marteczkaw Opublikowano 11 Lutego 2012 Zgłoś Udostępnij Opublikowano 11 Lutego 2012 Witam, Tak jak w tytule, mam problem, który się nasila. Jakiś czas temu zaczęlo mnie przekierowywać z wyszukiwarki google na 1 stronę 'abnow.com' i coś tam dalej w linku. Potem do problemu doszło zablokowanie możliwości wejścia na stronę banku. Może to i dobrze w tej sytuacji. Mogę wchodzić tylko na strony www jeżeli samodzielnie wpisze adres. Reszta zostaje przekierowana. Załaczam logi z OTL. Z góry dzięki za pomoc. Poniżej wlejam log z Security Check, w załaczeniu log z OTL Results of screen317's Security Check version 0.99.24 Windows Vista x64 (UAC is enabled) Out of date service pack!! Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: Windows Security Center service is not running! This report may not be accurate! WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Java 6 Update 30 Java 6 Update 2 Out of date Java installed! Adobe Flash Player ( 10.0.32.18) Flash Player Out of Date! Mozilla Firefox (3.6.25) Firefox Out of Date! ```````````````````````````````` Process Check: objlist.exe by Laurent ``````````End of Log```````````` Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 11 Lutego 2012 Zgłoś Udostępnij Opublikowano 11 Lutego 2012 Jest tutaj infekcja rootkitem ZeroAccess. Na początek zacznij od użycia ComboFix i wklej z niego wynikowy log. Po tej czynności wykonaj ponownie nowe logi z OTL i też załącz do posta. Odnośnik do komentarza
marteczkaw Opublikowano 11 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2012 Załaczam logi, wkleić nie mogę, sa za długie. Extras.Txt OTL.Txt log combofix.txt Odnośnik do komentarza
Landuss Opublikowano 11 Lutego 2012 Zgłoś Udostępnij Opublikowano 11 Lutego 2012 ComboFix skasował komponenty infekcji, ale jeszcze trzeba zrobić poprawki i usunąć inne drobne śmieci. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files netsh winsock reset /C C:\ProgramData\Babylon C:\Users\xxx\AppData\Local\Babylon C:\Users\xxx\AppData\Roaming\Babylon C:\Users\xxx\AppData\Local\Temp*.html C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml C:\Users\xxx\AppData\Local\15q00nm178xkhuh37w5fl5o5wmo0f5nhffbc8x8x6t708 C:\ProgramData\15q00nm178xkhuh37w5fl5o5wmo0f5nhffbc8x8x6t708 C:\Users\xxx\AppData\Roaming\mozilla\Firefox\Profiles\yu5sf87b.default\extensions\ffxtlbr@babylon.com :OTL IE - HKU\S-1-5-21-1374885098-1517742590-3916620612-1000\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - No CLSID value found FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.2.0 FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=100482&babsrc=adbartrp&mntrId=a2cdfc240000000000000016ea557d16&q=" O3 - HKU\S-1-5-21-1374885098-1517742590-3916620612-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found. :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Odnośnik do komentarza
marteczkaw Opublikowano 12 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2012 Wykonane zgodnie z instrukcją, w załączeniu nowe logi OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Winsock nie zoastał odbudowany nadal i trzeba będzie to zrobić recznie. Wklej do notatnika systemowego ten tekst: Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5] "Num_Catalog_Entries"=dword:00000006 "Serial_Access_Num"=dword:00000020 "Num_Catalog_Entries64"=dword:00000006 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000001] "LibraryPath"="%SystemRoot%\\system32\\NLAapi.dll" "DisplayString"="@%SystemRoot%\\system32\\nlasvc.dll,-1000" "ProviderId"=hex:3a,24,42,66,a8,3b,a6,4a,ba,a5,2e,0b,d7,1f,dd,83 "SupportedNameSpace"=dword:0000000f "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000002] "LibraryPath"="%SystemRoot%\\System32\\mswsock.dll" "DisplayString"="@%SystemRoot%\\system32\\wshtcpip.dll,-60103" "ProviderId"=hex:40,9d,05,22,9e,7e,cf,11,ae,5a,00,aa,00,a7,11,2b "SupportedNameSpace"=dword:0000000c "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000003] "LibraryPath"="%SystemRoot%\\System32\\winrnr.dll" "DisplayString"="NTDS" "ProviderId"=hex:ee,37,26,3b,80,e5,cf,11,a5,55,00,c0,4f,d8,d4,ac "SupportedNameSpace"=dword:00000020 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000000 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000004] "LibraryPath"="%SystemRoot%\\system32\\napinsp.dll" "DisplayString"="@%SystemRoot%\\system32\\napinsp.dll,-1000" "ProviderId"=hex:a2,cb,4a,96,bc,b2,eb,40,8c,6a,a6,db,40,16,1c,ae "SupportedNameSpace"=dword:00000025 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000005] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1000" "ProviderId"=hex:ce,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000027 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64\000000000006] "LibraryPath"="%SystemRoot%\\system32\\pnrpnsp.dll" "DisplayString"="@%SystemRoot%\\system32\\pnrpnsp.dll,-1001" "ProviderId"=hex:cd,89,fe,03,6d,76,76,49,b9,c1,bb,9b,c4,2c,7b,4d "SupportedNameSpace"=dword:00000026 "Enabled"=dword:00000001 "Version"=dword:00000000 "StoresServiceClassInfo"=dword:00000001 "ProviderInfo"=hex: Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik Do pokazania dajesz nowy log z OTL (bez ekstras) Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Landuss Ale Ty odbudowujesz NameSpace, a w logu jest Protocol: O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000009 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000010 - mmswsock.dll File not found O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000011 - mmswsock.dll File not found To są dwa odrębne klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\NameSpace_Catalog5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9 marteczkaw Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator (niezbędne) > wpisz komendę netsh winsock reset Podaj co się pokazuje po jej wykonaniu. . Odnośnik do komentarza
marteczkaw Opublikowano 13 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Pokazał się komunikat: Pomyślnie zresetowano Winsock Catalog. Musisz ponownie uruchomić komputer, aby ukończyć resetowanie. Załączam zrzut ekranowy. Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2012 Zgłoś Udostępnij Opublikowano 13 Lutego 2012 Komenda wykonana pomyślnie. To teraz zresetuj komputer i zrób nowy log z OTL, a Landuss dalej poprowadzi temat. Odnośnik do komentarza
marteczkaw Opublikowano 13 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2012 W załączeniu nowe logi OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Lutego 2012 Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Wszystko pomyślnie wykonane i możemy przejść do końca. Wykonaj jeszcze to co poniżej: 1. Wciśnij z klawiatury kombinację klawisza z flagą Windows + R i w oknie wklej i wywołaj polecenie "C:\Users\xxx\Desktop\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL. 3. Zaktualizuj poniższe oprogramowanie do najnowszych wersji: "{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java 6 Update 30 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox (3.6.25)" = Mozilla Firefox (3.6.25) Szczegóły aktualizacyjne: KLIK 4. Opróżnij folder przywracania systemu: KLIK Odnośnik do komentarza
marteczkaw Opublikowano 14 Lutego 2012 Autor Zgłoś Udostępnij Opublikowano 14 Lutego 2012 Zrobione i chyba jakby szybciej śmigał teraz:) Dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi