jaree Opublikowano 4 Listopada 2012 Zgłoś Udostępnij Opublikowano 4 Listopada 2012 I znowu do czynienia z dziadostwem.. Proszę o pomoc. Tym razem siostry laptop:) z góry dziękuję. Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 5 Listopada 2012 Zgłoś Udostępnij Opublikowano 5 Listopada 2012 Jest tu więcej niepożądanych rzeczy. Działa także trojan ZeroAccess. 1. Otwórz Notatnik i wklej w nim: reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f reg add HKLM\SOFTWARE\Classes\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\fastprox.dll /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks /v {BB4C402F-882A-4526-8C08-51278EA437C1} /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v SonyAgent /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v wsctf.exe /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v 9C3133335E0BDCE300009C30970AE501 /f reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f reg delete HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Search Bar" /f reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /t REG_SZ /d about:blank /f reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /v SearchAssistant /t REG_SZ /d "http://google.pl/" /f rd /s /q "C:\Documents and Settings\Administrator\Menu Start\Programy\System Progressive Protection" rd /s /q "C:\Documents and Settings\All Users\Dane aplikacji\9C3133335E0BDCE300009C30970AE501" sc delete RTSTOR sc delete EagleNT pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik przez dwuklik. Konieczny restart komputera, by odładować z pamięci ZeroAccess. Opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: cacls C:\RECYCLER\S-1-5-18 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-18\$ef3434dd58ed701e24cdc8cabe4ff6c1 /E /G Wszyscy:F cacls C:\RECYCLER\S-1-5-21-839522115-436374069-682003330-500\$ef3434dd58ed701e24cdc8cabe4ff6c1 /E /G Wszyscy:F rd /s /q C:\RECYCLER pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Uruchom plik przez dwuklik. 3. Przez Panel sterowania odinstaluj adware MediaBar oraz zbędny Norton Security Scan. 4. Jest tu okropnie stary Firefox 3.0.19, którego nie warto czyścić z adware. Odinstaluj. Jeśli mają być ocalone zakładki przed nową instalacją, to za pomocą MozBackup stwórz ich kopię zapasową. 5. Jest tu kryzysowe zestawienie dwóch antywirusów: ArcaVir + ESET Smart Security. ESET (bardzo stary) do deinstalacji. 6. Wyczyść lokalizacje tymczasowe za pomocą TFC - Temp Cleaner. 7. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz Farbar Service Scanner. Uruchom SystemLook i w oknie wklej: :dir C:\RECYCLER /s Klik w Look. . Odnośnik do komentarza
jaree Opublikowano 10 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2012 Dziękuję Picasso. Logi wynikowe w załączniku. SystemLook 30.07.11 by jpshortstuff Log created at 18:39 on 10/11/2012 by Administrator Administrator - Elevation successful ========== dir ========== C:\Recycler - Parameters: "/s" ---Files--- None found. C:\Recycler\S-1-5-21-839522115-436374069-682003330-500 d--hs-- [17:22 10/11/2012] desktop.ini ---hs-- 65 bytes [17:22 10/11/2012] [17:22 10/11/2012] INFO2 --ah--- 20 bytes [17:22 10/11/2012] [17:22 10/11/2012] -= EOF =- OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Wszystko pomyślnie usunięte, ale wymagane drobne korekty oraz naprawa usług Windows skasowanych przez ZeroAccess. Firefox został kompletnie odinstalowany? Są widzialne jego obiekty i będę to wykańczać z dysku i rejestru. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Centrum zabezpieczeń" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\ 6d,00,67,00,6d,00,74,00,00,00,00,00 "ObjectName"="LocalSystem" "Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters] "ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\ 00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum] "0"="Root\\LEGACY_WSCSVC\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego" "DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\ 6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch] "Epoch"=dword:0000042e [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\ 00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] "EnableFirewall"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup] "ServiceUpgrade"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate] "All"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum] "0"="Root\\LEGACY_SHAREDACCESS\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ABRegmon"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}"=- "10"=- [-HKEY_CURRENT_USER\Software\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla] [-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org] [-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins] Adnotacja dla innych czytających: import dopasowany do Windows XP. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Administrator\Dane aplikacji\ArcaBit C:\Documents and Settings\Administrator\Dane aplikacji\bsbandmltbpi C:\Documents and Settings\Administrator\Dane aplikacji\ESET C:\Documents and Settings\All Users\Dane aplikacji\ArcaBit C:\Documents and Settings\All Users\Dane aplikacji\ESET C:\Documents and Settings\LocalService\Dane aplikacji\ArcaBit C:\Program Files\Mozilla Firefox :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany. 3. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Dzień dobry, Powyższe instrukcje wykonane wg zaleceń. Nowy log z OTL w załączniku. Pozdrawiam Jarek OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Nie wygląda na to, by wykonał się plik FIX.REG. W jaki sposób go uruchamiałeś, co się pokazało? 1. Powtarzaj zadanie z FIX.REG. 2. Po tym zrób nowe logi: OTL oraz Farbar Service Scanner. . Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Kliknąłem na plik dwa razy, pokazało się czarne okno takie jak przy wykonywaniu. Powtarzam w takim razie fix Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Jakie czarne okno? Tak nie wygląda import pliku *.REG, chyba sobie pomyliłeś ze starym plikiem *.BAT. Po dwukliku na plik FIX.REG pojawia się graficzne okienko z pytaniem czy importować do rejestru. . Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 wykonane ponownie logi OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Zupełnie bez zmian. Z Twoich słów wynika, że Ty nie uruchamiasz pliku FIX.REG tylko omyłkowo stary FIX.BAT do zupełnie innej operacji (z wcześniejszych zadań), bo mówisz o czarnym oknie. Nie ma czarnego okna przy dwukliku w FIX.REG. Usuń wszystkie pliki FIX z dysku. Wszystko robisz raz jeszcze + nowe logi ... . Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 no oczywiście..zamiast fix.reg to ja fix.bat łoś ze mnie.. OTL.Txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Teraz wszystko zostało wykonane. Kolejna porcja zadań: 1. Wyczyść po narzędziach: w OTL uruchom Sprzątanie, a resztę używanych i fiksy dokasuj ręcznie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Zaczynam działać..bardzo dziękuję za pomoc Picasso:) Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Program znalazł kilka zagrożeń. Log w załączniku pozdrawiam Jarek mbam-log-2012-11-12 (13-15-37).txt Odnośnik do komentarza
picasso Opublikowano 12 Listopada 2012 Zgłoś Udostępnij Opublikowano 12 Listopada 2012 1. Wyniki MBAM: prawie wszystko to niepożądane rzeczy, z wyjątkiem PUP.RemoveWGA (wiadomo...) + PUM.Disabled.SecurityCenter (to tylko wyłączone powiadomienia Centrum zabezpieczeń). Usuwaj co należy. Po tym wyczyść ponownie foldery Przywracania systemu. 2. Zaktualizuj Windows i wyliczone poniżej aplikacje: KLIK. Wg raportu krytyczny poziom zabezpieczeń Windows oraz zainstalowane: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 11"{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}" = Skype™ 3.8"{6CDC748B-47B0-45EB-B740-681E8429F7F9}" = Opera 10.01"{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)"Adobe Shockwave Player" = Adobe Shockwave Player 11.6"Gadu-Gadu" = Gadu-Gadu 7.7"Google Chrome" = Google Chrome 18.0.1025.142"Opera 11.61.1250" = Opera 11.61 W podsumowaniu: pełna aktualizacja XP (SP3 + IE8 + reszta łat), aktualizacja Office 2003 (pakiet SP3), wszystkie wyliczone Adobe i Java odinstaluj, zaktualizuj przeglądarki i komunikatory *. 3. Aktualnie po deinstalacjach brak jakiegokolwiek antywirusa. Do uzupełnienia. 4. Prewencyjnie zmień hasła logowania w serwisach. * Gadu-Gadu 7.7: wersja archaiczna, nie obsługująca w pełni własnej sieci i bardzo słabo zabezpieczona (brak szyfrowania). Dobra nowoczesna alternatywa z obsługą sieci Gadu: WTW. Pełny opis komunikatora: KLIK. . Odnośnik do komentarza
jaree Opublikowano 12 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2012 Dziękuję bardzo. Działam i pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi