Landuss

Logi nie wskazują by była tutaj jakaś infekcja. Temat przesuwam do innego działu bo tutaj nie pasuje. W kwestii problemu - uruchom komputer w trybie awaryjnym z obsługą sieci i sprawdź czy przeglądarki działają czy nie. Niewykluczone, że tu Norton może mieć coś do rzeczy. Sterowniki datowane na rok 2006(!). To jest pruchno i jak najszybciej będzie trzeba się tego pozbyć. Tu firmowe narzędzie Norton Removal Tool do usuwania: https://www-secure.s...redirect_pubweb

Wszystko zostało poprawnie usunięte. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416026FF}" = Java 6 Update 26 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 26 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie usunięte. Wykonaj kroki końcowe: 1. Użyj opcji Sprzątanie z OTL. Usuń też z dysku ten folder - C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\fjv3n0uq.default\extensions\quickstores@quickstores.de 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave, Adobe Readera i przeglądarki w razie potrzeby do najnowszych wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Zadanie wykonane, możesz przejść do kroków końcowych: 1. Użyj opcji Sprzątanie z OTL. 2. Start > w polu szukania wpisz Uruchom > regedit i usuń z prawokliku ten klucz: HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\Yandex 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.16562) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 30 "Mozilla Thunderbird 14.0 (x86 pl)" = Mozilla Thunderbird 14.0 (x86 pl) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Pierwsza uwaga - Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Proszę dostarczyć ten brakujący log w kolejnym poście. Gmer to nie jest program dla systemów 64-bitowych (takich jak twój) więc nie stosuj tego narzędzia na nim bo to jest po prostu bez sensu. On i tak połowy systemu nie widzi. Jeśli chodzi o obecny log głowny z OTL to nic tutaj nie ma poza tym keyloggerem: O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Mpk.exe = C:\Windows\SysWOW64\MPK\Mpk.exe () Czy on był celowo instalowany?

Problem "Otwórz za pomocą" to infekcja z urządzeń przenośnych, ale tutaj jest znacznie gorsza sprawa - rootkit ZeroAccess w starszej wersji. 1. Uruchom zgodnie z wytycznymi narzędzie ComboFix 2. Gdy ukończy pracę przedstaw z niego raport oraz wykonaj nowe logi z OTL + Gmer. BTW: Nie wstawiaj logów na serwis wklejto bo jest kiepski i źle się czyta logi. Użyj np. opcji załączniki na forum.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- F:\Programy\PeerGuardian2\pgfilter.sys -- (pgfilter) DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1329229851_835199 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1329229851_835199 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1329229851_835199 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1329229851_835199 IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=FXTV5&o=101699&src=kw&q={searchTerms}&locale=en_US&apn_ptnrs=F4&apn_dtid=YYYYYYBNPL&apn_uid=D79C9C24-4F6A-4F5A-B7D8-FAB41F798B09&apn_sauid=E7450C51-8337-4FE0-B7DE-3C8559DA795D" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultenginename: "Ask.com" FF - prefs.js..browser.search.order.1: "Ask.com" FF - prefs.js..browser.search.selectedEngine: "Ask.com" FF - prefs.js..browser.startup.homepage: "pl.v9.com/idg/idg_1329229851_835199" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.14.0.100010 FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.2.0 FF - prefs.js..keyword.URL: "http://websearch.ask.com/redirect?client=ff&src=kw&tb=FXTV5&o=101699&locale=en_US&apn_uid=D79C9C24-4F6A-4F5A-B7D8-FAB41F798B09&apn_ptnrs=F4&apn_sauid=E7450C51-8337-4FE0-B7DE-3C8559DA795D&apn_dtid=YYYYYYBNPL&&q=" [2012-07-17 10:55:30 | 000,002,576 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\fjv3n0uq.default\searchplugins\askcom.xml [2009-10-28 18:17:51 | 000,002,395 | ---- | M] () -- C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\fjv3n0uq.default\searchplugins\daemon-search.xml [2012-02-14 16:30:51 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O3 - HKLM\..\Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [s.M.A.R.T. Assistant] File not found O4 - HKCU..\RunOnce: [036DFF61000D22070303F3072F3B707C] C:\ProgramData\036DFF61000D22070303F3072F3B707C\036DFF61000D22070303F3072F3B707C.exe () @Alternate Data Stream - 24 bytes -> C:\Windows:76B0D574F0FAE163 :Files C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\036DFF61000D22070303F3072F3B707C C:\Users\user\Desktop\Live Security Platinum.lnk C:\Users\user\AppData\Roaming\cqfyto.dat C:\Users\user\AppData\Roaming\avdrn.dat :Reg [-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar / V9 HomeTool Otwórz Firefox i w Dodatkach odmontuj: QuickStores-Toolbar / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

