Samoon93 Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Witam mam podobny problem przesyła swoje logi prosze o pomoc. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Nie umiesz swojego tematu założyć? Tutaj nie tolerujemy dopisywanie się w czyjś temat. Wydzielam w osobny. 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\nvsvc32.exe -- (NVSvc) DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\3019.sys -- (3019) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334350244_192507 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = pl.v9.com/idg/idg_1334350244_192507 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1334350244_192507 IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=112454&tt=100512_4_&babsrc=HP_ss&mntrId=3465f9ae00000000000000fff104d017" IE - HKCU\..\URLSearchHook: {F3FEE66E-E034-436a-86E4-9690573BEE8A} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112454&tt=100512_4_&babsrc=SP_ss&mntrId=3465f9ae00000000000000fff104d017" IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=PTF&o=15507&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=LJ&apn_dtid=YYYYYYYYPL&apn_uid=3084CC24-F68A-4ABE-82F2-56FB3653336E&apn_sauid=AC63B66A-67C2-40E7-8A3E-E5798C025B4C&" FF - prefs.js..browser.search.defaultengine: "Ask.com" FF - prefs.js..browser.search.defaultthis.engineName: "BS Player Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.13.1.100008 FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.1.7.0190 FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.6 FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.6 FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=112454&tt=100512_4_&babsrc=HP_ss&mntrId=3465f9ae00000000000000fff104d017" [2011-12-09 17:26:34 | 000,002,572 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\searchplugins\askcom.xml [2011-03-15 13:22:14 | 000,000,921 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\searchplugins\conduit.xml [2011-05-03 12:26:23 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\searchplugins\daemon-search.xml [2012-04-13 22:50:44 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\server.exe () O4 - HKLM..\Run: [WSManHTTPConfig] C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912\WSManHTTPConfig.exe () O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\install\server.exe () O4 - HKCU..\Run: [Microsoft Windows Manager] C:\Documents and Settings\Administrator\M-10-6897-8685-3464\winmgr.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe () :Files C:\Documents and Settings\Administrator\Dane aplikacji\hellomoto C:\Documents and Settings\Administrator\Dane aplikacji\awvbh.exe C:\Documents and Settings\Administrator\M-10-6897-8685-3464 C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\912 :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: Bcool / Ask Toolbar / DAEMON Tools Toolbar / V9 HomeTool Otwórz Firefox i w Dodatkach odmontuj: BS Player Community Toolbar / Bcool / DAEMON Tools Toolbar / Ask Toolbar 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
Samoon93 Opublikowano 13 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Sierpnia 2012 Zrobiłem co należy. Co dalej ? OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Ten "server.exe" nadal siedzi. Wykonaj log z OTL na dodatkowym warunku - Wszystkie opcje ustaw na Żadne + Brak a do okna wklej: HKEY_LOCAL_MACHINE\Software\Microsoft\active setup\installed components Klik w Skanuj. Wklejasz wynikowy raport. Odnośnik do komentarza
Samoon93 Opublikowano 15 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Sierpnia 2012 ok przesyłam nowy log OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Wykonaj skrypt poprawkowy. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O4 - HKLM..\Run: [HKLM] C:\Documents and Settings\Administrator\Dane aplikacji\install\server.exe () O4 - HKCU..\Run: [HKCU] C:\Documents and Settings\Administrator\Dane aplikacji\install\server.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Administrator\Dane aplikacji\install\server.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Documents and Settings\Administrator\Dane aplikacji\install\server.exe () [2012-08-12 22:16:20 | 000,114,689 | ---- | C] (Belkin Corporation) -- C:\Documents and Settings\Administrator\Dane aplikacji\suic.exe [2012-02-29 01:30:58 | 000,529,409 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\dvm.exe :Files C:\Documents and Settings\Administrator\Dane aplikacji\install :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie (ustawiasz tym razem wszystkie opcje tak jak były wcześniej na filtrowanie), tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL Odnośnik do komentarza
Samoon93 Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Oto najnowszy plik otl OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Niestety robisz kolejny skrypt bo znów się coś nowego pojawiło. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL [2011-06-30 15:00:05 | 000,000,000 | ---D | M] (BS Player Community Toolbar) -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\extensions\{fed66dc5-1b74-4a04-8f5c-15c5ace2b9a5} O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\system32\sys.exe () O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\system32\sys.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\system32\sys.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\system32\sys.exe () [2011-05-22 22:45:14 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Administrator\Dane aplikacji\chrtmp :Files C:\WINDOWS\system32\system32 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL oraz wykonaj też log z Gmer Odnośnik do komentarza
Samoon93 Opublikowano 16 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Logi: OTL.Txt Nowy Dokument tekstowy.txt Odnośnik do komentarza
Landuss Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Już wiem czemu się ta infekcja regeneruje. Masz rootkita, co sugeruje Gmer. 1. Uruchom skan przez Kaspersky TDSSKiller i dla wyniku Virus.Win32.Rloader.a wybierz opcję Cure. Zachowaj raport z tego działania. 2. Wklej do OTL następujący skrypt: :OTL O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\server.exe () O4 - HKCU..\Run: [HKCU] C:\WINDOWS\system32\install\server.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\server.exe () O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\system32\sys.exe () :Files C:\WINDOWS\system32\install C:\WINDOWS\system32\system32 C:\Documents and Settings\Administrator\Dane aplikacji\chrtmp :Commands [reboot] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 3. Pokazujesz nowy log z OTL oraz Gmer i raport z Kasperskyego. Odnośnik do komentarza
picasso Opublikowano 16 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 16 Sierpnia 2012 Landuss, rootkit swoją drogą. Ten server.exe raczej się regeneruje z klucza Active Setup. Poprzednio zadałeś skan nierekursywny. Nie zostało to miejsce sprawdzone dostatecznie. Zrób w OTL skan na warunek: hklm\Software\Microsoft\Active Setup\Installed Components|server.exe /RS . Odnośnik do komentarza
Samoon93 Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 wykonałem polecenie picasso ;D rejestru z kaspersky nie moge zapisać aby go dodac na forum OTL.Txt Odnośnik do komentarza
picasso Opublikowano 18 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 Skan OTL pokazuje klucz tego server.exe w Active Setup. I jeszcze odpadki po adware do wywalenia. 1. Zamknij Firefox. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{AR627L46-I0N8-C3UA-C306-1YWG1207551B}] [HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions] "4fb6172e9a75b@4fb6172e9a794.info"=- :Files C:\WINDOWS\tasks\systems.job C:\WINDOWS\tasks\fbagent.job C:\Documents and Settings\Administrator\Dane aplikacji\logs.dat C:\Documents and Settings\Administrator\Dane aplikacji\cglogs.dat C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\extensions\4fb6172e9a75b@4fb6172e9a794.info C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\extensions\DTToolbar@toolbarnet.com C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\mkuw8txa.default\extensions\ffxtlbr@babylon.com :OTL FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.6 FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.6 FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1750559&q=" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\EverestDriver.sys -- (EverestDriver) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. 2. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Przedstaw log z wynikami usuwania OTL z punktu 1 oraz wszystkie logi, o które prosił Landuss w poprzednim poście. rejestru z kaspersky nie moge zapisać aby go dodac na forum ? TDSSKiller zapisuje automatycznie log na dysku systemowym ... . Odnośnik do komentarza
Samoon93 Opublikowano 18 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2012 ok mam wszystki potrzebne pliki TDSSKiller.2.8.6.0_18.08.2012_18.00.19_log.txt Nowy Dokument tekstowy.txt OTL.Txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 19 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 19 Sierpnia 2012 (edytowane) Posty połączyłam dla porządku. Wszystko zostało prawidłowo usunięte, ani GMER ani OTL nie pokazują szkodliwych obiektów. Możemy przejść do dalszej fazy czyszczenia: 1. Przez SHIFT+DEL skasuj z dysku: C:\WINDOWS\System32\drivers\etc\hosts.old C:\TDSSKiller_Quarantine 2. W AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Wykonaj skanowanie w Kaspersky Virus Removal Tool. W konfiguracji skanera zaznacz wszystkie opcje, co znacznie wydłuży skan, ale da pewniejsze rezultaty. Przedstaw raport z wynikami typu "Detected" o ile takowe będą (inne typy wyników mnie nie interesują). . Edytowane 18 Września 2012 przez picasso 18.09.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi