Skocz do zawartości

Podejrzenie infekcji - procesy hrlorkd.exe i conhost.exe


Rekomendowane odpowiedzi

Witam,

mam win7 wersja 64bit. W załączniku log OTL, a poniżej z SecurityChecker. Piszę z prośbą o sprawdzenie logów ponieważ jak patrzę w menadzerze zadań jakie procesy są uruchomione to mam:

3 razy hrlorkd.exe

2 razy conhost.exe ( jeden proces posiada opis Host okna konsoli, a drugi taki sam proces już opisu nie ma)

 

Procesów hrlorkd.exe nie mogę zatrzymać ani usunąć, ponieważ jest odmowa dostępu.

 

To co mnie skłoniło i wzbudziło podejrzenia to komunikat od win7 abym włączył zaporę systemową chociaż wcale jej nie wyłączałem. W związku z tym proszę o pomoc i odpowiedź czy mój komputer jest zainfrekowany.

W załączniku zrzut ekranu z mojego task managera.

 

Results of screen317's Security Check version 0.99.24

Windows 7 x64 (UAC is enabled)

Internet Explorer 8 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

SEO SpyGlass

Java 6 Update 29

Adobe Flash Player 11.0.1.152

Adobe Reader X (10.1.0) Adobe Reader Out of Date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

Prezes AppData Roaming PLAY ONLINE\ouc.exe

``````````End of Log````````````

OTL.Txt

post-1046-0-88305800-1319833132_thumb.png

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To nie jest pełny log z OTL, brakuje Extras (nie przestawiłeś opcji "Rejestr - skan dodatkowy" na "Użyj filtrowania").

 

Istotnie, infekcja grzeje miejsce. Wygląda na to, że jest tu trojan ZeroAccess, gdyż wszyscy dostawcy w Winsock są jakoby "not found":

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

 

Ponadto siedzą te obiekty:

 

SRV - [2009-11-10 21:45:01 | 000,082,013 | ---- | M] (Helper) [Auto | Running] -- c:\Windows\SysWOW64\hrlorkds.exe -- (qacllhjxcqyzlp)

O20 - HKU\S-1-5-21-1655922889-1840272266-2703523318-1001 Winlogon: Shell - (C:\Users\Prezes\AppData\Local\1161829e\X) -C:\Users\Prezes\AppData\Local\1161829e\X ()

[2011-10-28 21:39:44 | 000,000,000 | -HSD | C] -- C:\Users\Prezes\AppData\Local\1161829e

[2010-07-27 18:23:35 | 000,151,552 | ---- | C] () -- C:\Windows\SysWow64\msezcsokd.dll

[2010-04-24 01:03:18 | 000,009,851 | ---- | C] () -- C:\Windows\SysWow64\mswznsoke.dll

 

Z ZeroAccess na systemie 64-bit radzi sobie ComboFix. Uruchom go zgodnie ze wskazówkami i przedstaw raport z działania.

 

 

 

.

Odnośnik do komentarza

Uruchomiłem ComboFixa. Log z ComboFixa i z Extras w załączniku.

 

Niestety teraz nie mogę już korzystać ze swojego komputera. Tego posta piszę już z kompa siostry. A co się stało ? Otóż po zakończeniu pracy ComboFixa i wyświetleniu raportu chciałem otworzyć FireFoxa, aby tutaj wkleić wynik działania jego pracy i niestety jak zrobiłem dwuklik na ikonce FF to dostałem taki komunikat: "Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został przeznaczony do usunięcia"

 

I teraz jest problem, bo nie mogę otworzyć żadnego programu ani FF ani notepada ani OTL.exe czy innych. I martwię się tym, że nawet jeśli podasz mi jakiś skrypt który mam uruchomić na moim kompie to nie będę miał takiej możliwości,bo pojawi się ten komunikat. :( Jedyne co działa to mozilla thunderbird

 

 

Plik Extras jest z wczoraj. NIe dodałem go, bo zwyczajnie to przegapiłem.

 

EDIT:

Uruchomiłem komputer ponownie i teraz mogę korzystać ze wszystkich programów. Komunikat Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został przeznaczony do usunięcia" już się nie pojawia (uff).

ComboFix.txt

Extras.Txt

Odnośnik do komentarza
Uruchomiłem komputer ponownie i teraz mogę korzystać ze wszystkich programów. Komunikat Wykonano próbę niedozwolonej operacji na kluczu Rejestru, który został przeznaczony do usunięcia" już się nie pojawia (uff).

 

To się czasem dzieje bezpośrednio po użyciu Combofix i wystarczy tyko zresetować komputer.

 

ComboFix usunął podstawowe składniki ZeroAccess. Zapewne jeszcze po tej infekcji zostały szkody w Winsock, nie zostały skasowane inne wyróżnione przeze mnie obiekty infekcji, a także w logu z ComboFix te pliki systemowe objawiają się jako bez sygnatury (mogą być spatchowane):

 

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[7] 2010-11-21 . FE70103391A64039A921DBFFF9C7AB1B . 1008128 . . [6.1.7601.17514] .. c:\windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll

[-] 2011-10-09 . 2C353B6CE0C8D03225CAA2AF33B68D79 . 1008640 . . [6.1.7601.17514] .. c:\windows\system32\user32.dll

.

[-] 2011-10-09 . 861C4346F9281DC0380DE72C8D55D6BE . 833024 . . [6.1.7601.17514] .. c:\windows\SysWOW64\user32.dll

[7] 2010-11-21 . 5E0DB2D8B2750543CD2EBB9EA8E6CDD3 . 833024 . . [6.1.7601.17514] .. c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll

.

 

Przekopiuj je na Pulpit i rzuć na VirusTotal do skanowania. A na teraz kolejna partia czyszczenia:

 

 

1. W Notatniku wklej:

 

Driver::
qacllhjxcqyzlp
 
File::
C:\Windows\SysWow64\hrlorkds.exe
C:\Windows\SysWow64\msezcsokd.dll
C:\Windows\SysWow64\mswznsoke.dll
 
Folder::
C:\Users\Prezes\AppData\Local\1161829e

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

cfscript.gif

 

2. Przedstaw raport z działania ComboFix oraz wygeneruj nowy log z OTL opcją Skanuj (Extras już po raz drugi nie potrzebuję).

 

 

 

 

.

Odnośnik do komentarza

Ad1. Możesz mi powiedzieć gdzie te kopie systemowe są zapisane ? Czy to chodzi o któryś z podkatalogów z katalogu C:\Qoobox Jeśli tak to który ?

Ad2. Czy te szkody które pozostały po infekcji w Winsock zostały usunięte w wyniku uruchomienia podanego przez Ciebie skryptu zapisanego do pliku CFScript.txt i uruchomionego w ComboFix-ie ?

 

W załączniku log z ComboFix-a oraz OTL-a bez pliku extras.txt.

combofix.txt

OTL.Txt

Odnośnik do komentarza
Ad1. Możesz mi powiedzieć gdzie te kopie systemowe są zapisane ? Czy to chodzi o któryś z podkatalogów z katalogu C:\Qoobox Jeśli tak to który ?

 

deredas skup się. Jaki Qoobox! Masz podane 4 pliki na tacy, te które zakreśliłam z raportu:

 

c:\windows\system32\user32.dll

c:\windows\SysWOW64\user32.dll

c:\windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll

c:\windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll

 

Pliki skopiuj na Pulpit i przeskanuj. Pewnie i tak będzie wymagana ich zamiana.

 

 

Ad2. Czy te szkody które pozostały po infekcji w Winsock zostały usunięte w wyniku uruchomienia podanego przez Ciebie skryptu zapisanego do pliku CFScript.txt i uruchomionego w ComboFix-ie ?

 

Nie, skrypt był przeznaczony do usuwania czegoś innego (tytułowy delikwent hrlorkd.exe i pliki z nim związane, plus katalog numeryczny). Na systemie 64-bit po usunięciu infekcji ZeroAccess za pomocą ComboFix Winsock nie jest przywracany do formy idealnej. Dlatego prosiłam o log z OTL, by to potwierdzić. Dla porównania temat: KLIK. U Ciebie to samo:

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - %SystemRoot%\System32\nwprovau.dll File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000025 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

O10 - Protocol_Catalog9\Catalog_Entries\000000000026 - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WLIDNSP.DLL File not found

 

I do wykonania będzie to samo co u tamtego delikwenta, z tym że tu jako skutek uboczny zostaną wypięte aplikacje dodane (ale potem możesz sobie przeinstalować Bonjour czy Windows Live):

 

1. Reset części Protocol: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep komendę netsh winsock reset

 

2. Reset części NameSpace: Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5]
"Num_Catalog_Entries"=dword:00000006
"Serial_Access_Num"=dword:00000020
"Num_Catalog_Entries64"=dword:00000006
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001]
"LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll"
"DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000"
"ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83
"SupportedNameSpace"=dword:0000000f
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002]
"LibraryPath"="%SystemRoot%\\System32\\mswsock.dll"
"DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103"
"ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b
"SupportedNameSpace"=dword:0000000c
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003]
"LibraryPath"="%SystemRoot%\\System32\\winrnr.dll"
"DisplayString"="NTDS"
"ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac
"SupportedNameSpace"=dword:00000020
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000000
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004]
"LibraryPath"="%SystemRoot%\\system32\\napinsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000"
"ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae
"SupportedNameSpace"=dword:00000025
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000"
"ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000027
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006]
"LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll"
"DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001"
"ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d
"SupportedNameSpace"=dword:00000026
"Enabled"=dword:00000001
"Version"=dword:00000000
"StoresServiceClassInfo"=dword:00000001
"ProviderInfo"=hex:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > z menu Plik zaimportuj FIX.REG. Zresetuj system.

 

3. Drobny skrypt poprawkowy usuwający nowy obiekt w logu (mseunrero.dll) i szczątki po instalacjach adware Facemoods i Babylon oraz czyszczenie lokalizacji tymczasowych. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\SysWow64\mseunrero.dll

C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml

C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml

C:\Users\Prezes\AppData\Roaming\Babylon

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="about:blank"

 

:Commands

[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

4. Do oceny: log z wynikami usuwania + nowy log z OTL z opcji Skanuj (bez Extras).

 

 

 

 

.

Odnośnik do komentarza

OK - jestem skupiony. Na początku myślałem, że chodzi o te 4 pliki. Jednak po dłuższej chwili namysłu zacząłem w to watpić, ponieważ te pliki mają rozszerzenie dll. I pomyślałem że jednak to są jakieś biblioteki, a nie kopie systemu. Wszystkie cztery pliki skopiowałem na pulpit odwiedziłem stronę virustotal.com dodałem pierwszy z plików, nacisnąłem przycisk reanalyse i dostałem takie coś jako wynik:

 

File name:

user32.dll

Submission date:

2011-10-29 15:52:24 (UTC)

Current status:

finished

Result:

0/ 43 (0.0%)

 

Antivirus Version Last Update Result

AhnLab-V3 2011.10.29.00 2011.10.29 -

AntiVir 7.11.16.201 2011.10.28 -

Antiy-AVL 2.0.3.7 2011.10.29 -

Avast 6.0.1289.0 2011.10.29 -

AVG 10.0.0.1190 2011.10.29 -

BitDefender 7.2 2011.10.29 -

ByteHero 1.0.0.1 2011.09.23 -

CAT-QuickHeal None 2011.10.29 -

ClamAV 0.97.3.0 2011.10.29 -

Commtouch 5.3.2.6 2011.10.29 -

Comodo 10594 2011.10.29 -

DrWeb 5.0.2.03300 2011.10.29 -

Emsisoft 5.1.0.11 2011.10.29 -

eSafe 7.0.17.0 2011.10.26 -

eTrust-Vet 36.1.8645 2011.10.28 -

F-Prot 4.6.5.141 2011.10.29 -

F-Secure 9.0.16440.0 2011.10.29 -

Fortinet 4.3.370.0 2011.10.29 -

GData 22 2011.10.29 -

Ikarus T3.1.1.107.0 2011.10.29 -

Jiangmin 13.0.900 2011.10.29 -

K7AntiVirus 9.116.5354 2011.10.29 -

Kaspersky 9.0.0.837 2011.10.29 -

McAfee 5.400.0.1158 2011.10.29 -

McAfee-GW-Edition 2010.1D 2011.10.28 -

Microsoft 1.7801 2011.10.29 -

NOD32 6585 2011.10.29 -

Norman 6.07.13 2011.10.29 -

nProtect 2011-10-29.01 2011.10.29 -

Panda 10.0.3.5 2011.10.29 -

PCTools 8.0.0.5 2011.10.29 -

Prevx 3.0 2011.10.29 -

Rising 23.81.04.01 2011.10.28 -

Sophos 4.70.0 2011.10.29 -

SUPERAntiSpyware 4.40.0.1006 2011.10.29 -

Symantec 20111.2.0.82 2011.10.29 -

TheHacker 6.7.0.1.335 2011.10.28 -

TrendMicro 9.500.0.1008 2011.10.29 -

TrendMicro-HouseCall 9.500.0.1008 2011.10.29 -

VBA32 3.12.16.4 2011.10.25 -

VIPRE 10910 2011.10.29 -

ViRobot 2011.10.29.4745 2011.10.29 -

VirusBuster 14.1.37.0 2011.10.29 -

 

Additional information

MD5 : 2c353b6ce0c8d03225caa2af33b68d79

SHA1 : 785d332f0239071eabf74f1d1e2106f78b99a42a

SHA256: 64b9ca5efcc278941f9ccf2ab4cdd79866358d8c0cf1cc5f956e5eea21accade

 

Czy mam załączyć wszystkie cztery wyniki takiego skanowania ?

 

 

 

Wszystkie pozostałe punkty wykonałem zgodnie z Twoimi poleceniami. W załącznikach przedstawiam logi po tych operacjach. Mam nadzieję, że już teraz będzie wszystko wyczyszczone.

 

Mam do Ciebie pytanie jaki polecasz zainstalować program antywirusowy ? Na chwilę obecną nie mam żadnego zainstalowanego, a po tym wszystkim jak już mi pomożesz to chciałbym zainstalować jakiś polecany przez Ciebie program antywir.

OTL.Txt

wynik_usuwania_skrpyt.txt

Odnośnik do komentarza

1. Przez nieuwagę ominęłam te dwa folderki, dokasuj je ręcznie:

 

[2011-10-08 19:41:20 | 000,000,000 | ---D | C] -- C:\Users\Prezes\AppData\Local\Babylon

[2011-10-08 19:41:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Babylon

 

2. Odinstaluj w prawidłowy sposób ComboFix, co usunie jego kwarantannę i składniki plus wyczyści foldery Przywracania systemu. Z klawiatury wywołaj kombinację klawisz z flagą Windows + R i w Uruchom wklejając:

 

C:\Users\Prezes\Desktop\ComboFix.exe /uninstall

 

Po ukończeniu tej akcji uruchom Sprzątanie w OTL, co z kolei zlikwiduje kwarantannę OTL i program.

 

3. Wykonaj pełne skanowanie za pomocą Kaspersky Virus Removal Tool. W konfiguracji skanera ustaw skanowanie wszystkich obszarów. Jeśli zostaną znalezione jakieś zagrożenia, przeklej z raportu. Nie pokazuj wyników typu OK/Archive/Packed/Password protected

 

 

Wszystkie cztery pliki skopiowałem na pulpit odwiedziłem stronę virustotal.com dodałem pierwszy z plików, nacisnąłem przycisk reanalyse i dostałem takie coś jako wynik

 

Pomimo tego, że VirusTotal nie widzi nic w tym plikach, one i tak zdają się być nieprawidłowe. Oto jak te pliki powinny wyglądać na systemie Windows 7 SP1 x64:

 

[2010-11-20 13:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\SysWOW64\user32.dll

[2010-11-20 13:08:57 | 000,833,024 | ---- | M] (Microsoft Corporation) MD5=5E0DB2D8B2750543CD2EBB9EA8E6CDD3 -- C:\Windows\winsxs\wow64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_35b31c02b85ccb6e\user32.dll

[2010-11-20 14:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\SysNative\user32.dll

[2010-11-20 14:27:27 | 001,008,128 | ---- | M] (Microsoft Corporation) MD5=FE70103391A64039A921DBFFF9C7AB1B -- C:\Windows\winsxs\amd64_microsoft-windows-user32_31bf3856ad364e35_6.1.7601.17514_none_2b5e71b083fc0973\user32.dll

 

 

U Ciebie identyczne sumy kontrolne co u mnie mają tylko pliki w WinSxS, ale nie w system32 i SysWOW64, a te pary powinny być zgodne. Uruchom komendę sfc /scannow i stwórz log filtrując CBS.LOG do wystąpień znaczników [sR]: KLIK.

 

 

Mam do Ciebie pytanie jaki polecasz zainstalować program antywirusowy ? Na chwilę obecną nie mam żadnego zainstalowanego, a po tym wszystkim jak już mi pomożesz to chciałbym zainstalować jakiś polecany przez Ciebie program antywir.

 

O tym pogadamy na szarym końcu. Tu jeszcze są do wykonania różne akcje czyszczące.

 

 

.

Odnośnik do komentarza

Ad1. Wykasowałem oba katalogi ręcznie

Ad2. ComboFix odinstalowany. Dostałem komunikat, że odinstalowano pomyślnie.

Ad3. Uruchomiłem sprzątanie w programie OTL. Nastąpił restart kompa, ale żaden komunikat już się nie pojawił. Zakładam, że tak miało być i że ten punkt został wykonany.

Ad4. Ściągnałem Kaspersky Virus Removal Tool. Uruchomilem go i po jakimś czasie pracy dostałem informację, że znalazł zagrożenie, które zidentyfikował jako Backdoor Trojan ZeroAccess (piszę z pamięci). Zapytał co ma z tym zrobić - usunąć czy pominąć. Wybrałem pominąć i dalej skanował komputer. Odszedłem od kompa i wróciłem gdzieś za godzinkę program niby pracował, ale jak kliknąłem okno programu to nagle dostałem informację, że program nie odpowiadam. Zdecydowałem więc aby zakończyć pracę programu i zapuścić skan od nowa. Sytuacja się powtórzyła - tzn znalazł pierwszy podejrzany plik, który zidentyfikował jako Trojan ZeroAccess, dałem pomiń i skanował dalej i znów program po pewnym czasie przestał odpowiadać. W związku z tym mam pytanie czy jak się pojawia ten podejrzany plik identyfikowany jako Trojan ZeroAcces to czy mogę go od razu usunąć ? Chyba w raporcie końcowym powinna się pojawić informacja pełna o usuniętym przeze mnie pliku. Ale wolę zapytać zanim popełnię jakiś błąd.

 

Ad5. Dalsze Twoje polecenia wykonam jak uporam się z tym problem podczas skanowania dysków.

Odnośnik do komentarza
Ad4. Ściągnałem Kaspersky Virus Removal Tool. Uruchomilem go i po jakimś czasie pracy dostałem informację, że znalazł zagrożenie, które zidentyfikował jako Backdoor Trojan ZeroAccess (piszę z pamięci). Zapytał co ma z tym zrobić - usunąć czy pominąć. Wybrałem pominąć i dalej skanował komputer. Odszedłem od kompa i wróciłem gdzieś za godzinkę program niby pracował, ale jak kliknąłem okno programu to nagle dostałem informację, że program nie odpowiadam. Zdecydowałem więc aby zakończyć pracę programu i zapuścić skan od nowa. Sytuacja się powtórzyła - tzn znalazł pierwszy podejrzany plik, który zidentyfikował jako Trojan ZeroAccess, dałem pomiń i skanował dalej i znów program po pewnym czasie przestał odpowiadać. W związku z tym mam pytanie czy jak się pojawia ten podejrzany plik identyfikowany jako Trojan ZeroAcces to czy mogę go od razu usunąć ? Chyba w raporcie końcowym powinna się pojawić informacja pełna o usuniętym przeze mnie pliku. Ale wolę zapytać zanim popełnię jakiś błąd.

 

Ale ja nie wiem w jakim pliku jest widziane to zagrożenie i na ślepo nie mogę zalecić usuwania. Czy na komunikacie były konkretne dane typu nazwa i ścieżka dostępu do pliku?

 

 

 

.

Odnośnik do komentarza

Ale ja nie wiem w jakim pliku jest widziane to zagrożenie i na ślepo nie mogę zalecić usuwania. Czy na komunikacie były konkretne dane typu nazwa i ścieżka dosstępu do pliku?

 

Tak myślałem, że mi odpowiesz, więc właśnie zapuściłem po raz trzeci skanowanie całego komputera i jak Kaspersky znajdzie ten plik to podam Ci pełną nazwę tego zawirusowanego pliku. Nie zapisałem dokładnie nazwy pliku ani nazwy wirusa, bo myślałem, że Kaspersky ukończy skanowanie i przekleję wszystko z raportu.

Odnośnik do komentarza

Witam Picasso.

 

Podczas skanowania komputera Kaspersky natrafia na takiego wirusa:

 

Backdoor.Win32.ZAccess.apb w takiej lokalizacji C:\Windows\assembly\GAC_32\Desktop.ini

 

Jak próbuje otworzyć ten plik to mam komunikat "Odmowa dostępu"

 

W związku z tym czym mam usunąć tego wirusa poprzez Kaspersky-ego ? Obecnie wybieram opcję skip.

 

 

Ponadto dzisiaj jak włożyłem PEN DRIVE'a to jak ukryte pliki miałem autorun.inf oraz dwa wirusy.

 

http://imageshack.us/f/829/wirusy.png/

 

Zaznaczyłem je i klinałem przycisk Delete i je usunęło. Zainstalowałem też PANDA USB VACCINATE i zrobiłem "vacinate computer" oraz "vacinate pendrive"

 

 

 

 

Jest jeszcze jedna sprawa. Otóż po włączeniu komputera zaczął się pojawiać taki oto komunikat:

http://imageshack.us...ykomunikat.png/

 

Wcześniej go nie było. Zaczął się pojawiać od chwili kiedy po którejś nieudanej próbie skanowania systemu Kasperskym musiałem zresetować kompa bo system się zawiesił.

 

 

Zauważyłem też plik dektop.ini na pulpicie, a w nim jest takie coś:

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769

IconResource=%SystemRoot%\system32\imageres.dll,-183

 

Kaspersky w końcu ukończył całkowicie skanowanie. Oto wyniki:

http://imageshack.us/f/812/wirusyraport.png/

Odnośnik do komentarza
Podczas skanowania komputera Kaspersky natrafia na takiego wirusa:

 

Backdoor.Win32.ZAccess.apb w takiej lokalizacji C:\Windows\assembly\GAC_32\Desktop.ini

 

Jak próbuje otworzyć ten plik to mam komunikat "Odmowa dostępu"

 

W związku z tym czym mam usunąć tego wirusa poprzez Kaspersky-ego ? Obecnie wybieram opcję skip.

 

Owszem, to plik po ZeroAccess, ale to już mięta. Uruchom jako Administrator GrantPerms x64. W oknie wklej:

 

C:\Windows\assembly\GAC_32\Desktop.ini

 

Zastosuj opcję Unlock. Spróbuj plik ręcznie skasować.

 

 

Jest jeszcze jedna sprawa. Otóż po włączeniu komputera zaczął się pojawiać taki oto komunikat:

 

A czy to przypadkiem nie jest po Kasperskym? Sprawdź w menu Autostart czy jest jakiś skrót prowadzący do takiego pliku.

 

 

Zauważyłem też plik dektop.ini na pulpicie, a w nim jest takie coś:

 

[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769

IconResource=%SystemRoot%\system32\imageres.dll,-183

 

Wszystko jak najbardziej w porządku. Widzisz ten plik teraz, bo skany OTL przestawiły widzialność plików systemowych. Cytuję z innego tematu:

 

Pliki desktop.ini odpowiadają za specjalne cechy folderów takie jak: spolonizowana nazwa czy określona ikona. Przykład: na Vista i 7 z polskim pakietem językowym wyświetla się nazwa katalogu C:\Użytkownicy. To właśnie sprawka desktop.ini, który wyświetla nazwę polską "na wierzchu", mimo że prawdziwą nazwą "spodnią" jest angielska C:\Users (i ta nazwa działa w systemie polskim). Skasowanie takiego pliku powoduje utratę tych cech.

 

desktopini.png

 

Na Pulpicie Vista i 7 są zawsze dwa pliki desktop.ini, gdyż Pulpit widziany oczami to wirtualna przestrzeń składająca wspólnie w istocie widok dwóch rzeczywistych folderów Pulpitu zlokalizowanych na dysku twardym:

 

C:\Users\Konto użytkownika\Desktop

C:\Users\Public\Desktop

 

Domyślnie wszystkie pliki desktop.ini mają atrybuty HS (ukryty systemowy) i są usunięte z widoku. Tym zachowaniem steruje się przy udziale opcji w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukryj chronione pliki systemu operacyjnego. Ujrzałeś nagle te pliki, bo uruchomiłeś OTL, który wpływa na rekonfigurację ustawień Widoku. Opcje wracają na miejsce, gdy w OTL użyje się funkcji Sprzątanie (stosowana tylko wtedy, gdy w OTL przepuszczano skrypt usuwający i jest po prostu co "sprzątać" = kwarantanna OTL). Lub, jak mówię, samemu sobie zmienić w opcjach.

 

 

.

Odnośnik do komentarza

1. Plik usunięty ręcznie pomyślnie.

2. Przeprowadziłem skanowanie i wszystkie pliki zostały naprawione pomyślnie. Log ze znacznikiem [sR] w załączniku.

3. Te pliki były w autostarcie, więc je usunąłem z autostartu.

 

Widok ukrytych plików ustawiłem ręcznie ponieważ chciałem sprawdzić pendrive'a czy nie ma na nim ukrytych plików. :)

 

Czekam na dalsze instrukcje...

sfc.txt

Odnośnik do komentarza

Tu już w porządku. Wygląda na to, że infekcja wyleczona, zaś punktowane wcześniej pliki zostały naprawione. Wykonaj finalizację tematu:

 

1. Zmień hasła logowania w serwisach, obecność ZeroAccess tworzy niepewny grunt.

 

2. Zainstaluj oprogramowanie ochronne:

 

Mam do Ciebie pytanie jaki polecasz zainstalować program antywirusowy ? Na chwilę obecną nie mam żadnego zainstalowanego, a po tym wszystkim jak już mi pomożesz to chciałbym zainstalować jakiś polecany przez Ciebie program antywir.

 

Piastuję przekonanie, że dowolny antywirus dobrany z wiodących marek spełnia swoje zadanie na tyle na ile może, pewnych faktów (strona użytkownika) nie przeskoczy, a próby uznania wyższości jednego nad drugim to Don Kichoteria. Dylematem jest też na ile budować "fortecę", której się nie potrafi obsłużyć. Pytasz o darmowy czy komercyjny? Z darmowych mogę zaproponować: Avast (wielopłaszczyznowy rezydent), COMODO Internet Security (cały pakiet z HIPS), Panda Cloud Antivirus (lekkie rozwiązanie w odmiennej technice chmury), a nawet Microsoft Security Essentials (bardzo skromny, ale nie taki zły, a z moich niedawnych testów wynika, że całkiem dobrze wychwytywał droppery ZeroAccess).

 

Ponadto, przeglądnij sobie dział "Oprogramowanie zabezpieczające", są tam różne testy i dyskusje.

 

3. Wykonaj drobne aktualizacje następującego oprogramowania:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.0)

"{F1CECE09-7CBE-4E98-B435-DA87CDA86167}" = Skype™ 5.3

"Gadu-Gadu 10" = Gadu-Gadu 10

"Mozilla Thunderbird (3.1.10)" = Mozilla Thunderbird (3.1.10)

 

A dodatkowo jeszcze możesz rozważyć wymianę ciężkiego reklamodawczego potwora GG10 alternatywą z obsługą sieci Gadu. Wertuj temat Darmowe komunikatory. Propozycją z mojej strony jest WTW, dobrze dopasowany do Windows x64.

 

 

.

Odnośnik do komentarza

Dostosuj się do komunikatu i wyłącz w konfiguracji Thunderbird SSL/TLS, a takową obsługę zaktywuj w osłonie Avast. Baza wiedzy Avast: KLIK.

 

Poprawiłem to. Pytanie czy mam wyłączyć w konfiguracji Thunderbird SSL/TLS dla poczty wychodzącej również?

 

Z linka "Baza wiedzy Avast", który podesłałaś nie wynika aby wyłączyć SSL/TLS dla serwerów poczty wychodzącej, więc wolę się upewnić.

Odnośnik do komentarza
Pytanie czy mam wyłączyć w konfiguracji Thunderbird SSL/TLS dla poczty wychodzącej również?

 

Z linka "Baza wiedzy Avast", który podesłałaś nie wynika aby wyłączyć SSL/TLS dla serwerów poczty wychodzącej, więc wolę się upewnić.

 

Wynika. :P Patrz na ostatni obrazek w artykule technicznym. Są podkreślone dwie opcje: incoming i outgoing.

 

 

 

 

.

Odnośnik do komentarza
  • 6 miesięcy temu...

Witam,

wczoraj puściłem pełne skanowanie komputera programem Avast. Avast wykryl dwa wirusy (w załączniku zrzut ekranu). Jeden został przeniesiony do kwarantanny natomiast drugi (sirefef-PL) odmawia dostępu do pliku który jest zainfekowany.

 

Ciekawą sprawą jest to, że avast w trybie szybkiego skanowania nie znalazł ani jednego wirusa. Dopiero tryb pełnego skanowania ujawnił dwa zainfekowane pliki.

 

W załącznikach logi z OTL. Mam win7 x64.

 

Z góry dziękuję za pomoc.

 

Results of screen317's Security Check version 0.99.38

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 8 Out of date!

``````````````````````````````

Antivirus/Firewall Check:

avast! Antivirus

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

SEO SpyGlass

Java™ 6 Update 29

Java version out of date!

Adobe Reader X (10.1.1)

Mozilla Firefox (12.0)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Prezes AppData Roaming PLAY ONLINE\ouc.exe

system32 AvastSvc.exe -?-

AVAST Software Avast AvastUI.exe

``````````End of Log````````````

Extras.Txt

OTL.Txt

post-1046-0-26808600-1337942651_thumb.jpg

Edytowane przez picasso
Temat doklejam do poprzedniego //picasso
Odnośnik do komentarza
Ciekawą sprawą jest to, że avast w trybie szybkiego skanowania nie znalazł ani jednego wirusa. Dopiero tryb pełnego skanowania ujawnił dwa zainfekowane pliki.

 

Sam mówisz wyraźnie: pełne skanowanie.

 

deredas, ów Sirefef to znany Ci "kolega", wystąpił pod pseudominem ZeroAccess w znacznie wcześniejszym Twoim temacie: KLIK. I moim zdaniem to co znalazł Avast to jest stara niedoczyszczona i już nieszkodliwa bezpośrednio mini resztka z tamtej historii, gdyż:

- w aktualnych logach nie ma oznak, by ZeroAccess był czynny (brak naruszenia Winsock, brak modyfikacji w SubSystems)

- ComboFix w tamtym podejściu nie usuwał w ogóle plików desktop.ini od ZeroAccess

- na końcu dopiero Kaspersky Virus Removal Tool się obudził, ale namierzył desktop.ini w GAC_32. Tu jest taki plik w GAC_64.

 

Tematy chyba skleję, bo jest to niejako kontynuacja tamtego wątku.

 

1. Uruchom GrantPerms x64, w oknie wklej:

 

C:\Windows\assembly\GAC_64\Desktop.ini

 

Klik w Unlock.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\Windows\assembly\GAC_64\Desktop.ini

C:\Program Files (x86)\Dxadwpcuoccer

 

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}]

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]

 

:Commands

[emptytemp]

 

Klik w Wykonaj skrypt.

 

3. Wystarczy do oceny tylko log z usuwania, nie ma potrzeby tworzenia nowych logów z OTL. Za to na wszelki wypadek podaj mi jeszcze dirowanie z Assembly. Uruchom cmd jako Administrator i wklej polecenie:

 

DIR /S /A C:\Windows\assembly\tmp > C:\LOG.TXT

 

 

 

 

.

Odnośnik do komentarza

Zadanie zostało wykonane. Pozostały jeszcze mini szczątki w Assembly.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\assembly\tmp\loader.tlb
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}

 

Klik w Wykonaj skrypt. Gdy ukończy, zastosuj Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Do nadrobienia aktualizacje: KLIK. Z Twojej listy zainstalowanych:

 

Internet Explorer (Version = 8.0.7601.17514)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216026FF}" = Java™ 6 Update 29

"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.1)

"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.8

"FileZilla Client" = FileZilla Client 3.5.0

"Mozilla Thunderbird (7.0.1)" = Mozilla Thunderbird (7.0.1)

 

I to tyle z mojej strony.

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...