Landuss

Temat założony w dziale infekcji a zasady działu o logach nie spełnione. To mi jednak nie wygląda na infekcję. Jeśli był restart wykonaj punkt 5 i pokaż najnowszy zrzut pamięci: KLIK Temat jedzie do innego działu.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\..\SearchScopes\{2e51ec4e-2fa9-40fa-9007-2411de34e7ca}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YWxdm011YYnl&ptb=92FE53B7-ABD1-4099-AAE8-3B6FF58E2AA3&ind=2011082314&ptnrS=YWxdm011YYnl&si=maps4pc&n=77deae4a&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVman000&ptb=w6go8BhNxRmO3bqLJo8WDQ&ind=2010110213&ptnrS=ZVman000&si=&n=77cfd905&psa=&st=sb&searchfor={searchTerms}" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2644243" IE - HKCU\..\URLSearchHook: {f24df03f-d7f1-40b8-a63a-9d2be4908f39} - No CLSID value found IE - HKCU\..\SearchScopes\{2e51ec4e-2fa9-40fa-9007-2411de34e7ca}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YWxdm011YYnl&ptb=92FE53B7-ABD1-4099-AAE8-3B6FF58E2AA3&ind=2011082314&ptnrS=YWxdm011YYnl&si=maps4pc&n=77deae4a&psa=&st=sb&searchfor={searchTerms}" IE - HKCU\..\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}: "URL" = "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZVman000&ptb=w6go8BhNxRmO3bqLJo8WDQ&ind=2010110213&ptnrS=ZVman000&si=&n=77cfd905&psa=&st=sb&searchfor={searchTerms}" IE - HKCU\..\SearchScopes\{AC854C16-CA1E-43f1-8513-0D2F36C726ED}: "URL" = "http://www.offos.com/search/?q={searchTerms}&ie=utf-8&oe=utf-8&aq=t&rls=QgSaETiw" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2644243" FF - prefs.js..browser.search.defaultthis.engineName: "MapNeto 1 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2642709&SearchSource=3&q={searchTerms}" FF - prefs.js..extensions.enabledAddons: toolbar@ask.com:3.14.0.100013 FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.2.1 FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100013 FF - prefs.js..keyword.URL: "http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=YWxdm011YYnl&ptb=92FE53B7-ABD1-4099-AAE8-3B6FF58E2AA3&ind=2011082314&ptnrS=YWxdm011YYnl&si=maps4pc&n=77deae4a&psa=&st=kwd&searchfor=" FF - user.js..keyword.URL: "http://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=QgSaETiw&q=" [2012-08-22 19:21:01 | 000,000,000 | ---D | M] (MapNeto 1 Community Toolbar) -- C:\Users\Basia\AppData\Roaming\mozilla\Firefox\Profiles\t3h63x3m.default\extensions\{1e7e4de1-5ef4-4baa-9250-c26258dc499a} [2011-03-22 20:43:25 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Basia\AppData\Roaming\mozilla\Firefox\Profiles\t3h63x3m.default\extensions\engine@conduit.com [2012-05-27 15:22:02 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Basia\AppData\Roaming\mozilla\Firefox\Profiles\t3h63x3m.default\extensions\toolbar@ask.com [2010-07-12 23:54:12 | 000,000,921 | ---- | M] () -- C:\Users\Basia\AppData\Roaming\mozilla\firefox\profiles\t3h63x3m.default\searchplugins\conduit.xml [2010-11-02 20:39:36 | 000,010,017 | ---- | M] () -- C:\Users\Basia\AppData\Roaming\mozilla\firefox\profiles\t3h63x3m.default\searchplugins\mywebsearch.xml O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL File not found O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL File not found O3 - HKCU\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL File not found O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found O4 - HKCU..\Run: [update] C:\Users\Basia\AppData\Roaming\RsbYH13.exe () :Files C:\Users\Basia\AppData\Local\Temp*.html :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / Conduit Engine / My Web Search / Oryte Games 1.15 Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać żadnej infekcji. Temat zmienia dział. Z mojej strony tylko drobne korekty na podstawie logów (bez znaczenia dla problemu) w spoilerze.

