Royalz Opublikowano 19 Stycznia 2013 Zgłoś Udostępnij Opublikowano 19 Stycznia 2013 Witam, od przedwczoraj mam dziwny problem z Mozillą Firefox. Przy włączeniu, mozilla dostaje meega laga, przez co nie mogę wchodzić na żadne strony. Wczytywać wczytuje, ale otwarcie strony głównej trwa ok. 30 minut. Aktualnie używam Chrome'a. Chodzi normalnie. Próbowałem zainstalować Operę, ale to g***o mi całego kompa laguje. Net 8 mb, ściąganie jest takie, jak powinno być, więc to nie wina neta. Próbowałem również reinstalować mozillę, przywracać system, skanować nodem oraz hijackthis'em - nic nie pomogło. Gdzie może leżeć problem ? Podrzucam logi: GMER otl.txt extras.txt Na innych forach ktoś doradził skan Combofixem. Odnośnik do komentarza
diox Opublikowano 20 Stycznia 2013 Zgłoś Udostępnij Opublikowano 20 Stycznia 2013 Nie używaj ComboFixa, to bardzo ingerencyjne narzędzie. Poczytaj: KLIK. EDIT: Log z GMER-a zafałszowany,w tle działa sterownik SPTD: DRV - [2011-01-20 12:18:21 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) W ogłoszeniu GMER pisze wyraźnie,aby odinstalować programy emulujące napędy, tj. DAEMON Tools Lite i Alcohol 52%, a potem odinstalować sterownik SPTD. Ale tu zauważyłem keyloggera pochodzącego z paczek Tibii: MOD - [2011-03-16 16:59:22 | 000,005,632 | ---- | M] () -- C:\WINDOWS\system32\spdg.dll Wygląda na nieaktywnego,ale na wszelki wypadek sprawdzimy. Pobierz SystemLook, uruchom go i wklej: :filefind ws2_32.dll Wciśnij Look.Daj raport z tego narzędzia.Na resztę instrukcji poczekaj na moderatorów działu. Odnośnik do komentarza
Royalz Opublikowano 21 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 21 Stycznia 2013 Podrzucam logi. #myślę nad formatem - bardziej się opłaci, niżeli czyścić całego kompa. Na dodatek, do 'zlagowanych' programów dołączył uTorrent. SystemLook.txt gmerr.txt Odnośnik do komentarza
picasso Opublikowano 22 Stycznia 2013 Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 diox Cytat Ale tu zauważyłem keyloggera pochodzącego z paczek Tibii (...) Wygląda na nieaktywnego,ale na wszelki wypadek sprawdzimy. Wręcz przeciwnie. Przecież działa w tle moduł, który sam cytujesz z raportu OTL (czyli linia MOD w OTL), a GMER bez wątpliwości pokazuje modyfikacje. Moduł załadowany = plik jest zmodyfikowany. Tylko wtedy można podejrzewać nieczynność, gdy moduł właśnie nie jest załadowany. Royalz System w strasznym stanie. Masz conajmniej trzy trojany logujące dane (spdg.dll modyfikujący systemowy ws2_32.dll, podrobiony Svchost.exe oraz para logonInit.dll + userInit.dll) - wszystko z trefnych paczek do gier - ale te keyloggery to najmniejszy problem. W systemie są znaki aktywności okropnego wirusa Sality, który infekuje wszystkie pliki wykonywalne na wszystkich dyskach: DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rqhnhn.sys -- (aic32p) To ten rodzaj infekcji, że format może być na widoku. Wstępna próba usuwania całego bagna: 1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych). 2. Pobierz Sality_RegKeys. Rozpakuj i ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\system32\ws2_32.dll|C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll /replace @C:\WINDOWS:F31E46EAB22E5D4C C:\WINDOWS\system32\windir C:\WINDOWS\System32\mypcgaejkguqxgcl.exe C:\WINDOWS\DBHayate.exe C:\WINDOWS\System32\DBHAY.exe C:\WINDOWS\tasks\{2B57B12A-A826-4977-A1F8-738C45D6DEDB}.job C:\Program Files\ContinueToSave C:\Program Files\SoftQuick C:\Program Files\Portal.2.Update.3.exe C:\Program Files\Common Files\userInit.dll C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Common Files C:\Documents and Settings\All Users\Dane aplikacji\continuetosave C:\Documents and Settings\All Users\Dane aplikacji\DownloadnSave C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Premium C:\Documents and Settings\Kamil\Dane aplikacji\AVG C:\Documents and Settings\Kamil\Dane aplikacji\avdrn.dat C:\Documents and Settings\Kamil\Dane aplikacji\chrtmp C:\Documents and Settings\Kamil\Dane aplikacji\data.dat C:\Documents and Settings\Kamil\Dane aplikacji\dclogs C:\Documents and Settings\Kamil\Dane aplikacji\Kamillog.dat C:\Documents and Settings\Kamil\Dane aplikacji\Kamil3SQLite3.dll C:\Documents and Settings\Kamil\Dane aplikacji\SendSpace C:\Documents and Settings\Kamil\Dane aplikacji\windows C:\Documents and Settings\Kamil\Dane aplikacji\TESTUJEMY.exe C:\Documents and Settings\Kamil\Ustawienia lokalne\Dane aplikacji\PCHealth C:\Documents and Settings\Kamil\Ustawienia lokalne\Dane aplikacji\promo.exe netsh firewall reset /C :Reg [HKEY_USERS\S-1-5-21-448539723-1500820517-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System] "EnableLUA"=- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ""=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager] "BootExecute"=hex(7):"autocheck autochk *" :OTL FF - HKLM\Software\MozillaPlugins\@funwebproducts.com/Plugin: C:\Program Files\FunWebProducts\Installr\2.bin\NPFunWeb.dll File not found FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Program Files\Google\Update\1.2.183.39\npGoogleOneClick8.dll File not found FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=8: C:\Documents and Settings\Kamil\Ustawienia lokalne\Dane aplikacji\Google\Update\1.2.183.39\npGoogleOneClick8.dll File not found IE - HKU\S-1-5-21-448539723-1500820517-682003330-1004\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}" IE - HKU\S-1-5-21-448539723-1500820517-682003330-1004\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = "http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=VZ2" O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.29.1\bh\BabylonToolbar.dll File not found O3 - HKLM\..\Toolbar: (no name) - - No CLSID value found. O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.29.1\BabylonToolbarTlbr.dll File not found O4 - HKU\S-1-5-21-448539723-1500820517-682003330-1004..\Run: [ChomikBox] F:\Chomikbox\chomikbox.exe File not found O4 - HKU\S-1-5-21-448539723-1500820517-682003330-1004..\Run: [DC Services] C:\WINDOWS\system32\DCsvc.exe File not found O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\windir\Svchost.exe () O4 - HKU\S-1-5-21-448539723-1500820517-682003330-1004..\Run: [HKCU] C:\WINDOWS\system32\windir\Svchost.exe () O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\windir\Svchost.exe () O7 - HKU\S-1-5-21-448539723-1500820517-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\windir\Svchost.exe () O16 - DPF: {00000055-9980-0010-8000-00AA00389B71} "http://codecs.microsoft.com/codecs/i386/fhg.CAB" (Reg Error: Key error.) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab" (Reg Error: Value error.) O20 - AppInit_DLLs: (C:\WINDOWS\SYSTEM32\comglt32a.dll) - C:\WINDOWS\system32\comglt32a.dll () O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\DCsvc.exe) - File not found O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll () SRV - File not found [Auto | Stopped] -- G:\Server VT\ventrilo_svc.exe -- (Ventrilo) SRV - File not found [Auto | Stopped] -- c:\program files\common files\akamai/netsession_win_b5e8a4c.dll -- (Akamai) SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\B1855510.EXE -- (4B51B550) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva390.sys -- (XDva390) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva387.sys -- (XDva387) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva385.sys -- (XDva385) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva375.sys -- (XDva375) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva370.sys -- (XDva370) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 4. Przez Panel sterowania odinstaluj adware i zbędne aplikacje Akamai NetSession Interface Service, Babylon toolbar on IE, BabylonObjectInstaller, QuestService 1.0 build 141, SpyWare Killer Pro. Pozbądź się też wszystkich paczek do Tibia, które ostatnio pobierałeś. Nie wiem ile się uda odinstalować normalnie, ze względu na uszkodzenia Sality. 5. Otwórz Google Chrome i w Rozszerzeniach odinstaluj continuetosave, DownloadnSave. 6. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. 7. Zrób nowe logi: USBFix z opcji Listing, GMER oraz OTL specyficznie skonfigurowany. Tzn. uruchom OTL, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania", by powstał po raz drugi plik Extras, a w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj: hklm\Software\Microsoft\Active Setup\Installed Components|Svchost.exe /RS Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller. Ponadto, na dysku masz sporo dziwnych katalogów i powiedz mi co w nich widzisz: [2012-06-20 08:58:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\B-RoR [2011-10-31 14:18:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\B-S-O [2011-12-10 19:27:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\BHOTS [2012-11-02 20:26:30 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\BlWrO [2012-01-27 22:19:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\BOTS [2010-09-22 13:57:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\Braid [2010-08-31 10:50:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\BTLS [2009-02-23 21:09:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\D-B-E [2010-01-15 19:49:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\D-B-F [2012-08-04 23:53:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\D-B-R [2009-07-13 12:05:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\D-B-S [2009-04-08 14:08:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\D-B-T [2009-06-29 08:44:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\D-B-W [2012-03-02 19:31:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBA [2012-09-03 11:53:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBC [2009-04-12 12:45:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBGo [2012-07-11 23:34:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBH [2010-03-22 16:44:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBI [2009-07-19 19:00:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBKAI [2011-06-04 17:59:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\dbkfo [2010-03-27 18:28:50 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBKO [2011-10-31 14:37:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBKO2 [2011-05-31 12:56:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBKOa [2012-09-29 14:39:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBKOF [2011-12-04 17:15:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBKOW [2009-09-04 13:32:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBM [2009-11-29 15:09:40 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBP [2012-06-08 18:21:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBR [2010-10-25 15:19:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBS [2010-01-02 18:36:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBStory [2012-06-20 12:31:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBV [2010-02-13 16:33:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBVt [2011-12-15 19:32:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\dbzbi [2012-09-09 16:03:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBzF1 [2011-04-14 16:30:58 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\DBZO [2012-08-26 13:26:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\FAH [2012-03-16 20:45:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\godb [2010-02-25 12:53:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\L-o-S [2011-12-25 13:37:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\Lob [2012-05-03 10:38:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\LoS [2010-12-04 11:43:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\LoS14 [2011-03-01 19:59:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\LSoDB [2011-07-03 14:39:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\MoDB [2012-05-07 13:29:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\MoDB1 [2012-04-09 22:56:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\Nowos [2012-04-21 16:47:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\NTSW [2010-08-24 19:44:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\P.A [2011-08-19 15:06:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\PLife [2010-11-26 20:42:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\PMOTS [2011-05-25 18:13:17 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\POIce [2011-06-26 16:39:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\PokCP [2011-02-19 18:10:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\PokeO [2012-12-07 11:32:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\PokTr [2011-05-12 16:28:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\POST [2011-07-10 18:35:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\POunc [2010-12-10 17:39:09 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\Powoo [2010-07-31 16:22:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\SoDBO [2010-08-06 08:17:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\T-D-B [2009-05-27 07:53:20 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\TWoDB [2012-03-07 18:22:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\WoDBO [2012-03-02 19:32:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\WodboSG [2011-01-01 17:36:18 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Kamil\Dane aplikacji\WoNO Odnośnik do komentarza
Royalz Opublikowano 22 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2013 Dziękuję za odpowiedź, zaraz coś spróbuję zdziałać. cd. tych plików w appdata, są to pliki minimapy z gier brata. (między innymi tibia) Punkt 4: brak możliwości odinstalowania BabylonObjectInstaller oraz Questservice 1.0 build 141. Punkt 7: hosting z USBfix padł, a z innych stron wolę nie ściągać. Salitykiller: nie znalazł zarażonych plików Reszta w załącznikach. Problem dalej ten sam, lecz tylko w przypadku mozilli, z uTorrenta usunięty problem. Chyba pozostaje zrobić formata ;/ #Jakiego antywirusa polecacie po formacie ? GMER otl1.txt AdwCleanerS1.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 28 Stycznia 2013 Zgłoś Udostępnij Opublikowano 28 Stycznia 2013 Cytat Punkt 4: brak możliwości odinstalowania BabylonObjectInstaller oraz Questservice 1.0 build 141. Pierwszy już załatwiony przez AdwCleaner. Drugi trzeba będzie ręcznie usunąć. Cytat Punkt 7: hosting z USBfix padł, a z innych stron wolę nie ściągać. To zaadresuję w skanie SystemLook. Cytat Problem dalej ten sam, lecz tylko w przypadku mozilli, z uTorrenta usunięty problem. Nie został usunięty keylogger Tibia spdg.dll modyfikujący systemowy plik ws2_32.dll. Nadal w GMER widać czynności tej biblioteki, a w OTL załadowany moduł: ========== Modules (No Company Name) ========== MOD - [2011-03-16 16:59:22 | 000,005,632 | ---- | M] () -- C:\WINDOWS\system32\spdg.dll Albo usuwanie w skrypcie nieudane, albo uruchomiłeś ponownie coś co przywróciło tę infekcję. Ponownie: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\system32\ws2_32.dll|C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll /replace C:\Documents and Settings\All Users\Dane aplikacji\CloudSoft C:\Documents and Settings\All Users\Dane aplikacji\CLSoft LTD :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{FO780ARW-AP83-4706-U6FM-G10Y302ENK53}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\QuestService] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Akamai NetSession Interface"=- :Commands [emptytemp] Klik w Wykonaj skrypt. Zatwierdź restart systemu. Otworzy się log z wynikami usuwania. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras), GMER, SystemLook na warunek: :filefind ws2_32.dll :regfind {FO780ARW-AP83-4706-U6FM-G10Y302ENK53} :dir C:\ E:\ F:\ G:\ Dołącz log z usuwania OTL z punktu 1. Odnośnik do komentarza
Royalz Opublikowano 30 Stycznia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 GMER otl-skrypt.txt OTL.Txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 30 Stycznia 2013 Zgłoś Udostępnij Opublikowano 30 Stycznia 2013 Plik w ogóle nie podmieniony (infekcja keyloggerem nadal ma miejsce), a przyczyna to brak pliku do zamiany: ========== FILES ========== File C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll not found. Coś się z nim stało w międzyczasie. Pierwszy skan SystemLook z posta numer 5 pokazywał taką poprawną kopię na dysku: ========== filefind ========== Searching for "ws2_32.dll" C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll -----c- 82432 bytes [17:20 14/04/2008] [17:20 14/04/2008] C0AA2AB856680C44739B41E01F5BD4E9 W związku z jej brakiem trzeba będzie podać plik z mojego systemu XP. 1. Przesyłam plik na PW. Rozpakowany ulokuj wprost na C:\. Uruchom BlitzBlank i w karcie Script wklej: CopyFile: C:\ws2_32.dll C:\WINDOWS\system32\ws2_32.dll C:\ws2_32.dll C:\WINDOWS\ServicePackFiles\i386\ws2_32.dll Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{FO780ARW-AP83-4706-U6FM-G10Y302ENK53}] :Files C:\found.* Klik w Wykonaj skrypt. 4. Przedstaw logi z usuwania BlitzBlank i OTL. Zrób nowy GMER oraz SystemLook na warunek: :filefind ws2_32.dll Odnośnik do komentarza
Royalz Opublikowano 8 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2013 Witam, ostatnio napisałem temat na forum z problemem z przeglądarką. I tutaj chcę zadać pytanie. Czy warto czyścić programami system, czy lepiej od razu zrobić formata ? Programy: ESET Smart Security System, CCE Comodo oraz combofix. Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2013 Zgłoś Udostępnij Opublikowano 8 Lutego 2013 Royalz, po co nowy temat, doklejam do poprzedniego. W kwestii pytania: to od Ciebie zależy czy chcesz dalej czyścić (dużo zrobione) czy chcesz robić format (związany z reinstalacją wszystkiego). Z tym, że ja widzę, iż się za bardzo modlisz. Zadałam usuwanie keyloggera jako ostatni krok, a tu zamiast się za to zabrać po tygodniu dopiero rozważasz co robić. Decyduj: czyścisz czy robisz format. Decyzja Twoja nie moja. Odnośnik do komentarza
Royalz Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 No mam dylemat. Czy czyścić ( i nie mieć pewności, że komputer będzie sprawny) czy lepiej przeinstalować całego windowsa (bo i tak muszę zmienić na 7) Dodam, że informatyk polecił czyszczenie w/w programami. Czy zrobienie formatu bez wcześniejszego skanowania i wyczyszczenia go z wirusów/robaków etc. ma sens, czy robaki dalej będą po formacie ? /Blitzblank usunięty z hostingu. /Dodam, że mam jeszcze błąd z automatycznym wyłączeniem komputera. Tak wygląda: Odnośnik do komentarza
picasso Opublikowano 9 Lutego 2013 Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Cytat Programy: ESET Smart Security System, CCE Comodo oraz combofix. (...) Dodam, że informatyk polecił czyszczenie w/w programami. "Informatyk" chyba nie analizował żadnych raportów i zadał czyszczenie w ciemno. Cytat Dodam, że mam jeszcze błąd z automatycznym wyłączeniem komputera. Ostatni sprawdzany stan rzeczy: infekcja pliku systemowego ws2_32.dll, więc błąd może być konsekwencją. Ale nie było Cię przez kilka dni, mogło coś nowego się podczepić pod system (nie mam nowych raportów). Cytat Blitzblank usunięty z hostingu. Rzeczywiście, link chwilowo wygasły. Przesyłam kopię na PW. Cytat Czy zrobienie formatu bez wcześniejszego skanowania i wyczyszczenia go z wirusów/robaków etc. ma sens, czy robaki dalej będą po formacie ? Zanalizowany tu stan wykazuje przede wszystkim brud partycji systemowej, więc format powinien to załatwić. Odnośnik do komentarza
Royalz Opublikowano 9 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 9 Lutego 2013 Wyczyściłem również dane aplikacji, mozilla działa idealnie. GMER otl.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2013 Zgłoś Udostępnij Opublikowano 10 Lutego 2013 W końcu plik systemowy ws2_32.dll podmieniony czystym, ustały wszystkie czynności zainfekowanej biblioteki w GMER. Pytaniem jest, czy to nadal ma miejsce: Cytat Dodam, że mam jeszcze błąd z automatycznym wyłączeniem komputera. Odnośnik do komentarza
Royalz Opublikowano 10 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2013 To również ustało. Dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2013 Zgłoś Udostępnij Opublikowano 10 Lutego 2013 Finalizacja tematu: 1. Porządki po narzędziach: odinstaluj USBFix, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób jeszcze pełny skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. Przy instalacji padnie pytanie o typ wersji, wybierz darmową bez rezydenta (w celu uniknięcia potencjalnej kolizji z zainstalowanym ESET). Odnośnik do komentarza
Royalz Opublikowano 12 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2013 1. OTL: Uruchomiłem sprzątanie, przez kilka godzin nie było żadnej odpowiedzi od programu. 2. Done 3. Przy instalacji wyrzuciło 2 błędy: Log ze skanowania: MBAM-log-2013-02-12 (12-25-42).txt mbam-log-2013-02-12 (10-58-13).txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Cytat Przy instalacji wyrzuciło 2 błędy Hmm, błędy "Runtime error", choć nieco inne, są w opisane w FAQ programu: KLIK. Tak sądziłam, że tu jeszcze będą różne detekcje. Wszystko co wykrył skaner to były odpadki po starych infekcjach, keyloggerach i adware. Jak rozumiem wszystko usunięte (keygena jednak ominąłeś = to niepewny materiał) i ponowny skan MBAM nic nie wykrywa? Po usuwaniu ponownie wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Royalz Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Zaraz zrobię drugi skan. Teraz jeszcze jedna sprawa. Przy włączaniu windowsa (a dokładniej po wybraniu użytkownika) nie pojawiają się ikony, ani pasek zadań. Czym to może być spowodowane ? Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Być może to doinstalowany MBAM zawadza. Zrób ten skan i upewnij się, że nic nie jest znajdowalne. Po tym odinstaluj MBAM i zobaczymy co z tego wyniknie. Odnośnik do komentarza
Royalz Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 (edytowane) Log ze skanowania w załączniku. Edytowane 13 Lutego 2013 przez picasso Wadliwy załącznik usuwam. //picasso Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Ale przecież to stary log z wczoraj (2013-02-12 10:58:13) Odnośnik do komentarza
Royalz Opublikowano 13 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Nie ten log wrzuciłem, nieważne. Został odnaleziony jeden wirus, dokładniej to: G:\Photoshop pl cs3 instalka\Adobe Photoshop CS3 Extended PL CRACK\KEYGEN\Photoshop CS3 Extended Keygen VLK.exe (RiskWare.Tool.HCK) -> Nie wykonano akcji. Został usunięty. Błąd z brakiem ikon i pasku zadań to wina MBAM'a. Po wyłączeniu procesu MBAM'a wszystko włączyło się w sekundę. Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2013 Zgłoś Udostępnij Opublikowano 13 Lutego 2013 Cytat Został odnaleziony jeden wirus, dokładniej to (...) Został usunięty. Mówiłam przecież, że go ominąłeś w pierwszym podejściu: picasso napisał: Jak rozumiem wszystko usunięte (keygena jednak ominąłeś = to niepewny materiał) i ponowny skan MBAM nic nie wykrywa? Wszystko zdaje się być rozwiązane. Na zakończenie: 1. Były tu rozmaite keyloggery. Dla bezpieczeństwa zmień hasła w grach i serwisach online (np. poczta, Facebook etc.). 2. Aktualizacje: KLIK. Wg ostatniej z dostarczonych list zainstalowanych programów w systemie są następujące stare wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 11 "{90110415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003 "{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish "{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10 "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE) "Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox) "Mozilla Firefox 18.0 (x86 pl)" = Mozilla Firefox 18.0 (x86 pl) ========== HKEY_USERS Uninstall List ========== [HKEY_USERS\S-1-5-21-448539723-1500820517-682003330-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall] "FileZilla Client" = FileZilla Client 3.5.3 "Google Chrome" = Google Chrome 10.0.648.204 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll () Odnośnik do komentarza
Royalz Opublikowano 14 Lutego 2013 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2013 Jeszcze jedna rzecz. Co z SPTD potrzebnym do robienia obrazów płyt ? Mogę go po prostu zainstalować czy trzeba robić to pod okiem specjalisty ? Odnośnik do komentarza
Rekomendowane odpowiedzi