Landuss

1. Odbuduj skasowane usługi omijając polecenie sfc /scannow: Rekonstrukcja usługi Aktualizacje automatyczne (wuauserv + BITS): Pobierz fixa i zaimportuj do rejestru zmieniając rozszerzenie pliku na .REG: KLIK 2. Pokazujesz nowy log z FSS.

Infekcja prawidłowo usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 3 oraz wymienione programy do najnowszych wersji: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29 "{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2 "Mozilla Firefox (3.6.12)" = Mozilla Firefox (3.6.12) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wykonaj komendę sfc /scannow i za pomocą kolejnej komendy przefiltruj log do wystąpień znaczników [sR]: KLIK. Zaprezentuj wynikowy log. Sprawdź czy po tym zabiegu jest zakładka.

Wykonaj nowe logi z OTL uruchomionego z poziomu OTLPE dla kontroli, skrypt dam później jak będzie trzeba.

Logi będą mi potrzebne przecież nowe abym znał sytuacje po usuwaniu..

Wszystko zostao poprawnie usunięte i po problemie. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216014FF}" = Java 6 Update 15 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.0 - Polish "Mozilla Firefox (3.6.13)" = Mozilla Firefox (3.6.13) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Jest w porządku tylko ten plik usuń jeszcze: C:\ProgramData\go_0molg.pad Tak jak poprzednio uzyj Sprzątanie OTL i wyzeruj przywracanie systemu. No i te aktualizacje...

1. Start > w polu szukania wpisz cmd > z prawokliku uruchom jako Administrator i wklep: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000&st=10" IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2790392" IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" IE - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/?utm_source=b&utm_medium=ins" IE - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2481033" IE - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found IE - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=10&q={searchTerms}" FF - prefs.js..browser.search.selectedEngine: "Ashampoo PO Customized Web Search" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT2481033&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2481033&SearchSource=2&q=" [2012-07-19 16:09:07 | 000,000,915 | ---- | M] () -- C:\Users\Bartek\AppData\Roaming\Mozilla\Firefox\Profiles\c9lwr41n.default\searchplugins\conduit.xml [2012-04-29 16:14:30 | 000,002,415 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml O3 - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found. O4 - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000..\Run: [] File not found O4 - HKU\S-1-5-21-4165217183-3337304291-2006583280-1000..\RunOnce: [7531CCA9027B71E902F279F4F875F002] C:\ProgramData\7531CCA9027B71E902F279F4F875F002\7531CCA9027B71E902F279F4F875F002.exe () :Files C:\ProgramData\7531CCA9027B71E902F279F4F875F002 C:\Users\Bartek\Desktop\Live Security Platinum.lnk C:\Windows\Installer\{63341759-7122-4483-d208-803ce9082bc5} C:\Users\Bartek\AppData\Local\{63341759-7122-4483-d208-803ce9082bc5} C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_USERS\S-1-5-21-4165217183-3337304291-2006583280-1000\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ashampoo PO Toolbar Otwórz Firefox i w Dodatkach odmontuj: BitTorrentBar Community Toolbar / Ashampoo PO 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras), nowy z SystemLook oraz z Farbar Service Scanner (zaznacz wszystko do skanowania)

Przejdź do finalizacji tematu: 1. Wklej do notatnika ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\Program Files\SopCast\adv\SopAdver.exe"=- Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Użyj opcji Sprzątanie z OTL. 3. Opróżnij przywracanie systemu: KLIK 4. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Szczegóły aktualizacyjne: KLIK 5. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Wszystko poprawnie wykonane, a te błędy należy ignorować. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "Mozilla Thunderbird 12.0.1 (x86 pl)" = Mozilla Thunderbird 12.0.1 (x86 pl) Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Niestety w twoim przypadku z Lice Security Platinum masz do pary ZeroAccess a to jeszcze gorsze od tego pierwszego. Wykonaj raport uzupełniający. Uruchom SystemLook x64 i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look i przedstaw wynikowy raport.

Masz posprzątane. Na zakończenie standardowe rzeczy: 1. Wklej do OTL mini poprawkę: :OTL O4:64bit: - HKLM..\Run: [sNTSearch] C:\Users\Dutka\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe File not found Klik w Wykonaj skrypt. Logów nie pokazujesz. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj system do Service Pack 1 oraz wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216032FF}" = Java 6 Update 32 "{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.5 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Posprzątane, możesz kończyć. 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Lekko Jave możesz podnieść do wersji 7 Update 5

Tak to jest to i wykonaj raz jeszcze przywracanie uprawnień dla MpSvc + bfe + SharedAccess tak jak w tamtym temacie @picasso opisała.

Punkt 1 wygląda na niewykonany bo nadal w Winsock "not found " Powtórz to. I pytanie czy działa Centrum zabezpieczeń i zapora systemowa?

To teraz jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj Jave 32-bitową do najnowszej wersji. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Na poziomie rejestru jest dobrze, ale log pokazuje, ze to wszystko jest nie uruchomione a tak byc nie powinno. Czy robiłeś naprawę uprawnień przez SetACL? Jesli tak to coś mogło pójść źle i trzeba to powtórzyć.

To by było wszystko bo wygląda dobrze tym razem. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj IE do najnowszej wersji 9. Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

Dopiero tutaj nie dawno byłeś z inną infekcją i już się zaprawiłeś? Musisz bardziej uważać w sieci. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKU\S-1-5-21-1078081533-688789844-682003330-1004..\RunOnce: [036DFF85000D2207661BF4A481CB3F95] C:\Documents and Settings\All Users\Dane aplikacji\036DFF85000D2207661BF4A481CB3F95\036DFF85000D2207661BF4A481CB3F95.exe () :Files C:\Documents and Settings\All Users\Dane aplikacji\036DFF85000D2207661BF4A481CB3F95 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Live Security Platinum 3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Jest dobrze. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86416027FF}" = Java 6 Update 27 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-1033-F400-7760-000000000005}" = Adobe Acrobat X Pro - English, Français, Deutsch <--- do aktualizacji jeśli jest możliwość "{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X MUI Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.conduit.com?SearchSource=10&ctid=CT2206084" IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/videodownloadtoolbar/{D1D6733D-5C3C-44FC-B94F-40D485FECFE8}?q={searchTerms}" IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}" IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084" O4:64bit: - HKLM..\Run: [sNTSearch] C:\Users\Dutka\AppData\Local\Microsoft\Windows\1179\SNTSearch.exe () :Files C:\Users\Dutka\AppData\Local\Temp*.html C:\Users\Dutka\AppData\Roaming\hellomoto C:\Users\Dutka\AppData\Local\Microsoft\Windows\1179 :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Ask Toolbar / Ask Toolbar Updater / DAEMON Tools Toolbar / Softonic Deutsch FF Toolbar / Video Download DB Toolbar / Video Download Toolbar 1.9.0.0 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Niedokładnie to zrobiłeś. bfe + SharedAccess nadal nie wykonane. Powtarzaj dla tych dwóch.

Wykonaj jeszcze jeden skrypt o takiej zawartości: :OTL DRV - File not found [Kernel | Boot | Stopped] -- -- (mv91xx) FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentControl2 Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?ctid=CT3072253&SearchSource=13" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q=" [2012-07-17 15:02:16 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\xkpaa8h0.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03} [2012-04-18 00:39:24 | 000,000,935 | ---- | M] () -- C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\xkpaa8h0.default\searchplugins\conduit.xml [2012-07-26 18:56:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\User\Dane aplikacji\hellomoto :Files attrib /d /s -r -s -h C:\WINDOWS\system32\drivers\etc\hosts /C :Commands [reboot] Klik w Wykonaj skrypt. Nowy log do oceny.

Ale to jest przecież stary log, a ja chciałem nowy...

Infekcję masz usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Zaktualizuj wymienione programy do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F86417002FF}" = Java 7 Update 2 (64-bit) "{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish Szczegóły aktualizacyjne: KLIK 4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.