TROJAN:Win64/Sirefef.P TROJAN:Win32/Sirefef.AB

[Karciciel]

Microsoft Security Essential wykrywa mi ciagle te wirusy i nie moge sie ich pozbyc zasiegalem juz pomocy ale bez skutecznie zostalem wiec skierowany tutaj.

 

http://www.wklej.org/id/762496/ OTL

http://www.wklej.org/id/762497/ Extras

[picasso]

Gdzie "zasięgałeś już pomocy", co robiono w innym miejscu? Widzę, że używałeś ComboFix i nie podałeś nawet wyników jego pracy. W logu z OTL wartość w SubSystems jest jakoby "czysta", ale trojan ZeroAccess działa (modyfikacja Winsock) i trudno stwierdzić, czy aby już usunięty ComboFixem bagaż nie powróci na miejsce. Nie podałeś także w czym MSSE wykrywa obiekty infekcji. Poproszę o dodatkowe dane:

 

1. Log utworzony z ComboFix podczas poprzedniego działania (nie uruchamiaj narzędzia ponownie!) + wyciąg ze skanera MSSE.

 

2. Skan dodatkowy w OTL, uruchom narzędzie i w sekcji Własne opcje skanowania / skrypt wklej:

 

c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\temp /C
netsvcs

 

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

 

.

[Karciciel]

http://www.wklej.org/id/762535/ extras

http://www.wklej.org/id/762536/ OTL

http://www.wklej.org/id/762538/ Skan z Cobofixa

file:C:\Windows\assembly\GAC_32\Desktop.ini (tu wykrywa)

file:C:\Windows\assembly\GAC_64\Desktop.ini (tu wykrywa)

 

Pomoc zostala udzielana z forum peb.pl

http://peb.pl/logi-d...ojan-win32.html

[picasso]

I widzisz, takie szczątki informacyjne mi podałeś, a tu tyle można wyciągnąć danych. Apropos TDSSKiller i "Dziwne nic nawet nie wykrylo" = to nie jest dziwne, Kaspersky TDSSKiller nigdy nie wykrywał 64-bitowego wariantu ZeroAccess, namierza tylko wersję 32-bit, która jest zupełnie inaczej zbudowana. Detekcja wersji 64-bit to dopiero jest planowana w narzędziu, choć 64-bitowy ZeroAccess od dawna w obiegu. Tu mamy kolejną modyfikację 64-bit (jej odpowiednik z 32-bitowego systemu: KLIK):

 

W tamtym temacie podałeś bardzo istotną informację, czyli skan z MBAM, który pokazał składniki ZeroAccess:

 

Wykrytych plików: 2
C:\Windows\Installer\{22376a6e-ab3f-1aa1-731e-94d2549f930f}\L\00000008.@ (Trojan.BitMiner) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
C:\Windows\Installer\{22376a6e-ab3f-1aa1-731e-94d2549f930f}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

 

W związku z tym proszę o kolejny skan dostosowany. Uruchom SystemLook x64, w oknie wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:regfind
{22376a6e-ab3f-1aa1-731e-94d2549f930f}
 
:folderfind
{22376a6e-ab3f-1aa1-731e-94d2549f930f}

 

Klik w Look. Przedstaw log wynikowy.

 

 

 

 

.

[Karciciel]

http://www.wklej.org/id/762696/

[picasso]

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder: 
C:\Windows\Installer\{22376a6e-ab3f-1aa1-731e-94d2549f930f}
 
DeleteFile:
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\assembly\GAC_32\Desktop.ini

 

Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log.

 

2. Zresetuj Winsock: przejdź w Tryb awaryjny Windows, Start > w polu szukania wpisz cmd > wpisz komendę netsh winsock reset > zatwierdź restart komputera.

 

3. ComboFix widzi niesygnowany plik Windows. Wykonaj weryfikację poprawności plików systemowych za pomocą komendy sfc /scannow, za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK.

 

4. Usuń adware:

• Przez Panel sterowania odinstaluj Complitly, BitTorrentBar Toolbar, Freecorder Toolbar. Niestety dwie ostatnie pozycje zwrócą błąd i poproszą tylko o usunięcie wpisów z listy. To skutek niepoprawnego usuwania na tamtym forum, zamiast deinstalować, wywalono składniki deinstalacyjne ... zostawiając wpisy na liście zainstalowanych.
  
• W Google Chrome w menedżerze rozszerzeń odinstaluj Complitly, w Firefox w menedżerze dodatków zrób tę akcję dla BitTorrentBar Community Toolbar.
  
• Po wszystkim popraw przez AdwCleaner z opcji Delete.
  

5. Przedstawiasz logi z: Blitzblank z punktu 1, filtrowania SFC z punktu 3, AdwCleaner z punktu 4, oraz zrobiony na końcu OTL opcją Skanuj i Farbar Service Scanner z wszystkimi opcjami zaznaczonymi.

 

Dodatkowo, coś mi się nie podoba mała liczba wyników wyszukiwania w rejestrze w SystemLook, wklej do skanu taki warunek:

 

:reg

HKEY_CURRENT_USER\Software\Classes\CLSID /S
HKEY_CURRENT_USER\Software\Classes\Wow6432Node\CLSID /S
 
:folderfind
{22376a6e-ab3f-1aa1-731e-94d2549f930f}

 

 

 

 

.

[Karciciel]

Jest problem gdy wciskam na execute w BlitzBlank-u pojawia mi sie taki komunikat (faile to execute,please make sure the application was started as an administrator) chociaz uruchamialem jako aministrator no chyba ze mam to zrobic w trybie awaryjnym?

[picasso]

To zrób dokładnie to co sugerujesz: wejdź w Tryb awaryjny Windows i uruchom narzędzie.

[Karciciel]

Nie pomoglo dalej ten sam komunikat jakies pomysly?

[picasso]

1. Pobierz narzędzie FRST x64 i umieść na pendrive. Otwórz Notatnik i wklej w nim:

 

C:\Windows\Installer\{22376a6e-ab3f-1aa1-731e-94d2549f930f}
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\assembly\GAC_32\Desktop.ini

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok narzędzia FRST.

 

2. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom zgodnie z opisem narzędzie FRST i wybierz w nim opcję Fix. Skrypt umieszczony na pendrive zostanie przetworzony i powstanie plik fixlog.txt. Restartujesz do Windows.

 

3. Dalsze kroki od 2 do 5 rozpisane w poprzedniej instrukcji nadal aktualne, tylko zamiast loga z BlitzBlank oczywiście pokazujesz fixlog.txt.

 

 

 

.

[Karciciel]

Co do punktu pierwszego to: http://www.wklej.org/id/762900/ FRST

sam skan tylko bo przy uzyciu opcji fix pojawia sie taki komunikat (No fixlist.txt found.The fixlist.txt should be made an save in the same directory the tool is located)

Punkt numer dwa:Wyskakuje komunikat (Nie mozna zaladowac nastepujacego pomocnika LL:WSHELPER.DLL.

Nie znaleziono nastepujacego polecenia :winsock reset.)

 

Trzeci i czwarty odpuscilem bo skoro te wyzej nie wyszly to raczej nie ma sesu?

[picasso]

sam skan tylko bo przy uzyciu opcji fix pojawia sie taki komunikat (No fixlist.txt found.The fixlist.txt should be made an save in the same directory the tool is located)

 

Mnie nie jest potrzebny skan tylko wykonanie zadania opcją Fix. Komunikat mówi jasno co jest źle: plik naprawczy fixlist.txt nie jest umieszczony gdzie należy. Miałeś plik zapisać i wstawić obok narzędzia FRST64.exe na pendrive, oba pliki obok siebie. Jeszcze raz: upewnij się, że pliki leżą obok siebie i powtórz zadanie. Dodatkowa uwaga, wcześniej to ominęłam nie przykładając wagi, ale widzę, że ten dziwny sterownik:

 

DRV:64bit: - [2012-05-29 14:31:20 | 000,050,000 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\Windows\SysNative\drivers\ytpzqwsk.sys 

 

... przemienił się w:

 

1 ddyypevi; C:\Windows\System32\Drivers\ddyypevi.sys [50000 2012-05-29] (Microsoft Corporation)

 

W związku z tym zmień nieco fixlist.txt na zawartość:

 

1 ddyypevi; C:\Windows\System32\Drivers\ddyypevi.sys [50000 2012-05-29] (Microsoft Corporation)
C:\Windows\System32\Drivers\ddyypevi.sys
C:\Windows\Installer\{22376a6e-ab3f-1aa1-731e-94d2549f930f}
C:\Windows\assembly\GAC_64\Desktop.ini
C:\Windows\assembly\GAC_32\Desktop.ini

 

 

Punkt numer dwa:Wyskakuje komunikat (Nie mozna zaladowac nastepujacego pomocnika LL:WSHELPER.DLL.

Nie znaleziono nastepujacego polecenia :winsock reset.)

 

Oczywiście, bo punkt 1 nie został wykonany i działa moduł trojana Zeroaccess, które przekierowuje Winsock. Dopóki nie odbędzie się usuwanie składników, reset Wisock jest niemożliwy.

 

 

 

.

[Karciciel]

plik byl obok jak nalezy

 

http://www.fotosik.pl/pokaz_obrazek/739f23b77cc92b2e.html

[picasso]

Sądzę, że nazwa pliku jest wadliwa, czyli podwójne rozszerzenie fixlist.txt.txt. A sądzę tak, gdyż FRST64 widać bez końcówki EXE, co oznacza włączone ukrywanie rozszerzeń, w tym przypadku plik TXT też powinien się pokazać bez rozszerzenia. W związku z tym:

- w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz opcję Ukrywaj rozszerzenia znanych typów

- następnie zmień nazwę pliku z fixlist.txt.txt na fixlist.txt

- przeklej do niego nowy skrypt (popatrz na mój wcześniejszy post, skrypt nieco zmieniłam, by zaadresować tę dziwną usługę)

- powtarzasz opcję Fix w FRST plus po restarcie zaległe czynności

 

 

.

[Karciciel]

http://www.wklej.org/id/762933/ FIXLOG

 

Punkt numer dwa znowu to samo: Wyskakuje komunikat (Nie mozna zaladowac nastepujacego pomocnika LL:WSHELPER.DLL.

Nie znaleziono nastepujacego polecenia :winsock reset.)

[picasso]

ZeroAccess jest czynny, widocznie gdzieś jest składnik regenerujący. Czy komendę resetu Winsock wdrożyłeś z poziomu Trybu awaryjnego? Mimo błędu przejdź do wykonania punktów 3 do 5, w nowych skanach zobaczę co się dzieje.

 

Dodam. Ten wariant powinien się ładować przez klasy, modyfikować którąś klasę systemową, możliwe że jest to aktualnie zmienne, bo uprzedni skan z SystemLook jak mówiłam podejrzanie biedny. Dlatego też, prócz skanu w SystemLook, dorzuć pełną kopię rejestru. Obskoczę cały rejestr (w tym klasy w HKEY_LOCAL_MACHINE) szybciej niż nieprecyzyjne szukanie w ciemno w SystemLook. Kopię rejestru wyprodukujesz za pomocą RegBack, wynikowy folder zapakuj do ZIP i shostuj gdzieś przesyłając mi na PW link do paczki.

 

 

 

.

[Karciciel]

Tak z awaryjnego pisalem

 

Sry ze tak pozno ale nie mialem czasu na siedzenie przy kompie zrobilem to teraz oto wyniki:

 

http://www.wklej.org/id/764784/ raport z 3 podpunktu

http://www.wklej.org/id/764792/ AdwCleaner[s3].txt

http://www.wklej.org/id/764794/ AdwCleaner[R4].txt

http://www.wklej.org/id/764799/ OTL.txt

http://www.wklej.org/id/764800/ EXTRAS.txt

http://www.wklej.org/id/764801/ FArbar Service Scanner

http://www.wklej.org/id/764804/ SystemLook

 

chroma odinstalowalem calkowicie nie moge jakos tego bittorent toolbar usunac:(

No i wyslalem ten plik z ReqBack na priv

[picasso]

Przesadziłeś z logiem OTL, to jest log na złych ustawieniach = wszędzie ustawiłeś Wszystko, a ma być Użyj filtrowania.

 

Szukanie w rejestrze: brak wyników, brak jakichkolwiek oznak naruszenia klas CLSID. Wygląda to na wariant, który infekuje systemowy plik services.exe. Brak sygnatury na tym pliku notował ComboFix i ja nie bez przyczyny dałam skan sfc /scannow, którego zamiarem było plik naprawić.

 

------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2009-07-14 . 24ACB7E5BE595468E3B9AA488B9B4FCB . 328704 . . [6.1.7600.16385] .. c:\windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe
[-] 2009-07-14 . 50BEA589F7D7958BDD2528A8F69D05CC . 329216 . . [6.1.7600.16385] .. c:\windows\system32\services.exe

 

Poza tym, zrobiłam szukanie na sumę kontrolną 50BEA589F7D7958BDD2528A8F69D05CC jaką notował ComboFix i to jest powtarzalne na wielu bieżących przypadkach z atakiem ZeroAccess. Plikiem zajęło się SFC i go jakoby naprawiło:

 

2012-06-01 19:32:35, Info    CSI    00000153 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"services.exe" from store

 

 

Sprawdź czy teraz jesteś w stanie zresetować Winsock. Przejdź w Tryb awaryjny Windows, uruchom cmd i wpisz komendę netsh winsock reset. Jeśli reset się pomyślnie wykona, restart Windows i zrób nowy log z OTL z opcji Skanuj (przypominam: wszędzie ustawione Użyj filtrowania.

 

 

 

PS. Posklejałam kilka postów, by temat się nie dłużył.

 

 

 

.

[Karciciel]

Zresetowanie tym razem pomyslne

http://www.wklej.org/id/764972/ otl.txt

http://www.wklej.org/id/764974/ extras.txt

 

Po wczorajszej akcji zauwazylem ze nie ma trojanow jak to zazwyczaj byly na starcie ale jak zrobilem pelny skan moim antywirem to znowu byly:(

 

Wlasnie wykonalem kolejny skan i wszystko jest k wielkie dzieki z pomoc:)

[picasso]

Po wczorajszej akcji zauwazylem ze nie ma trojanow jak to zazwyczaj byly na starcie ale jak zrobilem pelny skan moim antywirem to znowu byly:(]

 

Tak, bo nie zostały usunięte po leczeniu services.exe. Plik services.exe został naprawiony przez narzędzie wewnętrzne SFC, toteż był możliwy reset Winsock oraz usunięcie pobocznych plików skanerem bez ich nawrotu. Sprawa infekcji jest tu rozwiązana.

 

 

---

Wykończenia:

 

1. Zresetuj Winsock części NameSpace, bo pozostał tu wpis:

 

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found

 

Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik opcja Scal

 

2. Drobny skrypt poprawkowy na szczątki po pasku BitTorrentBar Toolbar oraz odpadki BlitzBlank. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O2 - BHO: (no name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found.
[2012-05-30 18:35:09 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Pimp\AppData\Roaming\mozilla\Firefox\Profiles\x1rbydyb.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2012-05-29 21:11:46 | 000,074,240 | ---- | M] () -- C:\Windows\SysNative\blzblk.exe
[2012-05-29 21:11:46 | 000,000,358 | ---- | M] () -- C:\Windows\SysNative\blzblk.dat
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\BitTorrentBar Toolbar]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Odinstaluj w prawidłowy sposób ComboFix. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

E:\Download\ComboFix.exe /uninstall

 

4. W OTL uruchom Sprzątanie, w AdwCleaner zastosuj Uninstall, resztę używanych narzędzi skasuj ręcznie, w tym przez SHIFT+DEL usuń te foldery:

 

C:\FRST

C:\CCE_Quarantine

C:\Windows\ERDNT

 

5. Zweryfikuj czy działają wbudowane funkcje bezpieczeństwa, czyli Centrum zabezpieczeń oraz Zapora systemu Windows. Podaj wyniki.

 

 

 

.

[Karciciel]

Nie sadzilem ze jeszcze cos bedzie trzeba robic ale wykonalem wszystko co napisalas oto skan:

http://www.wklej.org/id/765309/ z otl

Zapora dziala jest k jesli to wszystko to daj znac:)

[picasso]

Czyszczenie zakończone. Jako finalizacja tematu:

 

1. Prewencyjna wymiana haseł logowania w serwisach.

 

2. Aktualizacje oprogramowania: KLIK. Tu z Twojej listy zainstalowanych wykaz wersji:

 

Internet Explorer (Version = 8.0.7601.17514)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86417002FF}" = Java™ 7 Update 2 (64-bit)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin 64-bit
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31

 

Czyli do aktualizacji Internet Explorer + Java, a wersje Adobe Flash sprawdź czy posiadasz najnowsze.

 

 

 

.

[Karciciel]

Dzieki za wszystko jak cos bedzie sie dzialo to juz wiem gdzie i do kogo sie doezwac

pzdr.