ihasel Opublikowano 5 Lutego 2012 Zgłoś Udostępnij Opublikowano 5 Lutego 2012 Witam, posiadam Microsoft Windows XP Professional 32. Gdy wpisuję adres w pasek adresu strona się otwiera, ale z wyszukiwarki przekierowuje mnie na strony abnow.com. Komputer wyraźnie również zwolnił, a czas otwierania stron zwiększył się wielokrotnie. Próbowałam się ratować różnymi programami: Anti-malware, Super anti-spyware, spyware doctor, a także tdsskiller. Bardzo proszę o pomoc. Nie wiem co źle zrobiłam, ale OTL po skanowaniu utworzył tylko jeden plik otl.txt, nie powstał natomiast plik extras.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Nie wiem co źle zrobiłam, ale OTL po skanowaniu utworzył tylko jeden plik otl.txt, nie powstał natomiast plik extras.txt OTL uruchomiony więcej niż raz przestawia opcję "Rejestr - skan dodatkowy" na "Brak", a powinno być "Użyj filtrowania", by Extras został utworzony. Definitywnie jest tu rootkit ZeroAccess. Wg GMER bieżącym zainfekowanym sterownikiem jest systemowy afd.sys. Wstępnie spróbuj uruchomić z poziomu Trybu awaryjnego Windows ComboFix. Przedstaw raport wynikowy z jego działań. Jeżeli program natknie się na trudności, zostaną przedsięwzięte inne kroki czyszczące. . Odnośnik do komentarza
ihasel Opublikowano 6 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Załączam raport z ComboFixa oraz brakujące extras.txt (wykonane przed włączeniem ComboFixa). Extras.Txt ComboFix.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2012 Zgłoś Udostępnij Opublikowano 6 Lutego 2012 Log z ComboFix jest urwany przy końcu. W raporcie widać, że się wcześniej sporo działo (odświeżenie plików sugeruje te wspominane nieudane akcje w TDSSKiller): 2012-02-05 16:22:24 . 2008-07-23 17:05:34 58880 ----a-w- C:\WINDOWS\system32\drivers\redbook.sys2012-02-05 14:31:08 . 2008-04-14 00:10:48 62976 ----a-w- C:\WINDOWS\system32\drivers\cdrom.sys2012-02-05 14:19:40 . 2008-07-23 13:00:09 75264 ----a-w- C:\WINDOWS\system32\drivers\ipsec.sys2012-02-05 14:19:40 . 2008-04-14 21:24:40 188544 ----a-w- C:\WINDOWS\system32\drivers\acpi.sys ComboFix znokautował ZeroAccess, ale mamy tu jeszcze pracę przed sobą... 1. Naprawa wartości NetSvcs. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\ 00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,6e,00,\ 61,00,70,00,61,00,67,00,65,00,6e,00,74,00,00,00,68,00,6b,00,6d,00,73,00,76,\ 00,63,00,00,00,42,00,49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,\ 65,00,72,00,76,00,00,00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,\ 00,74,00,65,00,63,00,74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,\ 73,00,76,00,63,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,\ 00,00,00 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files netsh firewall reset /C C:\Documents and Settings\Administrator\Dane aplikacji\mediabarbs C:\Documents and Settings\Administrator\Dane aplikacji\Search Settings C:\Documents and Settings\administrator.KJR\Dane aplikacji\mediabarbs C:\Documents and Settings\administrator.KJR\Dane aplikacji\Search Settings C:\Documents and Settings\adminst\Dane aplikacji\mediabarbs C:\Documents and Settings\Goldenstein\Dane aplikacji\bsbandmltbpi C:\Documents and Settings\Goldenstein\Dane aplikacji\mediabarbs C:\Documents and Settings\Goldenstein\Dane aplikacji\pdfforge C:\Documents and Settings\Goldenstein\Dane aplikacji\Search Settings C:\Documents and Settings\nowak\Dane aplikacji\bsbandmltbpi C:\WINDOWS\tasks\BearShareNAG.job C:\WINDOWS\System32\dds_log_trash.cmd :Services hcdxbcgz :Commands [emptytemp] Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Odinstaluj sterowniki-odpadki po Microsoft Security Essentials: Start > Uruchom > devmgmt.msc, w menu Widok włącz pokazywanie ukrytych urządzeń i w sekcji "Sterowniki niezgodne z Plug and Play" odinstaluj wszystkie wpisy o modelu nazwy MpKslosowy_ciąg (dla przykładu: MpKsl429c280f). 4. Odinstaluj nadwyżkę programów skanujących: STOPZilla (program wątpliwej reputacji), IObit Malware Fighter, Spyware Doctor 8.0, SUPERAntiSpyware. 5. Wygeneruj nowy log z OTL opcją Skanuj (Extras po raz drugi już nie potrzebuję). Dołącz log z wynikami usuwania z punktu 2. Ponadto, otwórz w Notatniku plik C:\WINDOWS\system32\BGISETw7.cmd i przeklej co w nim jest. . Odnośnik do komentarza
ihasel Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Załączam oba logi. W pliku BGISETw7.cmd jest: @echo off %systemroot%\system32\bginfo.exe %systemroot%\system32\BGISETw7.bgi /timer:0 /NOLICPROMPT /SILENT OTL.Txt 02072012_175359.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2012 Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Ten plik cmd nie wygląda mi na szkodliwy. Natomiast okazało się, że są rozbieżności między logiem z ComboFix a OTL, OTL nadal widzi te same wpisy "not found", których ComboFix nie notował (no chyba, że coś je przywróciło). Poprawka: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - File not found [Auto | Stopped] -- -- (timounter) SRV - File not found [Auto | Stopped] -- -- (fuj02b1) SRV - File not found [Auto | Stopped] -- -- (DatevPrintService) SRV - File not found [Auto | Stopped] -- -- (backupexecnamingservice) SRV - File not found [Auto | Stopped] -- -- (ashampoodefragservice) SRV - File not found [Auto | Stopped] -- -- (ahcix86s) IE - HKU\S-1-5-21-748502159-2205046973-200165670-1167\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - Reg Error: Value error. File not found O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - Reg Error: Value error. File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O20 - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - File not found O20 - Winlogon\Notify\TPSvc: DllName - (TPSvc.dll) - File not found O37 - HKU\S-1-5-21-748502159-2205046973-200165670-1167\...exe [@ = exefile] -- Reg Error: Key error. File not found Klik w Wykonaj skrypt. 2. Przedstaw nowy log z OTL z opcji Skanuj (bez Extras) oraz log z AD-Remover z opcji Scan. . Odnośnik do komentarza
ihasel Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Przesyłam log z OTL i log z AD-Remover. Nie robiłam niczego poza włączeniem strony fixitpc oraz wykonania podanych czynności. Ad-Report-SCAN1.txt OTLnowy.Txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2012 Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Nie miałam na myśli, że samodzielnie "przywróciłaś" wpisy. Kolejna porcja zadań do wykonania: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{2ACF56E2-56F1-11D0-9C43-00A0C90F29FC}] [-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{FED621D1-59B0-11D0-9C47-00A0C90F29FC}] [-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2417076] [-HKEY_CURRENT_USER\Software\pdfforge] Klik w Wykonaj skrypt. 2 Odinstaluj w prawidłowy sposób ComboFix, co także wyczyści foldery Przywracania systemu. W Start > Uruchom > wklej komendę: "C:\Documents and Settings\nowak\Pulpit\ComboFix.exe" /uninstall Po tym możesz użyć Sprzątanie w OTL, co zlikwiduje z dysku OTL wraz z jego kwarantanną i TDSSKiller. Nie jestem jednak pewna czy zostanie skasowany też folder C:\TDSSKiller_Quarantine. 3. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. W konfiguracji zaznacz wszystkie obszary do skanowania. Zgłoś się z wynikami, przedstaw raport ewentualnych wykryć (o ile będą). . Odnośnik do komentarza
ihasel Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Chciałam tylko zaznaczyć, że niczego nie "modziłam" sama Folder C:\TDSSKiller_Quarantine nie został skasowany, więc usunęłam go ręcznie. Kaspersky bardzo długo pracował, ale nie wykazał niczego. Chciałam zamieścić raport z jego działań, ale jest zbyt duży i nie mogę go dołączyć. Załączam zatem tylko log powstały po działaniu skryptu z punktu 1. Czy powinnam coś jeszcze zamieścić? 02072012_195040.txt Odnośnik do komentarza
picasso Opublikowano 7 Lutego 2012 Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Skrypt pomyślnie wykonany, ale nie spodziewałam się tu kłopotów. Kaspersky bardzo długo pracował, ale nie wykazał niczego. Chciałam zamieścić raport z jego działań, ale jest zbyt duży i nie mogę go dołączyć. Interesowały mnie tylko wyniki typu zagrożenie / infekcja. Skoro aplikacja nic nie wykryła, raport całościowy nie jest mi potrzebny. Kasperskiego możesz już odinstalować, a stanie się to poprzez zamknięcie jego okna. Na koniec: 1. Wykonaj aktualizacje oprogramowania: INSTRUKCJE. Na Twojej liście zainstalowanych widzę m.in. wersje: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{3248F0A8-6813-11D6-A77B-00B0D0160060}" = Java 6 Update 6"{AC76BA86-7AD7-1045-7B44-AA0000000001}" = Adobe Reader X - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Mozilla Firefox 7.0.1 (x86 en-US)" = Mozilla Firefox 7.0.1 (x86 en-US) 2. Dla bezpieczeństwa zmień hasła logowania w serwisach. Podsumuj stan systemu, czy wszystko działa prawidłowo. . Odnośnik do komentarza
ihasel Opublikowano 7 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 7 Lutego 2012 Mam kłopot - nie mogę ani niczego odinstalować (np.ad-removera - komunikat "Error writing temporary file. Make sure your temp folder is valid"), ani niczego zaktualizować (próbowałam z dodaj/usuń programy, przez przycisk zmień - wyskoczył komunikat: "Błąd 1711. Wystąpił błąd podczas zapisywania informacji instalacyjnych na dysku. Sprawdź czy jest wystarczająco dużo miejsca na dysku." o wciśnięciu anuluj (jest jeszcze ponów) wyskakuje informacja o tym, że nastąpił błąd krytyczny. Miejsce jest - ok.57,2GB ze 116GB na partycji C oraz 113GB ze 116GB na D). Nie mogę też niczego zainstalować (zapisałam instalator najnowszej wersji Firefoxa na pulpicie i po uruchomieniu ojawia się komunikat "Can not create temp folder archive"). Odnośnik do komentarza
picasso Opublikowano 8 Lutego 2012 Zgłoś Udostępnij Opublikowano 8 Lutego 2012 Wątpię, by chodziło tu o miejsce na dysku per se. Tu prędzej nasuwa się skojarzenie ze skutkami pobytu ZeroAccess, a konkretniej utrata uprawnień do katalogu, w którym jest folder "Temp". Włącz pokazywanie wszystkich plików w Mój komputer > Narzędzia > Opcje folderów > Widok: zaznacz Pokaż ukryte pliki i foldery + odptaszkuj Ukryj chronione pliki systemu operacyjnego. Powiedz mi czy jesteś w stanie wejść do folderu, czy przypadkiem nie zwraca "Odmowy dostępu": C:\Documents and Settings\nowak\Ustawienia lokalne . Odnośnik do komentarza
ihasel Opublikowano 8 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2012 Mogłam wejść do podanego folderu jednak folder "nowak" był ukryty i miał zaznaczone "tylko do odczytu". Odznaczyłam dla wszystkich podfolderów i już wszystko działa. Proszę o zamknięcie tematu i dziękuję bardzo, bardzo za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi