valbusa Opublikowano 17 Lipca 2011 Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Witam Mam problem mianowicie ostatnio dość często wyskakuje mi białe okienko zatytułowane Blank Window2... Co jakiś czas pojawia mi się okienko o nazwie hello4. Ostatnio też wyskakują inne okienka z podejrzanymi nazwami. Praktycznie uniemożliwia to prace na komputerze... Ma ktoś pomysł jak temu zaradzić? Extras.TxtPobieranie informacji ... OTL.TxtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 17 Lipca 2011 Zgłoś Udostępnij Opublikowano 17 Lipca 2011 Zabrakło obowiązkowego loga z GMER 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files autorun.inf /alldrives mi9al8rs.exe /alldrives C:\WINDOWS\Tasks\At*.job C:\WINDOWS\system32\arking0.dll C:\WINDOWS\System32\arking1.dll C:\WINDOWS\System32\arking.exe C:\Program Files\ConduitEngine C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job C:\Documents and Settings\Administrator\Ustawienia lokalne\temp C:\Documents and Settings\Administrator\Dane aplikacji\download2\svcnost.exe :Services Application Updater ltumllsd uaiftrjwww atsoikctznbyafe qejnugmdnuipccg kjlpjkrwjml qyklcdigp udwcnhbupllfwun wgwxumhelf kqykdzripgn ycbgfljegai aefyqsbleoz :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "SuperHidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "Hidden"=dword:00000001 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "ShowSuperHidden"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\pdfupd.exe"=- "C:\Documents and Settings\Administrator\Dane aplikacji\download2\svcnost.exe"=- "C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\3821562.exe"=- "C:\Documents and Settings\Administrator\Dane aplikacji\xufvvq1z23yalvbyosdqkc1cppmhnjip2\svcnost.exe"=- :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://start.facemoods.com/?a=ironto" FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p=" [2010-08-13 15:18:06 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\nj1252z3.default\searchplugins\daemon-search.xml O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [19579] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\3821562.exe () O4 - HKCU..\Run: [cdoosoft] C:\Documents and Settings\Administrator\Ustawienia lokalne\temp\herss.exe () O4 - HKCU..\Run: [King_ar] C:\WINDOWS\system32\arking.exe () O20 - Winlogon\Notify\cryptnet32: DllName - cryptnet32.dll - File not found :Commands [emptyflash] [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Z panelu usuwanie programów odinstaluj niepotrzebne śmieci - YouTube Downloader Toolbar v4.5 / Little Fighter 2 Toolbar / PHPNukeEN Toolbar / Softonic-Eng7 Toolbar 3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL, Gmer oraz AD-Remover z trybu skanowania. Odnośnik do komentarza
valbusa Opublikowano 18 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Zrobiłem wszystko to co było w poście powyżej. Logi w załącznikach OTL.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... Ad-Report-SCAN1.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Jak pokazuje log z Gmer jest tu jeszcze dodatkowo rootkit TDL3: File C:\WINDOWS\system32\drivers\pci.sys suspicious modification; TDL3 <-- ROOTKIT !!! Wykonaj kolejne działania: 1. Uruchom narzędzie Kaspersky TDSSKiller i kiedy wykryje rootkita wybierz akcję Cure (leczenie). 2. Wykonaj do OTL kolejny skrypt: :Files C:\Program Files\Ask.com C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Conduit C:\Program Files\Conduit C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\ConduitEngine C:\Documents and Settings\Administrator\Dane aplikacji\PriceGong C:\Program Files\Common Files\Spigot :OTL [-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2086743] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2405280] [-HKEY_LOCAL_MACHINE\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_USERS\.DEFAULT\Software\Conduit] [-HKEY_USERS\.DEFAULT\Software\conduitEngine] [-HKEY_USERS\.DEFAULT\Software\PriceGong] [-HKEY_USERS\.DEFAULT\Software\Search Settings] [-HKEY_USERS\S-1-5-18\Software\Conduit] [-HKEY_USERS\S-1-5-18\Software\conduitEngine] [-HKEY_USERS\S-1-5-18\Software\PriceGong] [-HKEY_USERS\S-1-5-18\Software\Search Settings] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E299977B-0BAD-4A59-A278-FBF9A9EF77AD}] :OTL FF - prefs.js..browser.search.defaultenginename: "Yahoo" FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=937811" FF - prefs.js..browser.search.selectedEngine: "Yahoo" FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=937811&p=" O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - File not found O2 - BHO: (no name) - SOFTWARE - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C3CD744D-2FAE-4640-8297-16B5DA423104} - No CLSID value found. :Commands [emptytemp] 3. Wklejasz nowe logi z OTL, Gmer, AD-Remover i raport z KasperskyTDSSKiller. Odnośnik do komentarza
valbusa Opublikowano 18 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 18 Lipca 2011 OK, chwilkę to trwało ale oto nowe, kolejne logi OTL.TxtPobieranie informacji ... gmer.txtPobieranie informacji ... TDSSKiller.2.5.11.0_18.07.2011_12.22.42_log.txtPobieranie informacji ... Ad-Report-SCAN2.txtPobieranie informacji ... Odnośnik do komentarza
Landuss Opublikowano 18 Lipca 2011 Zgłoś Udostępnij Opublikowano 18 Lipca 2011 Infekcja pomyślnie usunięta i problemy powinny minąć. Można przejść do czynności końcowych. 1. Użyj opcji Sprzątanie w OTL. 2. Wklej do notatnika systemowego taki tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2086743] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2405280] [-HKEY_LOCAL_MACHINE\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\conduitEngine] [-HKEY_CURRENT_USER\Software\PriceGong] [-HKEY_CURRENT_USER\Software\Toolbar] [-HKEY_USERS\.DEFAULT\Software\Conduit] [-HKEY_USERS\.DEFAULT\Software\conduitEngine] [-HKEY_USERS\.DEFAULT\Software\PriceGong] [-HKEY_USERS\.DEFAULT\Software\Search Settings] [-HKEY_USERS\S-1-5-18\Software\Conduit] [-HKEY_USERS\S-1-5-18\Software\conduitEngine] [-HKEY_USERS\S-1-5-18\Software\PriceGong] [-HKEY_USERS\S-1-5-18\Software\Search Settings] [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E299977B-0BAD-4A59-A278-FBF9A9EF77AD}] Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 3. Twój system nie ma pliku HOSTS i logi to notują. Wklej do notatnika taki tekst: 127.0.0.1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 4. Wykonaj obowiązkowe aktualizacje: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216015FF}" = Java 6 Update 15 "Mozilla Firefox (3.6.18)" = Mozilla Firefox (3.6.18) Szczegóły aktualizacyjne w tym temacie: KLIK. 5. Opróżnij folder Przywracania systemu: KLIK. . Odnośnik do komentarza
valbusa Opublikowano 19 Lipca 2011 Autor Zgłoś Udostępnij Opublikowano 19 Lipca 2011 Wygląda na to, że wszystko wróciło do normy z czego bardzo się cieszę Jestem bardzo wdzięczny za okazaną mi pomoc w szczególności dla użytkownika Landuss Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi