Przekierowanie na abnow

[martynab4]

hej,

mam problem z odpalaniem stron wyszukiwanych w google, z automatu przerzuca mnie do "abnow". W załączniku logi z OTL i GMER. Pliss o pomoc

OTL.Txt

gmer.txt

[martynab4]

Potraktowałam komputer TDSSKiller i strony odpalają się już normalnie, ale z poprzednich postów wiem że to jeszcze nie koniec. Przesyłam raz jeszcze logi z OTL i GMER

gmer.txt

Extras.Txt

OTL.Txt

[picasso]

GMER i wszystkie pozostałe narzędzia niskopoziomowe uruchomione w złych warunkach, nie odinstalowany DAEMON Tools i jego sterowniki (KLIK). Podjęte zbyt pośpieszne usuwanie, które z pewnością nie doprowadzi do finału (TDSSKiller adresuje tylko kawałek). I nie napisałaś co zrobiłaś w TDSSKiller, to istotne, doczep log pokazujący wykryte obiekty i dopisaną im akcję.

 

1. Usuń DAEMON Tools i zresetuj system.

 

2. Widzę pobrany ComboFix i nieudaną prawdopodobnie jego próbę uruchomienia. Przejdź w Tryb awaryjny Windows. Uruchom narzędzie.

 

3. Wygeneruj nowe logi: OTL + GMER. Dodaj raport z pracy ComboFix.

 

 

.

[martynab4]

DAEMON Tools odinstalowany, w załączniku raporty OTL, GMER i TDSSKiller. Z combofix jest problem, po odpaleniu go w trybie awaryjnym po kilkunastu sekundach okno sprawdzania znika, nie wyświetla się żaden raport.

Extras.Txt

OTL.Txt

TDSSKiller.2.7.19.0_08.03.2012_18.14.49_log.txt

gmer.txt

[picasso]

Te logi wyglądają "podejrzanie", w rozumieniu zbyt małej ilości skasowanych elementów ... I czy to na pewno GMER z pełnego skanowania a nie ekspresowy preskan? Elementy infekcji są jeszcze w systemie. Przechodzimy dalej:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\dds_log_trash.cmd
C:\Documents and Settings\All Users\Dane aplikacji\F4D55EFF249C038A0003C0360CDF10C2
C:\Documents and Settings\Martyna Bębas\Ustawienia lokalne\Dane aplikacji\1cf6efbe
netsh winsock reset /C
del "\\?\C:\Documents and Settings\Martyna Bębas\Pulpit\CA05URCD." /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\explorer.exe"=-
"C:\Documents and Settings\All Users\Dane aplikacji\F4D55EFF249C038A0003C0360CDF10C2\F4D55EFF249C038A0003C0360CDF10C2.exe"=-
 
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKCU..\Run: [Veujue] C:\Documents and Settings\Martyna Bębas\Dane aplikacji\Veujue.exe File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7"
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (SYMIDSCO)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (esiasdrv)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (EraserUtilRebootDrv)
DRV - [2007-05-15 09:58:30 | 000,389,432 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys -- (eeCtrl)
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

2. Wykonaj skan dostosowany w OTL. W sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\*. /RP /s

 

Klik w Skanuj (a nie Wykonaj skrypt!). Dołącz też log z wynikami usuwania z punktu 1 oraz log z Farbar Service Scanner.

 

 

 

.

[martynab4]

zgodnie ze wskazówkami uruchomiłam genetowanie skryptu w OTL, trwa to juz ponad godzinę, zniknął jedynie pasek meny windows, klepsydra po najechaniu na otl wsazuje na to że "myśli" w dolnym pasu nic się jednak nie przewija. Próbowałam juz dwa razy

[picasso]

Usuń ze skryptu to:

 

:Commands

[emptytemp]

 

Ponów próbę.

 

 

 

.

[martynab4]

w załączniku wszyskie raporty

Extras.Txt

FSS.txt

OTL.Txt

03092012_185951.txt

[picasso]

Ten skrypt to się przetwarzał kilkukrotnie, mimo zawieszeń, aktualnie dostarczony log wszędzie "not found", czyli wcześniejsze podejścia jednak coś majstrowały. Sumarycznie, co zaplanowałam do kasacji, prawie zrobione, za wyjątkiem jednego pseudo-nieistniejącego pliku na Pulpicie:

 

File not found -- C:\Documents and Settings\Martyna ....\Pulpit\CA05URCD.

 

Skan Farbar oznajmia skasowaną całkowicie z rejestru usługę Centrum zabezpieczeń. Skan dostosowany z OTL ujawnia nadal składniki ZeroAccess, konkretniej to łacze symboliczne:

 

========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\Windows\$NtUninstallKB3255$] -> Error: Cannot create file handle -> Unknown point type

 

Tylko dlaczego nie widzi tego GMER, właśnie dlatego zadawałam pytanie: "czy to na pewno GMER z pełnego skanowania a nie ekspresowy preskan?".

 

 

1. Posłuż się narzędziem Delete FXP Files do kasacji tego pliku-ducha CA05URCD. z Pulpitu.

 

2. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000002

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

3. Uruchom GrantPerms, w oknie wklej:

 

C:\Windows\$NtUninstallKB3255$

 

Klik w Unlock.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

fsutil reparsepoint delete C:\Windows\$NtUninstallKB3255$ /C

 

Klik w Wykonaj skrypt. Przedstaw log wynikowy.

 

5. Wykonaj nowy skan z OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

C:\Windows\*. /RP /s

C:\Windows|$NtUninstallKB3255$;true;true;false /FP

 

Klik w Skanuj (a nie Wykonaj skrypt!). Przedstaw log wynikowy.

 

 

 

 

.

Edytowane 17 Kwietnia 2012 przez picasso
17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso