Wszystkie wyniki wyszukiwania z Google prowadzą na stronę "abnow"

[biala]

Komputer chodzi wolno, nie zapisują się pliki pobrane, ukryte pliki nie chcą się pokazać, wszystkie wyniki wyszukiwania Google prowadzą na "abnow".

OTL.Txt

Extras.Txt

[Landuss]

Tu jest po pierwsze infekcja rootkitem ZeroAccess po drugie infekcja z urządzeń przenośnych. Zacznij od zastosowania w trybie awaryjnym ComboFix i wklej z niego wynikowy raport. Po tym działaniu wykonaj nowe logi z OTL i też zaprezentuj na forum.

[biala]

dodaje:

OTL.Txt

ComboFix.txt

[Landuss]

Sytuacja uległa znacznej poprawie tyle, że log z ComboFix pochodzi z drugiego uruchomienia narzędzia a nie z pierwszego i nie widać dokładnie przez to co wykonywał (usuwał). Teraz dalsze czynności.

 

1. ComboFix notuje brak pliku:

 

 c:\windows\system32\drivers\afd.sys . . . brak pliku!!

 

Pomijając fakt, że to jest jakiś modyfikowany XP i braków tutaj jest więcej ale moim zdaniem ten konkretny plik trzeba przywrócić. Pobierz plik afd.sys pod XP SP2 zgodnie z twoim systemem: KLIK. Plik umieść w folderze C:\Windows\system32\drivers

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
H:\autorun.inf
C:\WINDOWS\System32\dds_log_ad13.cmd
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\7ecacb86
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\q55v8efj.default\searchplugins\ask.uk.xml
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla\Firefox\Profiles\q55v8efj.default\searchplugins\BearShareWebSearch.xml
 
:Services
k750mgmt
k750bus
catchme
ASInsHelp
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
"Start"=dword:00000004
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:OTL
NetSvcs: videoacceleratorengine - File not found
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..keyword.URL: "http://www.questbrowser.com/?tmp=nemo_results_removelink&prt=QstbrsrNN&keywords="
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Powstanie log, który zachowaj.

 

3. Reset Winsock: Start > Uruchom > cmd i wpisz komendę netsh winsock reset. Zresetuj system.

 

4. Nowe logi do oceny z wynikami przetwarzania skryptu z punktu 2 oraz nowy z OTL na dodatkowym warunku. Uruchom OTL, w sekcji Własne opcje skanowania / skrypt wklej:

 

netsvcs

C:\Windows\*. /RP /s

 

Kliknij w Skanuj.

[biala]

Nie uzyskałam logu z punktu drugiego (chyba, że gdieś sie zagubił). Po wykonaniu polecenia 3 zrobiłam nowy bez dodatkowego warunku (OTL2.Txt) oraz z dodatkowym warunkiem(OTL3.Txt). Wszystko wróciło do normy bardzo dziękuje:)

OTL2.Txt

OTL3.Txt

[Landuss]

Skrypt wykonał się nie do końca a jedynie jego połowa. Powtórz skrypt o tej zawartości:

 

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc]
"Start"=dword:00000004
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc]
"Start"=dword:00000004
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
 
:OTL
NetSvcs: videoacceleratorengine - File not found
FF - prefs.js..browser.search.defaultenginename: "BearShare Web Search"
FF - prefs.js..browser.search.order.1: "BearShare Web Search"
FF - prefs.js..keyword.URL: "http://www.questbrowser.com/?tmp=nemo_results_removelink&prt=QstbrsrNN&keywords="
 
:Commands
[emptytemp]

 

Do oceny dajesz nowy log z OTL.

[biala]

po wklejeniu i kliknieciu polecenia wykonaj skrypt komputer zawiesza się a OTL się wyłącza musiałam zresetować system

[Landuss]

Spróbuj wykonać to w trybie awaryjnym.

[biala]

dodaje log po wykonanu skryptu

All processes killed

========== REGISTRY ==========

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\\"Start"|dword:00000004 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc\\"Start"|dword:00000004 /E : value set successfully!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CiSvc\\"Start"|dword:00000004 /E : value set successfully!

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}\ not found.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0B278C6F-EC6B-3477-311E-6342928C69FF}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B278C6F-EC6B-3477-311E-6342928C69FF}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}\ not found.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{afdbddaa-5d3f-42ee-b79c-185a7020515b}\ not found.

========== OTL ==========

videoacceleratorengine removed from NetSvcs value successfully!

Prefs.js: "BearShare Web Search" removed from browser.search.defaultenginename

Prefs.js: "BearShare Web Search" removed from browser.search.order.1

Prefs.js: "http://www.questbrowser.com/?tmp=nemo_results_removelink&prt=QstbrsrNN&keywords=" removed from keyword.URL

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 6513871 bytes

->Temporary Internet Files folder emptied: 869735 bytes

->Java cache emptied: 29644268 bytes

->FireFox cache emptied: 50452631 bytes

->Opera cache emptied: 37476187 bytes

->Flash cache emptied: 55153180 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: LocalService

 

i nowy log

OTL.Txt

[Landuss]

Teraz wszystko wykonane i to było by na tyle z usuwania. Można kończyć sprawę.

 

1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Administrator\Pulpit\ComboFix.exe" /uninstall

 

2. Użyj opcji Sprzątanie z OTL.

 

3. Opróżnij folder przywracania systemu: KLIK

 

4. Na wszelki wypadek zmień hasła logowania do serwisów.

 

5. System jest nieaktualny. Należy go zaktualizować instalując Service Pack 3. Pozostałe wymienione oprogramowanie też wymaga aktualizacji do najnowszych wersji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 7.0.5730.11)

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

[biala]

bardzo dziękuję za pomoc