No to jest po problemie bo infekcja usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox 14.0.1 (x86 pl)" = Mozilla Firefox 14.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Niech koleżanka dla bezpieczeństwa zmieni hasła logowania do serwisów w sieci.

W logach nie widać żadnych śladów infekcji. Jedynie do usuwania kosmetycznie szczątki sponsoringowych śmieci. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112555&tt=201208_mnt_n_3412_8&babsrc=HP_ss&mntrId=6cc84ac9000000000000f8d1110351b0" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=201208_mnt_n_3412_8&babsrc=SP_ss&mntrId=6cc84ac9000000000000f8d1110351b0" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=6cc84ac9000000000000f8d1110351b0&tlver=1.6.9.12&instlRef=sst&babTrack&q=" [2012-08-26 08:14:54 | 000,002,362 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - No CLSID value found. O4 - HKLM..\Run: [] File not found [2012-08-26 08:15:17 | 000,000,317 | ---- | C] () -- C:\user.js [2012-08-26 08:14:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\admin\Dane aplikacji\Babylon [2012-08-26 08:14:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva397.sys -- (XDva397) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva396.sys -- (XDva396) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva394.sys -- (XDva394) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt) IE - HKLM\..\SearchScopes\Yandex: "URL" = "http://www.yandex.ru/yandsearch?stype=&nl=0&text={searchTerms}\" IE - HKU\S-1-5-21-2026442136-2648078422-1699437313-1000\..\URLSearchHook: {0F3DC9E0-C459-4a40-BCF8-747BD9322E10} - SOFTWARE\Classes\CLSID\{0F3DC9E0-C459-4a40-BCF8-747BD9322E10}\InprocServer32 File not found IE - HKU\S-1-5-21-2026442136-2648078422-1699437313-1000\..\SearchScopes\{97B72B3F-4BEF-4804-9C26-3840F0F7152D}: "URL" = "http://start.funmoods.com/results.php?f=4&a=ironto&q={searchTerms}" [2012-02-11 19:01:28 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Users\Slowinscy\AppData\Roaming\Mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} O4 - HKLM..\Run: [werdiagcontroller] C:\Users\Slowinscy\AppData\Local\Microsoft\Windows\2634\werdiagcontroller.exe () O4 - HKLM..\Run: [ZyngaGamesAgent] "C:\Program Files\Splashtop\Splashtop Connect\ZyngaGamesAgent.exe" File not found O4 - HKU\S-1-5-21-2026442136-2648078422-1699437313-1000..\Run: [RMFon] File not found :Files C:\Users\Slowinscy\AppData\Roaming\hellomoto C:\Users\Slowinscy\AppData\Local\Microsoft\Windows\2634 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Deinstalator Strony V9 / Splashtop Connect IE 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Logi nie wykazują żadnej infekcji. Temat jedzie do innego działu. Sprawdź jak się zachowuje system na czystym rozruchu: KLIK

Wszystko poprawnie wykonane. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 6. Szczegóły aktualizacyjne: KLIK

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Ania\USTAWI~1\Temp\catchme.sys -- (catchme) FF - prefs.js..browser.search.order.1: "Ask.com" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. O4 - HKLM..\Run: [TsUsbRedirectionGroupPolicyExtension] C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2351\TsUsbRedirectionGroupPolicyExtension.exe () :Files C:\Documents and Settings\Ania\Dane aplikacji\hellomoto C:\Documents and Settings\Ania\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\2351 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Uruchom AdwCleaner z opcji Delete 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W logach nie widać niczego co wskazywałoby na jakąkolwiek infekcję. Temat zmienia dział. Pierwszy podejrzany - niestety ESET. Odinstaluj testowo i sprawdź czy da to jakiś efekt.

Logi nie wskazują by była jakaś infekcja tym bardziej, że to system po formacie. Temat kwalifikuje się do działu sprzętowego i tam też go przenoszę. Zastosuj się do zasad tego działu: KLIK Daj też od razu kilka najnowszych zrzutów pamięci tak jak opisane w punkcie 5: KLIK

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" IE - HKU\S-1-5-21-3394571228-3234947423-3693841083-1001\..\URLSearchHook: {7473b6bd-4691-4744-a82b-7854eb3d70b6} - No CLSID value found IE - HKU\S-1-5-21-3394571228-3234947423-3693841083-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3220468" [2012-08-28 07:09:17 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Users\hitler\AppData\Roaming\mozilla\Firefox\Profiles\941vgrpu.default\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6} O4:64bit: - HKLM..\Run: [WcsPlugInService] C:\Users\hitler\AppData\Local\Microsoft\Windows\4237\WcsPlugInService.exe () O7 - HKU\S-1-5-21-3394571228-3234947423-3693841083-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1 :Files C:\Users\hitler\AppData\Local\Temp*.html C:\Users\hitler\AppData\Roaming\hellomoto C:\Users\hitler\AppData\Local\Microsoft\Windows\4237 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Przede wszystkim nie o taki log nam tutaj chodzi. Zastosuj się do zasad działu i sporządź raporty z OTL + Gmer

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?barid={B2681D7A-D97F-11E0-B326-C0F8DAC9734C}" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={B2681D7A-D97F-11E0-B326-C0F8DAC9734C}" IE - HKU\S-1-5-21-4136833784-3193893645-4121945135-1001\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={B2681D7A-D97F-11E0-B326-C0F8DAC9734C}" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "" FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "chrome://browser-region/locale/region.properties" [2012/05/30 17:15:33 | 000,000,000 | ---D | M] (SweetPacks Toolbar for Firefox) -- C:\Users\bunia\AppData\Roaming\Mozilla\Firefox\Profiles\dvhkqbah.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847} [2012/05/30 17:15:34 | 000,003,915 | ---- | M] () -- C:\Users\bunia\AppData\Roaming\Mozilla\Firefox\Profiles\dvhkqbah.default\searchplugins\sweetim.xml O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-4136833784-3193893645-4121945135-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O4 - HKU\S-1-5-21-4136833784-3193893645-4121945135-1001..\Run: [ucfpqvunpchnsis] C:\Windows\ucfpqvun.exe (TechnoTrend AG) :Files C:\ProgramData\rhfjcqonphaohmj C:\ProgramData\ovvknrwyxstdwnb C:\Users\bunia\AppData\Local\t65.dat :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4136833784-3193893645-4121945135-1001\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: SweetPacks Toolbar for Internet Explorer 4.6 Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Zastosuj się do zasad działu i sporządź raporty z OTL + Gmer

Był rootkit Rloader. Tego się właśnie spodziewałem po tych zapiskach w Gmer i TDSSKiller go usunął prawidłowo: 11:25:49.0187 0588 Detected object count: 1 11:25:49.0187 0588 Actual detected object count: 1 11:27:40.0531 0588 C:\WINDOWS\system32\DRIVERS\ACPI.sys - copied to quarantine 11:27:42.0828 0588 Backup copy found, using it.. 11:27:42.0906 0588 C:\WINDOWS\system32\DRIVERS\ACPI.sys - will be cured on reboot 11:27:42.0906 0588 ACPI ( Virus.Win32.Rloader.a ) - User select action: Cure 11:28:37.0000 3520 Deinitialize success Możesz przejść do czynności końcowych. 1. Opróżnij przywracanie systemu: KLIK 2. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 21 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish "{AC76BA86-1033-0000-7760-000000000001}" = Adobe Acrobat 6.0.1 Professional <--- wersję Pro jeśli jest możliwość też zaktualizuj Szczegóły aktualizacyjne: KLIK

Rootkit wygląda na usunięty. Przechodzimy do dalszych czynności: 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\DOM\USTAWI~1\Temp\uwtdqpob.sys -- (uwtdqpob) O3 - HKLM\..\Toolbar: (no name) - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-113007714-1708537768-1002\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-113007714-1708537768-1002\..\Toolbar\ShellBrowser: (no name) - {63AB4C54-3310-44c9-85D8-AA92C2263D58} - No CLSID value found. O3 - HKU\S-1-5-21-1078081533-113007714-1708537768-1002\..\Toolbar\ShellBrowser: (no name) - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - No CLSID value found. O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_USERS\S-1-5-21-1078081533-113007714-1708537768-1002\SOFTWARE\Microsoft\Internet Explorer\Main] "Default_Page_URL"=- [HKEY_USERS\S-1-5-21-1078081533-113007714-1708537768-1002\SOFTWARE\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: V9 HomeTool 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Na pierwszy rzut oka nic w logach nie ma tylko te "Thready" mi są w Gmerze podejrzliwe: ---- Threads - GMER 1.0.15 ---- Thread System [4:368] 864E239F Thread System [4:964] 85C9A0F4 Sprawdź czy tu aby nie ma rootkita - wykonaj skan za pomocą Kaspersky TDSSKiller i przedstaw wyniki.

Pierwsza sprawa: U ciebie to nie jest typowy Windows XP. To jest przeróbka WindowZ na co wskazuje wiele zapisów w logach. Swoją drogą nie radzę korzystać z tego typu systemów sztucznie przerabianych przez kogoś. Lepiej zainstalować zwykły XP. Co do infekcji - jest czynny rootkit w MBR: 09:10:39.0146 1796 ================ Scan MBR ================================== 09:10:39.0156 1796 [ 32052574BF9F325AE309ABC7BFD04460 ] \Device\Harddisk0\DR0 09:10:39.0196 1796 \Device\Harddisk0\DR0 ( Rootkit.Boot.Sinowal.b ) - infected 09:10:39.0196 1796 \Device\Harddisk0\DR0 - detected Rootkit.Boot.Sinowal.b (0) Disk \Device\Harddisk0\DR0 malicious Win32:MBRoot code @ sector 625121283 Disk \Device\Harddisk0\DR0 PE file @ sector 625121305 Uruchom raz jeszcze TDSSKiller i tym razem przydziel opcje Cure. Potem przeskanuj sie nim raz jeszcze i zaprezentuj nowy raport oraz nowy log z Gmer.

Wszystko poprawnie wykonane i problemów być nie powinno. Możesz przejść do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3) "Mozilla Firefox 13.0.1 (x86 pl)" = Mozilla Firefox 13.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Usuwam ten wadliwy załącznik. Dlatego taki duży bo na złych (zbyt szerokich) ustawieniach OTL był zrobiony log. Wszystkie opcje mają być zaznaczone na "Użyj filtrowania" a nie na "Wszystko" oraz ma być zaptaszkowana opcja "Pomiń pliki Microsoftu". Wtedy log wyjdzie szczuplejszy - to tak na przyszłość. Jeśli chodzi o infekcję to ta zażegnana, tylko jeszcze trzeba dwie usługi odtworzyć w rejestrze. 1. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000119c [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] "139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 "DoNotAllowExceptions"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "1900:UDP"="1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007" "2869:TCP"="2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008" "139:TCP"="139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004" "445:TCP"="445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005" "137:UDP"="137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001" "138:UDP"="138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Zrestartuj system. 2. Nowy log z FSS do pokazania.