To dziwne bo w trybie awaryjnym nie ma blokady tego wirusa. Spróbuj uruchomić Tryb awaryjny z obsługą Wiersza polecenia.

ComboFix też się za bardzo nie popisał, ale co nieco usunął. Poprawka przez OTL. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKCU..\Run: [uyBy4LQVC] C:\Documents and Settings\All Users\0YZ1lPm4whVMN1bm\iSFG1QWgA6Qs\M9arWv3F2X8qXBS\1pfujyBz.exe () [2012-09-22 09:20:05 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\0YZ1lPm4whVMN1bm [2012-09-20 17:15:54 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\tmdrsMIXwN1dwFS [2012-09-16 19:43:35 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\VjxXNBhrEqxcIh [2012-09-22 09:20:05 | 000,000,231 | ---- | M] () -- C:\Documents and Settings\All Users\2318cbf45df6208ecd4ec036b6d482bb15d1be41 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2012-09-09 01:37:55 | 000,000,000 | ---D | M] (Babylon) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com [2011-09-28 23:22:34 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O4 - HKLM..\Run: [Microsoft WinUpdate] C:\WINDOWS\system32\msupdte.exe () O4 - HKLM..\Run: [system] %appdata%\System.exe File not found O4 - HKLM..\Run: [update] C:\Documents and Settings\Administrator\Dane aplikacji\System\winlogon.exe () O4 - HKCU..\Run: [update] C:\Documents and Settings\Administrator\Dane aplikacji\System\winlogon.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Update = C:\Documents and Settings\Administrator\Dane aplikacji\system\winlogon.exe () :Files C:\Documents and Settings\All Users\nvwiz.exe C:\Documents and Settings\All Users\timerxfile C:\Documents and Settings\All Users\datesavefile C:\Documents and Settings\All Users\varsavefile C:\Documents and Settings\All Users\operaprefs.ini C:\Documents and Settings\Administrator\Dane aplikacji\System :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To by było na tyle z usuwania. Wykon aj kroki kończące. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Otwórz Google Chrome i w zarządzaniu wyszukiwarkami przestaw bieżącą SweetIM na Google, po tym SweetIM usuń z listy. Również stronę startową Chrome ustaw na pustą. I w rozszerzeniach nadal widać nieodmontowane Babylon Toolbar więc to wykonaj. 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9 - Polish "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

System nadal jest według logów zainfekowany, poza tym są też śmieci sponsoringowe do usuwania. Tym się nie przejmuj, to zwykły strumień na folderze Temp i nie jest szkodliwy, a widoczny w wielu logach. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\Program Files\Web Assistant\ExtensionUpdaterService.exe -- (Web Assistant Updater) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=nps" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113676&tt=2912_5&babsrc=SP_ss&mntrId=08bd355c000000000000001a4d5e4492" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb161/?search={searchTerms}&loc=IB_DS&a=6OyG6G8Vq2&i=26" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=17&q={searchTerms}&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://home.sweetim.com/?crg=3.27010003&st=12&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}" FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.6.0.3 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&crg=3.27010003&barid={AD65BDD9-E682-40F2-9B47-B935A5F40EE4}&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=113676&tt=2912_5&babsrc=HP_ss&mntrId=08bd355c000000000000001a4d5e4492" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" [2012-06-16 17:48:09 | 000,000,000 | ---D | M] (Winamp Toolbar) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-06-26 11:25:01 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\ffxtlbr@incredibar.com [2012-08-30 17:07:54 | 000,169,792 | ---- | M] () (No name found) -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi [2012-06-26 11:24:53 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\searchplugins\MyStart Search.xml [2012-09-13 20:34:02 | 000,003,984 | ---- | M] () -- C:\Documents and Settings\Uzytkownik\Dane aplikacji\Mozilla\Firefox\Profiles\1ml1kjno.default\searchplugins\sweetim.xml [2012-07-17 19:57:52 | 000,002,349 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-06-16 17:12:41 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found O2 - BHO: (Web Assistant) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\Web Assistant\Extension32.dll File not found O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found O4 - HKCU..\Run: [usygyvz] C:\Documents and Settings\Uzytkownik\Dane aplikacji\Adezce\keep.exe (power Stay) :Files C:\Documents and Settings\Uzytkownik\Dane aplikacji\System C:\Documents and Settings\Uzytkownik\Dane aplikacji\Xoodz C:\Documents and Settings\Uzytkownik\Dane aplikacji\Feypug C:\Documents and Settings\Uzytkownik\Dane aplikacji\Adezce :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Documents and Settings\Uzytkownik\Dane aplikacji\system\winlogon.exe"=- :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Web Assistant 2.0.0.445 / SweetIM for Messenger 3.7 / Internet Explorer Toolbar 4.6 by SweetPacks / Babylon toolbar on IE / Incredibar Toolbar on IE / Deinstalator Strony V9 / Winamp Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Babylon Toolbar / SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Wszelkie oprogramowanie zabezpieczające ma być WYŁĄCZONE na czas wykonywania skryptów. Możesz spróbować zrobić skrypt z trybu awaryjnego nawet. Sprawdź a jeśli się nie powiedzie to zrobisz jak wyżej napisałem.

Logi wskazują na obecność rootkita w sektorze MBR dysku. Wykonaj skan narzędziem Kaspersky TDSSKiller. Kiedy coś wykryje nic nie usuwaj tylko przydziel opcję Skip, a tutaj zaprezentuj raport.

Teraz mogę uznać, że jest czysto. Dwie rzeczy na koniec: 1. Wklej do OTL mini skrypt poprawkowy o tej treści: :Files C:\ComboFix C:\Qoobox C:\WINDOWS\erdnt C:\Program Files\MyGlobalSearch C:\Program Files\Uninstall My Global Search Bar.dll C:\Program Files\Common Files\AskToolbarInstaller.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] Klik w Wykonaj skrypt. Logów nie pokazujesz już żadnych. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK

W logach są śmieci sponsoringowe do usuwania. A więc tak jak wspominałem jest trochę do zrobienia. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MRENDIS5.SYS -- (MRENDIS5) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\Motive\MREMPR5.SYS -- (MREMPR5) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.03010003&st=12" IE - HKLM\..\SearchScopes\{4CC276D7-97CA-4BCD-8DCA-551B7BA5EBC3}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=0&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}: "URL" = "http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.03010003&st=12&q={searchTerms}" IE - HKCU\..\URLSearchHook: {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - SOFTWARE\Classes\CLSID\{dd02a4eb-4afd-4d60-99d8-e67f964ca813}\InprocServer32 File not found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&tt=3012_3&babsrc=SP_ss&mntrId=a40f4b66000000000000001372da69ce" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://startsear.ch/?aff=1&q={searchTerms}" IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823333973602874" IE - HKCU\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.03010003&st=12&q={searchTerms}" O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\gx520\Dane aplikacji\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found O3 - HKLM\..\Toolbar: (no name) - !{37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - !{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - No CLSID value found. O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\bsdtxmltbpi.dll File not found O3 - HKLM\..\Toolbar: (PHPNukeEN Toolbar) - {dd02a4eb-4afd-4d60-99d8-e67f964ca813} - C:\Program Files\PHPNukeEN\tbPHP1.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Files C:\Program Files\facemoods.com C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\gx520\Dane aplikacji\PriceGong :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / My Global Search Bar / PHPNukeEN Toolbar / Softonic-Polska Toolbar / vShare.tv plugin 1.3 / Winamp Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz już wszystko jest jak powinno. Przejdź do zakończenia. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Mimo wszystko wykonaj te raporty. Nie jest powiedziane czy to koniec.

Wszystko poprawnie wykonane a infekcja usunięta. Możesz przejść do zakończenia. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. W systemie są widoczne pozostałości po Avast. Usuń je za pomocą Avast Uninstall Utility 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 7.0 - Polish Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko jest w tematach przyklejonych w dziale co należy zrobić. Dostosuj się więc do zasad działu i wykonaj raporty z OTL + Gmer. Jeśli system jest 64-bitowy Gmer odpada. Logi umieść opcją załączniki na forum.

Infekcja jak była tak jest. Spróbujmy inaczej zrobić. 1. Uruchom zgodnie z opisem narzędzie ComboFix. 2. Gdy ukończy pracę przedstaw z niego raport oraz nowy log z OTL wykonany po pracy ComboFix.

To nie jest infekcja, która przenosi się przez pendrive więc możesz być spokojny. Napisz czy ten problem z explorerem się powtarza, bo jeśli tak to trzeba będzie szukać przyczyny.

Naprawić należy jeszcze dwie usługi systemowe, które naruszyła infekcja. 1. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000119c [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008" "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Po restarcie systemu pokaż nowy log z FSS.

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

To nie było potrzebne. Wzorowałeś się na innym temacie niepotrzebnie. Tamten użytkownik miał pewną usterkę w rejestrze i dlatego tak musiał robić. U Ciebie tej usterki nie ma. A to że infekcje podobne to inna sprawa. Kolejna rzecz - logi zrobione z nieprawidłowego konta Gościa: Computer Name: YOUR-8C37CDC26B | User Name: Gość | NOT logged in as Administrator. Proszę raz jeszcze wykonać logi z prawidłowego (zainfekowanego) konta. EDIT: Log wymieniony. Wcześniej zapomniałem ci napisać, że zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Dołącz ten log w kolejnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT) DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\DgiVecp.sys -- (DgiVecp) O4 - HKLM..\Run: [vsjitdebugger] C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2941\vsjitdebugger.exe () :Files C:\Documents and Settings\oem\Dane aplikacji\hellomoto C:\Documents and Settings\oem\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2941 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\Ca1528av.sys -- (Ca1528av) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\Bulk1528.sys -- (Bulk1528) O3 - HKU\S-1-5-21-1292428093-1993962763-682003330-500\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found. O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKU\S-1-5-21-1292428093-1993962763-682003330-500..\Run: [ABBYY Screenshot Reader Retail] File not found :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | System | Stopped] -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DBAB43E7-DC13-46D4-A41D-109B58E58173}\MpKsl065068bc.sys -- (MpKsl065068bc) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\ADMINI~1\AppData\Local\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\ADMINI~1\AppData\Local\Temp\awadraod.sys -- (awadraod) O4 - HKU\S-1-5-21-3877301086-2613395833-14043260-500..\Run: [Mobile Partner] C:\Program Files\PLAY Web partner\PLAY Web partner File not found O4 - HKU\S-1-5-21-3877301086-2613395833-14043260-500..\Run: [zxxcyqxnzwfqeww] C:\Windows\zxxcyqxn.exe () :Files C:\ProgramData\ganckfdnzrwzxgd C:\ProgramData\hsnlfivqhyvqylr :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skrypt poprawnie wykonany i to by było tyle z usuwania. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 24 "{AC76BA86-7AD7-FFFF-7B44-A91000000001}" = Adobe Reader 9.5.2 MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Start > Uruchom > cmd i wklep kolejno te polecenia: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\Documents and Settings\CZEZ\0i763f66bz.exe C:\WINDOWS\Installer\{ec847037-fbee-9b42-9e3b-57070b3043e3} C:\Documents and Settings\CZEZ\Local Settings\Application Data\{ec847037-fbee-9b42-9e3b-57070b3043e3} :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)