Landuss

Skrypt poprawnie wykonany i nic tutaj więcej nie widzę. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl) "Mozilla Thunderbird (3.1.11)" = Mozilla Thunderbird (3.1.11) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

A skąd w ogóle pomysł że tu był ZeroAccess? Brak jakichkolwiek jego śladów w logach. Ogólnie nie widzę tutaj żadnej infekcji. Wykonaj jeszcze dwa raporty dodatkowe: 1. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. 2. Wykonaj log z Farbar Service Scanner (zaznacz wszystko do skanowania)

Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 22 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.3.4 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Logi obecne nie wskazują by była tutaj jakaś infekcja. Temat ten przenoszę ogólnie do działu Sieci bo tam teraz bardziej pasuje. Od razu wykonaj raport z Net-log: http://www.fixitpc.p...iguracji-sieci/

@miik89 Temat wydzieliłem do działu Sieci. Tam kontynuuj analizę problemu: https://www.fixitpc.pl/topic/12111-problem-z-siecia/page__pid__84193#entry84193 Tutaj temat zamykam.

Infekcji aktywnej nie ma więc wykonaj tylko skrypt kosmetyczny usuwający drobne odpadki. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\szczup\USTAWI~1\Temp\kfncqpob.sys -- (kfncqpob) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\szczup\USTAWI~1\Temp\catchme.sys -- (catchme) [2012-04-10 22:04:47 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\szczup\Dane aplikacji\Mozilla\Firefox\Profiles\a9kg943e.default\extensions\vshare@toolbar O3 - HKU\S-1-5-21-790525478-879983540-725345543-1003\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found. @Alternate Data Stream - 88 bytes -> C:\Documents and Settings\szczup\yukondg.exe:SummaryInformation :Files C:\Documents and Settings\szczup\yukondg.exe C:\Documents and Settings\All Users\Dane aplikacji\F4D561CC0005C6B56F26A8040CDF108C :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Ciekawa sprawa. Swoją drogą ten link symboliczny widziałem w logu ale nie skojarzyłem faktów: ========== Hard Links - Junction Points - Mount Points - Symbolic Links ========== [C:\Windows\SoftwareDistribution] -> -> Unknown point type Jeśli chodzi o bady to polecam takie coś robić z zewnątrz (nie spod systemu) za pomocą np. MHDD Tutaj polecam też ciekawy filmik jak się tym programem posługiwać: Temat w takim wypadku zamykam.

Spróbuj z prawokliku odinstalować tą pozycję i zrestartować system. Po restarcie zobacz jak wygląda sytuacja.

No to lecimy dalej. 1. Wejdź w start > uruchom > cmd i wklep to polecenie: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{bf3724dd-2aa6-d0d0-b2e6-34143ece2f74} C:\Documents and Settings\dn429663\Local Settings\Application Data\{bf3724dd-2aa6-d0d0-b2e6-34143ece2f74} :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Do obejrzenie dajesz nowy log z OTL ze skanowania, nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Logi są w porządku, FSS też pokazuje że z siecią nie ma problemu i wszystko działa poprawnie. Możesz kończyć sprawę infekcji: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 7 Update 5 "{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.3) Szczegóły aktualizacyjne: KLIK Możliwe, że te posty z tematyką sieciową zostaną wydzielone w inny temat i pójdą do działu Sieci.

Wszystko poprawnie usunięte i nic więcej nie ma. Możesz wykonać zakończenie: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: Internet Explorer (Version = 8.0.7601.17514) "{26A24AE4-039D-4CA4-87B4-2F86416020FF}" = Java 6 Update 20 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" IE - HKU\S-1-5-21-3253349159-4003089484-48047184-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2786678" IE - HKU\S-1-5-21-3253349159-4003089484-48047184-1000\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found IE - HKU\S-1-5-21-3253349159-4003089484-48047184-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678" FF - prefs.js..browser.search.defaultenginename: "AOL Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2786678&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&q=" [2012-07-14 20:50:26 | 000,000,000 | ---D | M] ("Winamp Toolbar") -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\vw3xutrz.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} [2012-07-17 17:08:28 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\User\AppData\Roaming\mozilla\Firefox\Profiles\vw3xutrz.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-10-31 16:52:18 | 000,002,354 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\vw3xutrz.default\searchplugins\aol-web-search.xml [2011-10-22 17:35:56 | 000,000,863 | ---- | M] () -- C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\vw3xutrz.default\searchplugins\conduit.xml O4 - HKU\S-1-5-21-3253349159-4003089484-48047184-1000..\RunOnce: [0C1D17340009EDE7D8D45F0B4F147C45] C:\ProgramData\0C1D17340009EDE7D8D45F0B4F147C45\0C1D17340009EDE7D8D45F0B4F147C45.exe () :Files C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum C:\ProgramData\0C1D17340009EDE7D8D45F0B4F147C45 C:\Users\User\Desktop\Live Security Platinum.lnk :Reg [-HKEY_USERS\S-1-5-21-3253349159-4003089484-48047184-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Winamp Toolbar Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj uTorrentBar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

To ja jeszcze dopowiem - pokaż nowy log z OTL i nowy z FSS żebym widział czy wszystkie poprzednie rzeczy na pewno zostały skorygowane.

@ketras zastanów się gdzie chcesz uzyskać pomoc. Wykonywałeś zalecenia na innym forum, które tam ci dawali. Swoją drogą niektóre rzeczy były tam robione bez potrzeby. Przedstaw zatem sytuację czy problem nadal występuje i wykonaj aktualne logi z OTL.

AdwCleaner sporo wykonał teraz jeszcze po nim poprawimy. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8ce8d6f0-1798-11e1-bccf-c0f8dac8b83e&q={searchTerms}" IE - HKU\S-1-5-21-612285826-3688710171-4223048533-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=8ce8d6f0-1798-11e1-bccf-c0f8dac8b83e&q={searchTerms}" IE - HKU\S-1-5-21-612285826-3688710171-4223048533-1000\..\SearchScopes\{DA4DADB1-91B7-4E3A-9A9A-EE6C8A06F1C3}: "URL" = "http://startsear.ch/?aff=2&src=sp&cf=8ce8d6f0-1798-11e1-bccf-c0f8dac8b83e&q={searchTerms}" O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj LiveVDO plugin. Następnie w zarządzeniu wyszukiwarkami przestaw bieżącą Web Search na Google, po tym Web Search usuń z listy. 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Czy to jest system niedawno po formacie? Bo logi na to wskazują, że właśnie tak jest. I to nie będzie wina infekcji, logi czyste jak łza. Jaka jest tutaj karta graficzna? I czy w ogóle kolega wgrał sterowniki? Bo takowych nie widzę w logach... Temat jedzie do sprzętu.

To by było wszystko. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do wersji 7 Update 6. Szczegóły aktualizacyjne: KLIK

Błąd typu "odmowa dostępu" to sugeruje problem z uprawnieniami. Ogólnie to tak wygląda jakby na tym systemie była kiedyś infekcja ZeroAccess i to są jej następstwa. Wejdź w ten temat: https://www.fixitpc.pl/topic/6855-rekonstrukcja-zapory-systemu-windows/ Przejdź do ustępu "Bład numer 5 / Odmowa dostępu" i zrekonstruuj uprawnienia za pomocą SetACL tak jak tam opisane.

To w takim razie wskazuje na fałszywy alarm. W tego typu plikach infekcje się raczej nie gnieżdżą. Temat zamykam.

Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv] "PreshutdownTimeout"=dword:036ee800 "DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%systemroot%\\system32\\wuaueng.dll,-106" "ObjectName"="LocalSystem" "ErrorControl"=dword:00000001 "Start"=dword:00000002 "DelayedAutoStart"=dword:00000001 "Type"=dword:00000020 "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\ 65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\ 61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\ 00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\ 62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\ 79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\ 6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\ 75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\ 72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters] "ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00 "ServiceMain"="WUServiceMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security] "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\ 05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal Restart systemu i sprawdź efekty.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O3 - HKU\S-1-5-21-1659004503-1788223648-682003330-500\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O4 - HKLM..\Run: [sonyAgent] C:\WINDOWS\Temp\temp79.exe () O4 - HKU\S-1-5-21-1659004503-1788223648-682003330-500..\RunOnce: [036E19082B17D9790008EE7681CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036E19082B17D9790008EE7681CB3EF3\036E19082B17D9790008EE7681CB3EF3.exe () :Files C:\Documents and Settings\Administrator\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036E19082B17D9790008EE7681CB3EF3 :Reg [-HKEY_USERS\S-1-5-21-1659004503-1788223648-682003330-500\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Wchodzisz w normalny tryb. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Skoro założyłeś temat w tym dziale to dostosuj się do zasad. Wykonaj raporty z OTL + Gmer. Jeśli system 64-bitowy Gmer odpada.

Logi nie wskazują by była tutaj jakaś infekcja. Sprawdź czy problem występuje na czystym rozruchu systemu: KLIK Nie wykluczone, że Kaspersky ma coś do rzeczy. Temat przesuwam do bardziej odpowiedniego działu.

Zresetuj jeszcze Winsok - Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wpisz komendę netsh winsock reset. Zrestartuj system. W kwestii zapory - W Start > pole szukania wpisz Uruchom > services.msc dwukliknij na usługę Podstawowy aparat filtrowania i podaj jaki błąd zwraca próba jej uruchomienia

Wszystko poprawnie wykonane. Możesz przejść do zakończenia: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave do najnowszej wersji 7 Update 6. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.