Okna z adresem mediashifting.com oraz nieusuwalny katalog spkpod

[Tomus]

Witam,

mam Windows 7 64 bit. Od paru dni w przegladarce wyskakuje okno z adresem: mediashifting.com/?search=deals+gap+tail+of+the+dragon&subi.

Zauważyłem też, że pojawił się katalog C:\Users\Zosia\spkpod, który zajmuje dużo miejsca i nie da się go skasować.

W lokalizacji C:\Users\Zosia pojawiają się też inne pliki nawet po skasowaniu, np. 2quh.exe, calc.exe.

 

Results of screen317's Security Check version 0.99.30

Windows 7 x64 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

avast! Free Antivirus

Security Update for A Microsoft .NET-keretrendszer 4-es verziójához tartozó ügyfélprofil HUN nyelvi csomagja (KB2478663)

Security Update for A Microsoft .NET-keretrendszer 4-es verziójához tartozó ügyfélprofil HUN nyelvi csomagja (KB2518870)

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 22

Java version out of date!

Adobe Flash Player 11.1.102.55

Adobe Reader X (10.1.2)

Mozilla Firefox (9.0.1)

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast AvastUI.exe

``````````End of Log````````````

 

Proszę o instrukcje.

Extras.Txt

OTL.Txt

[picasso]

Przekierowania mediashifting to infekcja ZeroAccess. Podaj skan potwierdzający obecność biblioteki ZeroAccess oraz weryfikujący formę usług Windows (OTL nie potrafi odczytać sekcji Dziennika zdarzeń).

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
c:\Windows\system32\consrv.dll /64
C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
dir /s /a C:\Windows\assembly\tmp /C

 

Klik w Skanuj (nie Wykonaj skrypt!).

 

2. Uruchom Farbar Service Scanner, zaznacz wszystkie sekcje do skanowania i klik w Scan.

 

Przedstaw logi.

 

 

.

[Tomus]

Proszę.

OTL.Txt

FSS.txt

[picasso]

Infekcja ZeroAccess tu była, ale została czymś przetrzebiona (nie ma już ani biblioteki, ani jej zapisu w rejestrze). Natomiast są skasowane trzy usługi Windows: Centrum zabezpieczeń + Zapora systemu Windows + Podstawowy aparat filtrowania. Odtwarzanie usług potem. W pierwszej kolejności należy usunąć składniki czynnej infekcji.

 

Pobierz i uruchom zgodnie ze wskazówkami ComboFix i przedstaw wynikowy raport.

 

 

 

 

.

[Tomus]

Proszę.

ComboFix.txt

[picasso]

ComboFix zajął się szczątkami po ZeroAccess, innymi obiektami oraz folderem spkpod. Jednakże to nie koniec zmagań.

 

1. Otwórz Notatnik i wklej w nim:

 

Folder::
c:\users\Zosia\AppData\Roaming\xbumwizlsllzuukhljbkdlpyo1tzqhqz2
c:\users\Zosia\AppData\Roaming\xolq1ykwn2fsnywoxtvckujcfdm2su2u2
c:\users\Zosia\AppData\Roaming\xqobbvkuyvpxrmcb1zszssaysfjpxkdv2
c:\users\Zosia\AppData\Roaming\LimeRunner
c:\users\Zosia\AppData\Local\AresXZ
c:\users\Zosia\AppData\Local\3f328ee8
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Init"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"

 

Plik zapisz pod nazwą CFScript.txt. Przeciągnij go i upuść na ikonę ComboFixa.

 

 

2. Przedstaw: wynikowy log z pracy ComboFix, nowy log z OTL zrobiony opcją Skanuj oraz log z Kaspersky TDSSKiller (jeśli cokolwiek wykryje, omiń opcją Skip).

 

 

 

.

[Tomus]

Proszę kolejne logi.

ComboFix.txt

OTL.Txt

tdsskiller.txt

[picasso]

Log z ComboFix jest urwany, ale OK, widzę co mam widzieć. Z raportów wynika, że wszystko co było widzialne w nich zostało usunięte. Przechodzimy dalej:

 

1. Drobna poprawka na odpadki (w tym szczątki McAfee w konfiguracji przeglądarek). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
O2 - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found.
[2011-04-14 14:01:38 | 000,024,376 | ---- | M] (McAfee, Inc.) -- C:\Program Files (x86)\mozilla firefox\components\Scriptff.dll
[2012-01-08 12:18:27 | 000,000,000 | ---D | M] (WinZipBar Community Toolbar) -- C:\Users\Zosia\AppData\Roaming\mozilla\Firefox\Profiles\6lexjgpw.default\extensions\{50fafaf0-70a9-419d-a109-fa4b4ffd4e37}
[2012-01-23 23:43:32 | 000,000,000 | ---D | C] -- C:\Users\Zosia\AppData\Local\Eraser 6

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany.

 

2. Prawidłowa deinstalacja ComboFix. Klawisz z flagą Windows + R i w Uruchom wklej polecenie:

 

C:\Users\Zosia\Desktop\ComboFix.exe /uninstall

 

Po ukończeniu deinstalacji zastosuj funkcję Sprzątanie w OTL.

 

3. Wykonaj pełne skanowanie systemu za pomocą Kaspersky Virus Removal Tool. Przedstaw raport z wykrytymi zagrożeniami o ile takowe będą.

 

Gdy potwierdzę czystość systemu, przejdę do odtwarzania skasowanych usług Windows.

 

 

 

.

[Tomus]

Brak wykrytych zagrożeń.

[picasso]

Kasperskiego możesz odinstalować, deinstalacja wykonuje się poprzez zamknięcie okna programu. Przechodzimy do naprawy usług:

 

1. Rekonstrukcja usługi Centrum zabezpieczeń systemu Windows: KLIK.

 

2. Rekonstrukcja usług Podstawowy aparat filtrowania + Zapora systemu Windows: KLIK.

 

3. Restart systemu. Stwórz nowy log z Farbar Service Scanner.

 

 

 

.

[Tomus]

Wszystkie punkty wykonane.

Log z FSS.

FSS.txt

[picasso]

Log poświadcza poprawne wykonanie zadań. Aczkolwiek usługa Centrum nie ma statusu "Uruchomiona", czy to premedytacja, czy po odbudowie usługi zresetowałeś system?

 

1. Do aktualizacji następujące programy:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F86416022FF}" = Java™ 6 Update 22 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{E5D03B2E-B2D4-477F-A60D-8E1969D821FA}" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

 

Dla podkreślenia: Java 32-bit i 64-bit oraz 32-bitowy Adobe Flash dla Internet Explorer. Szczegóły aktualizacyjne: INSTRUKCJE

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Dla bezpieczeństwa wymiana haseł logowania w serwisach.

 

 

Sprawdź czy wszystko działa i podsumuj kondycję systemu.

 

 

.

[Tomus]

Wszystko wykonane zgodnie z instrukcją.

Nie wiem o co chodzi z:

"Aczkolwiek usługa Centrum nie ma statusu "Uruchomiona", czy to premedytacja, czy po odbudowie usługi zresetowałeś system?"

 

Nie widzę komunikatu "Usługa Centrum zabezpieczeń systemu Windows jest wyłączona", opisanego w poradniku "Rekonstrukcja Centrum zabezpieczeń systemu Windows".

 

W załączeniu jeszcze raz log z FSS.

FSS.txt

[picasso]

Poprzednio w logu Farbar Service Scanner stało:

 

Security Center:
============
wscsvc Service is not running. Checking service configuration:
The start type of wscsvc service is OK.
The ImagePath of wscsvc service is OK.
The ServiceDll of wscsvc service is OK.

 

Usługa nie była uruchomiona, mimo poprawnych jej parametrów po odbudowaniu (stąd pytanie czy nie zatrzymałeś jej z rozmysłem). Aktualny log jednakże nie pokazuje już tego. Możliwe, że po naprawie usługi nie zresetowałeś systemu, stąd usługa nie od razu weszła w stan "Uruchomiona".

 

Rozumiem, że problemów już nie ma i temat jest ukończony?

 

 

 

.

[Tomus]

Wszystko w porządku. Dziękuję bardzo.