bielanski666 Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Proszę o wsparcie. Od tygodnia komp wysyła setki maili z kiku kont mailowych. Przerobiłem 10 antywirusów, hijack, czyszczenia rejestrów i inne cuda. Proszę o poradę prostą jak dla małpy , krok po kroku Logs.txt Odnośnik do komentarza
picasso Opublikowano 20 Listopada 2012 Zgłoś Udostępnij Opublikowano 20 Listopada 2012 Na temat używania ComboFix: KLIK. Zasady działu jakie tu są raporty obowiązkowe: KLIK. Czyli: OTL + GMER. . Odnośnik do komentarza
bielanski666 Opublikowano 21 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 21 Listopada 2012 Dziękuję za pomoc, nieoceniona Odnośnik do komentarza
picasso Opublikowano 21 Listopada 2012 Zgłoś Udostępnij Opublikowano 21 Listopada 2012 bielanski666 nie ironizuj, bo cóż innego to jest, skoro w taki sposób się wypowiadasz a nie realizujesz tego o co proszę. Wyraźnie mówię: proszę o komplet raportów OTL + GMER. Diagnostyki nie robi się ComboFixem, to już inwazja na system innego poziomu. Log z ComboFix nie jest odpowiednim raportem do oceny tu sytuacji, jest filtrowany i nie ma pewnych danych, które pobierane są innymi narzędziami. . Odnośnik do komentarza
bielanski666 Opublikowano 22 Listopada 2012 Autor Zgłoś Udostępnij Opublikowano 22 Listopada 2012 ajuści raporty Extras.Txt OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2012 Zgłoś Udostępnij Opublikowano 23 Listopada 2012 (edytowane) Log z GMER zrobiłeś w nieodpowiednich warunkach, nie zdjąłeś emulacji SPTD: KLIK. DRV - [2011-07-17 16:41:41 | 000,431,672 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd) Wprawdzie jest taki odczyt w GMER: ---- Processes - GMER 1.0.15 ---- Library C:\Users\KRZYSIO\Documents\combo (*** hidden *** ) @ C:\Users\KRZYSIO\Documents\combo [7556] 0x00400000 ... ale to jeszcze o niczym nie świadczy. Ścieżka zresztą urwana (to bug GMER), pełna widzialna w OTL i to katalog: [2012-11-20 19:42:07 | 000,000,000 | ---D | C] -- C:\Users\KRZYSIO\Documents\combo do usuwania oprogramowania wysyłającego maile Czy "combo" oznacza tu "ComboFix" czy "kombinację" jakiś programów? W każdym razie coś z tego katalogu uruchamiałeś podczas pracy GMER, to coś miało albo inwazyjny charakter albo się zawiesiło, że GMER wyłapał to jako "ukryty moduł". Poza omówionym tu wpisem w GMER nie ma tu żadnych oznak infekcji widzialnych. To rodzi pytania: Od tygodnia komp wysyła setki maili z kiku kont mailowych. Sprecyzuj: naturę e-mail (ich treść + zawartość), jakich kont (jaki dostawca), jak obsługiwanych (z poziomu www czy określony klient pocztowy), czy zmieniałeś dane logowania tych kont (jako weryfikację czy problem ustępuje), czy omawiany tu komputer to jedyny z poziomu którego jest uzyskiwany dostęp do poczty i czy nie ma tu może zjawiska "sieci domowej"? Problem może nie być wcale związany z oglądanym tu lokalnym komputerem. Proponuję w pierwszej kolejności wymienić hasła kont pocztowych. Komentarze na temat używanych skanerów i śladów programowych: Ad-aware 6, Sygate?! To w ogóle do niczego w aktualnych warunkach, nie ponawiaj takich prób. Poboczne działania czyszczące (nie związane z problemem): 1. Są tu bardzo stare szczątkowe sterowniki po odinstalowanym McAfee: DRV - [2008-07-14 10:22:40 | 000,055,176 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\mfetdik.sys -- (mfetdik)DRV - [2008-07-14 10:22:20 | 000,034,152 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MfeRKDK.sys -- (MfeRKDK)DRV - [2008-07-14 10:21:50 | 000,207,688 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\mfehidk.sys -- (mfehidk)DRV - [2008-07-14 10:21:34 | 000,035,240 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MfeBOPK.sys -- (MfeBOPK)DRV - [2008-07-14 10:21:28 | 000,079,240 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\MfeAVFK.sys -- (MfeAVFK) Przejdź w Tryb awaryjny Windows i zastosuj narzędzie McAfee Consumer Product Removal Tool. 2. Przejdź z powrotem w Tryb normalny Windows i przez Panel sterowania odinstaluj adware V9 Homepage Uninstaller. 3. Doczyść szczątki adware, skanerów i wpisy puste. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Files C:\Users\KRZYSIO\AppData\Roaming\mozilla\Firefox\Profiles\0\extensions\ffxtlbr@babylon.com C:\Users\KRZYSIO\AppData\Roaming\mozilla\firefox\profiles\0\extensions\OneClickDownloader@OneClickDownloader.com.xpi C:\Program Files\Common Files\AVG Secure Search C:\windows\System32\drivers\SBREDrv.sys C:\windows\System32\drivers\mbamswissarmy.sys C:\windows\System32\bdod.bin C:\Users\KRZYSIO\AppData\Roaming\ArcaBit C:\Users\KRZYSIO\AppData\Roaming\ArcaVirMicroScan C:\Users\KRZYSIO\AppData\Roaming\QuickScan C:\Users\KRZYSIO\AppData\Roaming\f-secure C:\Users\KRZYSIO\AppData\Roaming\Malwarebytes C:\Users\KRZYSIO\DoctorWeb C:\Program Files\SkanerOnline C:\Program Files\Sygate C:\Program Files\Panda Security C:\ProgramData\Malwarebytes C:\ProgramData\F-Secure C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft Ad-aware 6 :OTL IE - HKU\S-1-5-21-3517503380-3881505670-3387673457-1004\..\SearchScopes\{9587612A-C8C7-483A-AA60-BC45F60B6A0C}: "URL" = "http://start.funmoods.com/results.php?f=4&a=nv1&q={searchTerms}" O3 - HKLM\..\Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - No CLSID value found. O3 - HKU\S-1-5-21-3517503380-3881505670-3387673457-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. O8 - Extra context menu item: E&xport to Microsoft Excel - Reg Error: Value error. File not found O8 - Extra context menu item: Google Sidewiki... - Reg Error: Value error. File not found O8 - Extra context menu item: Search the Web - Reg Error: Value error. File not found O9 - Extra Button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - Reg Error: Value error. File not found O9 - Extra Button: &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found O9 - Extra 'Tools' menuitem : &Notatki połączone programu OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - Reg Error: Value error. File not found O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class) SRV - File not found [Auto | Stopped] -- -- (0044401270983584mcinstcleanup) SRV - [2012-11-08 17:55:57 | 000,711,112 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0) DRV - [2012-11-08 17:55:59 | 000,026,984 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\Windows\System32\drivers\avgtpx86.sys -- (avgtp) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbmodem.sys -- (USBModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbdiag.sys -- (UsbDiag) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lgusbbus.sys -- (usbbus) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\AGRSM.sys -- (AgereSoftModem) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ADIHdAud.sys -- (ADIHdAudAddService) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (BDRsDrv) DRV - File not found [Kernel | On_Demand | Stopped] -- -- (BDFsDrv) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 4. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: C:\Users\KRZYSIO\Desktop\ComboFix.exe /uninstall Gdy komenda ukończy, doczyść resztę: w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi