Landuss

Problem masz z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7600.16385) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 "Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja poprawnie usunięta. Wykonaj kroki kończące temat. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 27 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja pomyślnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 2 oraz wymienione programy do najnowszych wersji: Windows Vista Home Basic Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation Internet Explorer (Version = 7.0.6001.18000) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.kcję masz usuniętą.

Infekcja poprawnie usunięta. Problemu już być nie powinno. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.4.7 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi czyste i nie ma tutaj się czym zajmować. Wykonaj poniższe zalecenia kończące 1. Usuń z dysku ten plik po infekcji C:\Documents and Settings\SZYM\Application Data\msconfig.ini 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Media Center Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0 - Polish "Opera 11.60.1185" = Opera 11.60 Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To nie jest mutacja. Możliwe, że to jest ten typ, który ładuje się przez Shella a to jest nam znany rodzaj tej infekcji bo występował tutaj na forum wiele razy. @szymx wykonaj poniższe zalecenia: 1. Wejdź w Tryb awaryjny z obsługą Wiersza polecenia (to nie ładuje Shella) wpisz komendę regedit i ENTER. Wejdź do tego klucza: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Sprawdź czy jest tam wartość Shell kierująca na plik msconfig.dat. Jeśli tak, z prawokliku skasuj wartość Shell. 2. To powinno odblokować system a ty możesz spokojnie wykonać raporty z OTL. EDIT: @lukas665 tobie nie wolno tutaj postować, nie jesteś Moderatorem pomagającym. Jeśli chcesz pomocy załóż swój własny temat.

W takim razie nie widzę problemu. Temat zamykam. Gdyby coś się działo pisz na PW to w razie potrzeby otworzę temat.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=4640b8c1-c5a8-11e0-846c-ef0527dbe6a2" IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=4640b8c1-c5a8-11e0-846c-ef0527dbe6a2&q={searchTerms}" IE - HKCU\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com//?search={searchTerms}&loc=search_box&a=NUYOzGD6dZ" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKCU..\Run: [structuredQuery] C:\Users\Edek\AppData\Local\Microsoft\Windows\3473\StructuredQuery.exe (Microsoft Corporation) :Files C:\Users\Edek\AppData\Roaming\Zyov C:\Users\Edek\AppData\Roaming\Qean C:\Users\Edek\AppData\Roaming\Obku C:\Users\Edek\AppData\Roaming\hellomoto C:\Users\Edek\AppData\Local\Microsoft\Windows\3473 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: StartSearch Toolbar 1.3 / vShare.tv plugin 1.2 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Problem masz z głowy. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 7 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Da się da, odłącz internet i wtedy zrób logi. Ta infekcja nie działa w trybie awaryjnym.

To są logi zrobione z konta Administratora a nie z konta zainfekowanego użytkownika w związku z tym nie widzę w nich obiektów infekcji. Wykonaj je raz jeszcze z prawidłowego konta.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Users\Kapr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

A gdzie log extras? Pisałem o tym wcześniej więc jeszcze jego wykonaj i załącz.

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dolącz ten log w kolejnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Users\KR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Infekcja poprawnie usunięta. Możesz wykonać kroki kończące: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci. Podsumuj czy wszystko jest w porządku.

A w jakiej lokalizacji to zostało wykryte i na jakim obiekcie? Logi nie wskazują by była jakaś infekcja.

1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: sfc /scanfile=C:\Windows\system32\services.exe Zrestartuj komputer. 2. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: netsh winsock reset Zrestartuj komputer. 3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKU\S-1-5-21-3326711308-337027601-3717907506-1001\..\SearchScopes\{E61EF994-D67F-463A-B930-FB1E537B053F}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=kw&q={searchTerms}&locale=&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=ab89ab81-e390-44cf-a7fb-64301e1c2894&apn_sauid=4A0B88F2-0BE6-4CB3-A49A-7419120C9FFC" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Files C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_32\Desktop.ini C:\Windows\assembly\GAC_64\Desktop.ini C:\Windows\Installer\{83a75996-2f4e-1d37-ffce-0673ac4d4295} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 4. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS i SystemLook.

To by było tyle z usuwania. Możesz wykonać kroki na zakończenie. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java 6 Update 22 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Najnowszy log pokazujeze wszystko zostało poprawnie usunięte. Infekcji też już nie ma. Wykonaj kroki końcowe 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz sprawdź też wersję Javy, Adobe Reader i w razie potrzeby zaktualizuj. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Masz infekcję ZeroAccess w starszej wersji. Zanim przejdziemy do usuwania wykonasz dwa dodatkowe raporty pod kątem tej konkretnej infekcji. 1. Uruchom SystemLook x64 i w oknie wklej: :filefind services.exe Klik w Look i pokaż wynikowy raport. 2. Wykonaj log z Farbar Service Scanner

Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.6002.18005) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 8.1.0 - Polish "Mozilla Firefox 15.0 (x86 pl)" = Mozilla Firefox 15.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Problem masz z głowy. Wykonaj jeszcze to co poniżej na koniec: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Wejdź w ustawienia GoogleChrome i ustaw stronę startową na pustą usuwając widniejącą tam teraz startsearch (od vShare) 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 37 Szczegóły aktualizacyjne: KLIK

Infekcja usunięta więc po problemie. Wykonaj kroki końcowe. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.4.7 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Infekcja ZeroAccess zdjęta. Teraz można przejść dalej. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}" IE - HKU\S-1-5-21-485069609-4241683720-1456031040-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = "http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF" IE - HKU\S-1-5-21-485069609-4241683720-1456031040-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=341&systemid=406&sr=0&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O4 - HKLM..\Run: [] File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\dsgsdgdsgdsgw.pad C:\Windows\SysWow64\%APPDATA% C:\Windows\assembly\GAC_64\Desktop.ini C:\Users\Paulina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Searchqu Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchom narzędzie ServicesRepair w celu naprawienia usług systemowych. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz nowy z FSS.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=3fe8f910-f43d-11e0-951f-0000000000e0" IE - HKLM\..\SearchScopes\{9EC18FAE-23ED-4CFD-B3CE-C3C89554454A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=3fe8f910-f43d-11e0-951f-0000000000e0&q={searchTerms}" IE - HKLM\..\SearchScopes\{AB6817A3-AF8E-4409-9B2F-61B188B17FDC}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=3fe8f910-f43d-11e0-951f-0000000000e0&q={searchTerms}" IE - HKU\S-1-5-21-3223730102-1463630836-2273946446-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=3fe8f910-f43d-11e0-951f-0000000000e0" IE - HKU\S-1-5-21-3223730102-1463630836-2273946446-1000\..\SearchScopes\{9EC18FAE-23ED-4CFD-B3CE-C3C89554454A}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=3fe8f910-f43d-11e0-951f-0000000000e0&q={searchTerms}" IE - HKU\S-1-5-21-3223730102-1463630836-2273946446-1000\..\SearchScopes\{C00616CF-AFC0-4A22-8A72-306AF067ACC2}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=3fe8f910-f43d-11e0-951f-0000000000e0&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "error" FF - prefs.js..browser.search.order.1: "error" FF - prefs.js..browser.search.selectedEngine: "error" FF - prefs.js..browser.startup.homepage: "error" FF - prefs.js..keyword.URL: "error" [2011-11-15 20:33:25 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Users\kuba\AppData\Roaming\mozilla\Firefox\Profiles\ljniehsf.default\extensions\{3697b17c-b572-4862-a5e6-7f922c0f3403} [2012-10-02 17:16:54 | 000,000,792 | ---- | M] () -- C:\Users\kuba\AppData\Roaming\mozilla\firefox\profiles\ljniehsf.default\searchplugins\startsear.xml [2012-10-30 09:30:45 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{05fb1e3f-8fbb-b8d5-e563-4f080981ad46} [2012-01-02 10:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll O4 - HKLM..\Run: [] File not found O4 - HKU\S-1-5-21-3223730102-1463630836-2273946446-1000..\Run: [Tok-Cirrhatus] "C:\Users\kuba\AppData\Local\smss.exe" File not found :Files C:\ProgramData\lsass.exe C:\ProgramData\0tbpw.pad C:\Windows\System32\1d7f3c39.exe C:\Users\kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-3223730102-1463630836-2273946446-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: VshareComplete / Browsers Protector / StartSearch Toolbar 1.3 / vShare.tv plugin 1.3 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj StartSearch Video plug-in / VshareComplete plugin for chrome 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)