania: Pełne skanowanie (C:\|D:\|E:\|Y:\|Z:\|) Przeskanowano obiektów: 232982 Upłynęło: 31 minut(y), 47 sekund(y) Zainfekowanych procesów w pamięci: 0 Zainfekowanych modułów w pamięci: 0 Zainfekowanych kluczy rejestru: 1 Zainfekowanych wartości rejestru: 0 Zainfekowane informacje rejestru systemowego: 0 Zainfekowanych folderów: 0 Zainfekowanych plików: 0 Zainfekowanych procesów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych modułów w pamięci: (Nie znaleziono zagrożeń) Zainfekowanych kluczy rejestru: HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken. Zainfekowanych wartości rejestru: (Nie znaleziono zagrożeń) Zainfekowane informacje rejestru systemowego: (Nie znaleziono zagrożeń) Zainfekowanych folderów: (Nie znaleziono zagrożeń) Zainfekowanych plików: (Nie znaleziono zagrożeń) Po restarcie systemu żaden błąd nie wyskoczył więc już chyba wszystko gra Odnośnik do komentarza
picasso Opublikowano 22 Września 2010 Zgłoś Udostępnij Opublikowano 22 Września 2010 1. Ten kluczyk rejestru wykryty przez MBAM jest do usunięcia, to resztka infekcji z przenośnych. Ponownie usuń znów wygenerowany C:\_OTL. 2. Zaktualizuj oprogramowanie integrujące się z przeglądarką: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 14"{AC76BA86-7AD7-1033-7B44-A91000000001}" = Adobe Reader 9.1 Szczegóły rozpisane w tym temacie: INSTRUKCJE. I to by było na tyle. Jeśli wszystko gra i nie notujesz problemów, temat uznaję za zakończony. . Odnośnik do komentarza
Xebritas Opublikowano 22 Września 2010 Autor Zgłoś Udostępnij Opublikowano 22 Września 2010 (edytowane) Dziękuję serdecznie za pomoc, pozdrawiam! Edytowane 22 Września 2010 przez picasso Temat rozwiązany. Zamykam. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi