myatut Opublikowano 23 Listopada 2010 Zgłoś Udostępnij Opublikowano 23 Listopada 2010 podejrzewam ze pendrive tez moze byc zarazony logi dodane prosze o porade. co do tego: File D:\Documents and Settings\Administrator\Pulpit\ff zawsze po uruchomieniu systemu pojawia sie na pulpicie folder 'ff' i po chwili znika; dzieki za poswiecony czas. Odnośnik do komentarza
Landuss Opublikowano 23 Listopada 2010 Zgłoś Udostępnij Opublikowano 23 Listopada 2010 Kto ci kazał używać ComboFix? Widziałeś może to?: KLIK Zgodnie z zasadami działu wykonaj i wklej logi z OTL + Gmer oraz przy podpiętym urządzeniu przenośnym wykonaj log z USBFix z opcji Listing Odnośnik do komentarza
myatut Opublikowano 23 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2010 specjalisci moga juz dzialac : ) Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Przechodząc do usuwania infekcji (dysk J musi być podłączony) i sprzątania wpisów "not found": 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives ceb6eu98.bat /alldrives J:\a.jpg J:\desktop.ini :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "D:\Program Files\SopCast\adv\SopAdver.exe"=- :OTL SRV - File not found [Auto | Stopped] -- D:\Documents and Settings\Administrator\Dane aplikacji\Element Software\Element Anti-Virus 2011\ETPDEFRAG.EXE -- (DefragSvc) DRV - File not found [Kernel | On_Demand | Stopped] -- D:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme) O3 - HKU\S-1-5-21-602162358-813497703-839522115-500\..\Toolbar\WebBrowser: (no name) - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No CLSID value found. O16 - DPF: {CAFEEFAC-0015-0000-0017-ABCDEFFEDCBA} "http://java.sun.com/update/1.5.0/jinstall-1_5_0_17-windows-i586.cab" (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab" (Reg Error: Key error.) :Commands [emptyflash] [emptytemp] Rozpocznij proces opcją Wykonaj skrypt. Po restarcie otrzymasz z tego log. 2. System (oceniając po wyglądzie reszty wpisów) jest zainstalowany na D, konkretniej w katalogu D:\WIN_XP, ale jedna z jego usług kieruje do C: SRV - [2008-04-14 21:51:02 | 000,006,656 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINDOWS\system32\wuauserv.dll -- (wuauserv) Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters Dwuklik w wartość ServiceDll i zamień C:\WINDOWS\system32\wuauserv.dll na D:\WIN_XP\system32\wuauserv.dll. 3. Przejdź do Dodaj / Usuń i odinstaluj śmieci sponsoringowe pdfforge Toolbar (skutek jego działania to trwała praca w tle obiektu "Application updater") + Clip Extractor Toolbar (ComboFix się rozprawiał z jednym jego plikiem, ale to nadal jest w formie zainstalowanej). pdfforge Toolbar to wynik nieuważnej instalacji PDFCreator, należało odznaczyć sponsora w instalatorze. 4. Element Anti-Virus 2011 wygląda tu na odinstalowany, ale wg nagłówka loga z ComboFix ma ciągle zapis we WMI (co daje fałszywe odczyty w Centrum zabezpieczeń): AV: Element Anti-Virus *On-access scanning enabled* (Updated) {385C2AD3-E043-4696-9BD2-961867F4734F} Do wykonania artykuł: KLIK. Konkretniej: "Metoda usuwania 1", wpis identyfikacyjny jest tu podany na tacy {385C2AD3-E043-4696-9BD2-961867F4734F}. 5. Po wykonaniu punktów 1 do 4 prezentujesz: log powstały z usuwania OTL, nowy log z OTL opcji Skanuj i nowy USBFix opcji Listing. co do tego:File D:\Documents and Settings\Administrator\Pulpit\ff zawsze po uruchomieniu systemu pojawia sie na pulpicie folder 'ff' i po chwili znika; Ten skrót "FF" kojarzy się z Firefoxem, tak jakbyś sam ręcznie kiedyś taki folder utworzył, a on się odtwarza. Czy to przypadkiem nie jest związane z ustawieniem konfiguracji pobierania plików = folder docelowy pobierania? . Odnośnik do komentarza
myatut Opublikowano 24 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Ten skrót "FF" kojarzy się z Firefoxem, tak jakbyś sam ręcznie kiedyś taki folder utworzył, a on się odtwarza. Czy to przypadkiem nie jest związane z ustawieniem konfiguracji pobierania plików = folder docelowy pobierania? Firefoxa zainstalowalem kilka dni temu, a ten folder pojawil sie kilka miesiecy temu. Od momentu uzycia Combofix (wiem, niepowinienem) wyswietla sie komunikat po uruchomieniu systemu: Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Usuwanie szkodników z dysku J przebiegło pomyślnie. Do przodu jesteś o 761MB miejsca na dysku (tyle Tempów było). Reszta zadań, przynajmniej częściowo (nie wszystko mogę zobaczyć w OTL), wykonana. Finalizacja: 1. Usuń kwarantanny OTL i ComboFix, a także odinstaluj w prawidłowy sposób ComboFix (bo na dysku liczne ślady są zostawiane, jeśli tego nie zrobisz): W Start > Uruchom > wklej polecenie "d:\documents and settings\Administrator\Pulpit\Instalki\ComboFix.exe" /uninstall W OTL wywołaj funkcję Sprzątanie. 2. Zabezpiecz system i urządzenia przenośne przy udziale Panda USB Vaccine. 3. Wreszcie system sito (w związku z tym m.in. brak także łaty zapobiegającej infekcji z USB inną metodą niż autorun.inf, czyli ze skrótów LNK): Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) Obowiązkowa aktualizacja do stanu: Service Pack 3 + Internet Explorer 8. IE nadpisywany niezależnie od faktu czy w ogóle go używasz, to komponent integrowany, a jego maszyna jest utylizowana przez wiele fragmentów systemowych oraz programów trzecich. 4. Oprogramowanie: Dodatkowo jeszcze możesz zaktualizować do wersji Adobe Reader X Komentarz poboczny: GG10, Spik..... Jeśli chodzi o alternatywnego klienta Gadu z pełną obsługą nowego protokołu (a nie proteza jak w Spiku) to możesz obejrzeć temat Darmowe komunikatory. Propozycje: WTW, Miranda. Zresztą sam popatrz na tabelki zgodności protokołowej. Firefoxa zainstalowalem kilka dni temu, a ten folder pojawil sie kilka miesiecy temu. Może inny program ma to skonfigurowane. Możesz wykonać śledztwo przy pomocy Process Monitor. Wykonaj trace pełnego koła startowego Windows. Po uruchomieniu programu zatrzymaj monitorowanie przez zakreślenie lupki, z menu Options > Enable Boot Logging. Otrzymasz komunikat o zaplanowanym uruchomieniu przy następnym resecie, co też czynisz. Po restarcie, gdy już Windows wejdzie na Pulpit uruchom Process Monitor i zatwierdź pytanie o zapis loga. Nagrany log PML zaś zanalizuj, szukając który proces się odwołuje do tej ścieżki. W razie wątpliwości, zapakuj cały plik PML do ZIP, na jakiś hosting i tu podaj do analizy. Poza tym, tak się zastanawiam czy tu nie ma jakieś interferencji z programem typu Folder Lock (bo widzę jego sterowniki, czyli musi być w systemie). EDIT: Dopisałeś nowy wątek z błędem. Od momentu uzycia Combofix (wiem, niepowinienem) wyswietla sie komunikat po uruchomieniu systemu: To się zgłasza wpis od softu obsługi mobilnej: O4 - HKLM..\Run: [sony Ericsson PC Suite] D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB) W raporcie ComboFix brak akcji związanej z tą biblioteką, czyli bezpośrednio on nic nie kasował. Wejdź w Dodaj / Usuń programy, podświetl ten soft, powinna być opcja reperacji. . Odnośnik do komentarza
myatut Opublikowano 24 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Poza tym, tak się zastanawiam czy tu nie ma jakieś interferencji z programem typu Folder Lock (bo widzę jego sterowniki, czyli musi być w systemie). Miałeś racje. To się zgłasza wpis od softu obsługi mobilnej: O4 - HKLM..\Run: [sony Ericsson PC Suite] D:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe (Sony Ericsson Mobile Communications AB) W raporcie ComboFix brak akcji związanej z tą biblioteką, czyli bezpośrednio on nic nie kasował. Wejdź w Dodaj / Usuń programy, podświetl ten soft, powinna być opcja reperacji . A w jaki sposób mogę to odinstalować (jest mi zbędne)? Tutaj nie mam możliwości: Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2010 Zgłoś Udostępnij Opublikowano 24 Listopada 2010 Miałeś racje. Miałeś > Miałam. Wracając na tory techniczne: czyli? A w jaki sposób mogę to odinstalować (jest mi zbędne)?Tutaj nie mam możliwości: Istotnie, nie widzę w spisie Dodaj / Usuń pozycji pasującej do PC Suite. Skorzystaj z narzędzia Windows Installer Cleanup do usunięcia danych instalacyjnych tego programu. Folder na dysku trzeba będzie już ręcznie wykończyć, podobnie jak usunąć zapis ze startu: Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Usuń wartość Sony Ericsson PC Suite. . Odnośnik do komentarza
myatut Opublikowano 26 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2010 . Odnośnik do komentarza
picasso Opublikowano 26 Listopada 2010 Zgłoś Udostępnij Opublikowano 26 Listopada 2010 Podane tu logi = infekcja z USB. Ta sama co poprzednio, z drobnym urozmaiceniem. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files autorun.inf /alldrives ceb6eu98.bat /alldrives C:\WINDOWS\system32\amvo.exe C:\WINDOWS\system32\kav320.dll C:\Documents and Settings\Krzyś\Dane aplikacji\hotfix.exe C:\Documents and Settings\Krzyś\Dane aplikacji\aswhj.bat C:\Documents and Settings\Krzyś\Dane aplikacji\completescan C:\Documents and Settings\Krzyś\Dane aplikacji\start C:\Documents and Settings\Krzyś\Dane aplikacji\install :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "amva"=- :OTL O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real Alternative\Update_OB\realsched.exe File not found O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [ALLUpdate] C:\Program Files\ALLPlayer\ALLUpdate.exe File not found O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [DIMPobieranie aktualizacji...1208273154345] C:\Program Files\Corel\DVD9\DIM.exe File not found O4 - HKU\S-1-5-21-1214440339-796845957-1606980848-1003..\Run: [PCSpeedUp] C:\Program Files\Przyspiesz Komputer\PCSpeedUp.exe File not found :Commands [emptyflash] [emptytemp] Wykonaj skrypt > reset > log powstanie. 2. Usługa Windows ma źle skonfigurowaną ścieżkę: SRV - File not found [On_Demand | Stopped] -- C:\WINNT\system32\msiexec.exe -- (MSIServer) Start > Uruchom > regedit i w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer Dwuklik na wartość ImagePath i skoryguj w ścieżce fragment C:\WINNT na C:\WINDOWS. 3. Do oceny: log z usuwania OTL, nowy z OTL opcji Skanuj, plus oczekuję na niedostarczony tu GMER. . Odnośnik do komentarza
myatut Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 . Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Ale... pokazujesz mi nieaktualny "log z usuwania" z ... poprzedniego podejścia! Tym razem dałam przecież zupełnie inny skrypt do wykonania. Czyli: powtarzaj raz jeszcze zadanie, z właściwym dopasowanym skryptem, a urządzenie mapowane jako J też niech będzie podpięte (bo na nim są te dwa pliki infekcji = skrypt je obejmie). Odnośnik do komentarza
myatut Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 . Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Poszło elegancko, z systemu i urządzeń. Nic więcej nie widzę. 1. Drobnostki. Popraw literówkę, w konfiguracji Opcji internetowych Internet Explorer: IE - HKU\S-1-5-21-1214440339-796845957-1606980848-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.gogle.pl/" Dodatkowo, możesz skasować wszystkie alfanumeryczne foldery z partycji (to szczątki po wypakowywaniu się instalatorów aktualizacji) oraz FOUND.00X (to odpadki po pracy checkdisk): [21/10/2010 - 17:43:52 | D ] C:\013fae880a5cc4a788b6[27/10/2010 - 17:17:19 | D ] C:\133ef999d9f62d3201a95bbb[26/11/2010 - 17:55:13 | D ] C:\2742aaa5b43a53f41318dc1bdc967d3e[27/10/2010 - 16:50:58 | D ] C:\3e71ae9abaa822d4c82de05da9125a[21/10/2010 - 17:43:52 | D ] C:\54f57f58bab0ceb748cb216412[27/10/2010 - 17:01:39 | D ] C:\61d2f89e36ebb8875ba4[18/09/2010 - 14:53:12 | D ] C:\65536bdea49f5dd351e0a216b4a6[27/10/2010 - 16:58:00 | D ] C:\8234d5573736d9c18780cd[18/09/2010 - 14:53:12 | D ] C:\9ac68e1ad9951112125e3e[27/10/2010 - 16:52:00 | D ] C:\9bd6e13474a6d5ccaf9df8be[27/10/2010 - 17:15:03 | D ] C:\aad35f7d2240a1f9a4a8c9[18/09/2010 - 14:53:12 | D ] C:\acf7bb490f4a715237d44cd112[27/10/2010 - 17:06:01 | D ] C:\c71cd7aac3c8d923e4acfe4529b3a8d1[27/10/2010 - 17:01:31 | D ] C:\ccd5e5abc19f0fe790e656b3ed[24/11/2010 - 20:01:40 | D ] D:\48405b65bd09d70558[18/08/2010 - 18:45:11 | D ] D:\found.000 Te losowe foldery przy kasacji zwrócą "Odmowę dostępu". Należy im zresetować uprawnienia (przejęcie na własność + ustawienie Pełnej kontroli): KLIK. 2. Standardowe pozbycie się kopii po usuwaniu: w OTL funkcja Sprzątanie + wyczyść foldery Przywracania systemu. 3. Na wszelki wypadek przejedź ten system przez Malwarebytes' Anti-Malware (widzę na dysku, że jest lub był zainstalowany). Jeśli coś zostanie znalezione, zaprezentuj do weryfikacji. daj mi jakies wskazowki jak to zabezpieczyc na przyszlosc Już podałam, przy poprzednich zmaganiach: Zabezpiecz system i urządzenia przenośne przy udziale Panda USB Vaccine. Poza tym, ten system nie ma w ogóle antywirusa i zapory. Może za darmo pełny pakiet: COMODO Internet Security. . Odnośnik do komentarza
myatut Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 [21/10/2010 - 17:43:52 | D ] C:\013fae880a5cc4a788b6 [27/10/2010 - 17:17:19 | D ] C:\133ef999d9f62d3201a95bbb [26/11/2010 - 17:55:13 | D ] C:\2742aaa5b43a53f41318dc1bdc967d3e [27/10/2010 - 16:50:58 | D ] C:\3e71ae9abaa822d4c82de05da9125a [21/10/2010 - 17:43:52 | D ] C:\54f57f58bab0ceb748cb216412 [27/10/2010 - 17:01:39 | D ] C:\61d2f89e36ebb8875ba4 [18/09/2010 - 14:53:12 | D ] C:\65536bdea49f5dd351e0a216b4a6 [27/10/2010 - 16:58:00 | D ] C:\8234d5573736d9c18780cd [18/09/2010 - 14:53:12 | D ] C:\9ac68e1ad9951112125e3e [27/10/2010 - 16:52:00 | D ] C:\9bd6e13474a6d5ccaf9df8be [27/10/2010 - 17:15:03 | D ] C:\aad35f7d2240a1f9a4a8c9 [18/09/2010 - 14:53:12 | D ] C:\acf7bb490f4a715237d44cd112 [27/10/2010 - 17:06:01 | D ] C:\c71cd7aac3c8d923e4acfe4529b3a8d1 [27/10/2010 - 17:01:31 | D ] C:\ccd5e5abc19f0fe790e656b3ed [24/11/2010 - 20:01:40 | D ] D:\48405b65bd09d70558 [18/08/2010 - 18:45:11 | D ] D:\found.000 Te losowe foldery przy kasacji zwrócą "Odmowę dostępu". Należy im zresetować uprawnienia (przejęcie na własność + ustawienie Pełnej kontroli): KLIK. Jakoś nie potrafię tego wyrzucić. Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Czy wykonałeś dostosowanie uprawnień, przejęcie na własność + pełna kontrola dla swojego konta? Czy Pełną kontrolę przyznawałeś rekursywnie dla folderu (tzn. czy objąłeś podobiekty opcją Zaawansowane > Zastąp wszystkie uprawnienia obiektów podrzędnych uprawnieniami dziedziczonymi z tego obiektu)? Odnośnik do komentarza
myatut Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 (edytowane) fakt. pominąłem ten szczegół. wielkie dzięki. temat do skasowania. Edytowane 27 Listopada 2010 przez picasso Ejże, takich rzeczy z zerowaniem tematu się nie robi! Jak ten temat teraz wygląda! I tak zamykam, jak każdy rozwiązany. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi