Landuss

W logach nie widzę oznak infekcji. Temat jedzie do innego działu. Wejdź w tryb awaryjny i sprawdź zachowanie się systemu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?st=1&crg=3.1010000.10011&barid={88546527-DF1B-11E1-95D8-101F74BFD58E}" IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ad7959a1-1870-11e1-a894-101f74bfd58e&q={searchTerms}" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={88546527-DF1B-11E1-95D8-101F74BFD58E}" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2801948" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=ad7959a1-1870-11e1-a894-101f74bfd58e" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=ad7959a1-1870-11e1-a894-101f74bfd58e&q={searchTerms}" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=115849&tt=4512_7&babsrc=SP_ss&mntrId=dee0795e000000000000101f74bfd58e" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\..\SearchScopes\{24A0BE0D-36D2-41B5-858C-5DED85B543AA}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2801948" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-3180090559-4087474455-3806405722-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={88546527-DF1B-11E1-95D8-101F74BFD58E}" O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.8.3.8\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - {D0F4A166-B8D4-48b8-9D63-80849FE137CB} - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\Windows\SysWow64\8c30360c.exe C:\Users\Krystian\AppData\Local\Google\Chrome :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3180090559-4087474455-3806405722-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" "bProtectorDefaultScope"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon Chrome Toolbar / Contextual Tool Extrafind / Babylon toolbar / Browsers Protector / NCH EN Toolbar / StartSearch Toolbar 1.3 / vShare.tv plugin 1.3 Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd) IE - HKU\S-1-5-21-1757981266-1972579041-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idd/idd_1330449012_383950 IE - HKU\S-1-5-21-1757981266-1972579041-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKU\S-1-5-21-1757981266-1972579041-1417001333-1003\..\SearchScopes\{124DCD22-EB09-4E80-B4E0-15D879FC0922}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=crm&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=B1A92AB3-5174-44E6-B053-25632ABB8D89&apn_sauid=6927FB5E-3D77-48C3-B890-0687B409800F" IE - HKU\S-1-5-21-1757981266-1972579041-1417001333-1003\..\SearchScopes\{3E8118DA-9E6A-4AFE-962B-95504DFF53C0}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF&q={searchTerms}" IE - HKU\S-1-5-21-1757981266-1972579041-1417001333-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072254" :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Maestro\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [uryfemi] C:\Documents and Settings\1\Dane aplikacji\Ymocat\syar.exe () :Files C:\Documents and Settings\1\Dane aplikacji\Unizeto C:\Documents and Settings\1\Dane aplikacji\Ymocat C:\Documents and Settings\1\Dane aplikacji\Hiiwar C:\Documents and Settings\1\Dane aplikacji\Hoisdy C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\1\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skrypt poprawnie wykonany i wszystko zostało usunięte. Przejdź do zakończenia. 1. Wklej do OTL skrypt poprawkowy o takiej treści: :OTL O4 - HKCU..\Run: [yoayo] C:\Documents and Settings\Owner.YOUR-4B5C888A65\yoayo.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz już żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0 - Polish Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts5161ccid.sys -- (USBCCID) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (RtsUIR) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Rts516xIR.sys -- (Rts516xIR) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTS5121.sys -- (RSUSBSTOR) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\PPFlt.sys -- (Passthru) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll File not found :Files C:\WINDOWS\ybulhgyc.exe C:\Documents and Settings\All Users\Dane aplikacji\gikgakahzppjjew C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / uTorrentBar Toolbar / vShare Plugin 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcje masz usunięta. Wykonaj na koniec poniższe czynności: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system instalując dodatki Service Pack 1 + 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Premium Edition (Version = 6.0.6000) - Type = NTWorkstation Internet Explorer (Version = 7.0.6000.16386) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Problem masz z głowy. Wykonaj czynności finalne. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 7 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 35 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.1 - Polish "Mozilla Firefox 8.0.1 (x86 pl)" = Mozilla Firefox 8.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\OWNER~1.YOU\LOCALS~1\Temp\hpdj.exe -- (hpdj) IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={CAAA2054-A7D6-11E1-B2EC-00161769E01E}" IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_URL = "http://www.gateway.com/g/startpage.html?Ch=Retail&Br=GTW&Loc=ENG_US&Sys=DTP&M=GT4026E" IE - HKU\.DEFAULT\..\SearchScopes\{86F14831-D88C-4BC8-B871-C8FB24D95D9B}: "URL" = "http://www.questbasic.com/?prt=QUESTBASIC115&keywords={searchTerms}" IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Default_page_URL = "http://www.gateway.com/g/startpage.html?Ch=Retail&Br=GTW&Loc=ENG_US&Sys=DTP&M=GT4026E" IE - HKU\S-1-5-18\..\SearchScopes\{86F14831-D88C-4BC8-B871-C8FB24D95D9B}: "URL" = "http://www.questbasic.com/?prt=QUESTBASIC115&keywords={searchTerms}" IE - HKU\S-1-5-21-249921751-2533082550-296318474-1006\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=w7th2&s={searchTerms}&f=4" IE - HKU\S-1-5-21-249921751-2533082550-296318474-1006\..\SearchScopes\{86F14831-D88C-4BC8-B871-C8FB24D95D9B}: "URL" = "http://www.questbasic.com/?prt=QstbscWD3&keywords={searchTerms}" IE - HKU\S-1-5-21-249921751-2533082550-296318474-1006\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: IE - HKU\S-1-5-21-249921751-2533082550-296318474-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKU\S-1-5-21-249921751-2533082550-296318474-1006\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=18&q={searchTerms}&barid={CAAA2054-A7D6-11E1-B2EC-00161769E01E}" O3 - HKLM\..\Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - No CLSID value found. O4 - HKU\.DEFAULT..\Run: [Power2GoExpress] NA File not found O4 - HKU\S-1-5-18..\Run: [Power2GoExpress] NA File not found O4 - HKU\S-1-5-21-249921751-2533082550-296318474-1006..\Run: [yoayo] C:\Documents and Settings\Owner.YOUR-4B5C888A65\yoayo.exe () [2012-07-20 22:53:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Owner.YOUR-4B5C888A65\Application Data\xmwdygnkhyygwlho3iwevbhuzyzjtfs1 :Files netsh firewall reset /C :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-249921751-2533082550-296318474-1006\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Facemoods Toolbar / uTorrentControl_v2 Toolbar / Winamp Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

ComboFixa nie używamy na własną rękę i jest o tym napisane w temacie przyklejonym w dziale. Na początek zastosuj się do zasad i wykonaj raporty z OTL + Gmer

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad C:\Documents and Settings\HP\Menu Start\Programy\Autostart\ctfmon.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

No to po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi wykonane z konta Administratora wbudowanego w system a więc nieprawidłowo. Wykonaj logi raz jeszcze z poziomu zainfekowanego konta. Możesz to zrobić z trybu awaryjnego (tam blokady nie ma). EDIT: Logi podstawione. Przechodząc do usuwania infekcji: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDPNDIS5.SYS -- (ZDPNDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10 IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKU\S-1-5-21-507921405-73586283-725345543-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" O3 - HKU\S-1-5-21-507921405-73586283-725345543-1003\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found F3 - HKU\S-1-5-21-507921405-73586283-725345543-1003 WinNT: Load - (ࠀ) - File not found :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\Ja\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=11bd6188-dbd9-11e0-9df7-0025221be0f1" [2012-04-11 20:17:53 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\krzysiekk\Dane aplikacji\Mozilla\Firefox\Profiles\wybzt58j.default\searchplugins\startsear.xml [2011-01-05 22:25:31 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\krzysiekk\Dane aplikacji\Mozilla\Firefox\Profiles\wybzt58j.default\searchplugins\web-search.xml :Files C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad C:\Documents and Settings\krzysiekk\Menu Start\Programy\Autostart\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-2665887270-207447827-1018669082-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=SP_ss&affID=100474&mntrId=3a3bb0e7000000000000001f3b706be7" IE - HKU\S-1-5-21-2665887270-207447827-1018669082-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" File not found O4 - HKU\S-1-5-21-2665887270-207447827-1018669082-1000..\Run: [EXPLORER.EXE] C:\Windows\explorer.exe (Microsoft Corporation) O4 - HKU\S-1-5-21-2665887270-207447827-1018669082-1000..\Run: [wsctf.exe] wsctf.exe File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\biernak\AppData\Local\setup.exe C:\Users\biernak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_USERS\S-1-5-21-2665887270-207447827-1018669082-1000\Software\Microsoft\Windows\CurrentVersion\Run] "EXPLORER.EXE"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Masz problem bo teraz znowu ci się dostała ta sama infekcja tyle, że w innej wersji. Wklej do OTL ten tekst: :OTL O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found. :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\kustro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [reboot] Klik w Wykonaj skrypt. Do oceny nowy log z OTL (bez ekstras).

Nic nie zostało wykonane i dostaniesz instrukcje jak to zrobić w inny sposób ale wklej jeszcze nowy log z OTL.

Według loga z FSS operacja z ServicesRepair się nie powiodła bo usługi nadal nie zostały naprawione. Był z tym jakiś problem? Wykonaj to raz jeszcze. i wrzuć nowego loga.

Lecimy dalej bo infekcja nadal nie została do końca usunięta. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {338B4DFE-2E2C-4338-9E41-E176D497299E} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - No CLSID value found. O7 - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 O38 - SubSystems\\Windows: (ServerDll=consrv:ConServerDllInitialization,2) NetSvcs:64bit: qbfcservice - C:\Windows\SysNative\RDID1007.dll (Oak Technology Inc.) [2012-02-16 00:43:30 | 000,000,000 | ---D | M] -- C:\Users\Skyy\AppData\Roaming\Noav [2012-02-16 00:40:49 | 000,000,000 | ---D | M] -- C:\Users\Skyy\AppData\Roaming\Quogv :Files C:\Windows\system64 C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini netsh winsock reset /C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Windows\SysWow64\%APPDATA% C:\Users\Mateusz\AppData\Local\Codecs.exe C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\Installer\{f3696ad7-9349-cefe-d2d3-f6a1ef0d0201} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS.

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Oprócz tytułowej infekcji widać ślady trojana ZeroAccess, ale to wygląda tylko na szczątki. 1. Uruchom GrantPerms x64 i wklej: C:\Windows\system64 Klik w Unlock. 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1030000.103000&st=12&barid={FAD68919-0A38-11E2-B2E8-001FE253BA30}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103000&st=12&q={searchTerms}&barid={FAD68919-0A38-11E2-B2E8-001FE253BA30}" IE - HKU\.DEFAULT\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{C857E763-815F-4D13-8A19-284676C57A19}?q={searchTerms}" IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{A21C6B32-AEAC-45C4-9A94-057C5318F83F}?q={searchTerms}" IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1030000.103000&st=12&q={searchTerms}&barid={FAD68919-0A38-11E2-B2E8-001FE253BA30}" O4 - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001..\Run: [AdobeBridge] File not found O4 - HKU\.DEFAULT..\RunOnce: [DeleteEngineAfterUpdate] reg DELETE HKCU\Software\AppDataLow\Software\ConduitEngine /f File not found O4 - HKU\S-1-5-18..\RunOnce: [DeleteEngineAfterUpdate] reg DELETE HKCU\Software\AppDataLow\Software\ConduitEngine /f File not found O4 - HKU\S-1-5-21-1704786207-1744367723-2432746793-1001..\RunOnce: [6E20625807954B1F00006E1FF43B4E5A] C:\ProgramData\6E20625807954B1F00006E1FF43B4E5A\6E20625807954B1F00006E1FF43B4E5A.exe () :Files netsh winsock reset /C C:\Windows\system32\fsutil.exe reparsepoint delete C:\Windows\system64 /C C:\Users\Skyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection C:\ProgramData\6E20625807954B1F00006E1FF43B4E5A C:\Users\Skyy\Desktop\System Progressive Protection.lnk C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\tasks\At*.job :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Przez Panel sterowania odinstaluj: SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Hyperionics DB Toolbar / uTorrentBar Toolbar / Winamp Toolbar Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / SweetPacks Chrome Extension 4. Uruchom AdwCleaner z opcji Delete 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz raport z Farbar Service Scanner

Rzeczywiście masz ZeroAccess w starszej wersji, wariant infekujący services.exe. Wykonaj dwa raporty dodatkowe. 1. Uruchom SystemLook x64 i do okna wklej: :filefind services.exe Klik w Look i przedstaw wynikowy raport. 2. Wykonaj raport z Farbar Service Scanner

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-4292299720-843691787-2300232816-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKU\S-1-5-21-4292299720-843691787-2300232816-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110823&tt=040912_mnt_3612_1&babsrc=SP_ss&mntrId=d67e8af50000000000006c626d3046ca" O2:64bit: - BHO: (Hotspot Shield Class) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll File not found O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-4292299720-843691787-2300232816-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. O3 - HKU\S-1-5-21-4292299720-843691787-2300232816-1000\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found. :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_USERS\S-1-5-21-4292299720-843691787-2300232816-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)