Nie działa mail.google.com

[zaki151]

Witam serdecznie!

 

Na wstępie chciałem zaznaczyć, że jestem zupełnie zielony w tych sprawach. Dlatego bardzo proszę o niezbyt wielkie skarcenie mnie, jeśli zrobię coś głupiego ;D

 

Sprawa wygląda następująco: Tydzień temu zabrałem się za czyszczenie komputera z wirusów programem Malwarebytes Anti-Malware, i chyba zbyt dużo pokasowałem. We wszystkich przeglądarkach, aby internet działał musiałem pozmieniać, aby nie używał proxy. Internet niby działa, wszystko cacy, ale niestety nie mogę się zalogować na mail.google.com a dokładniej na pocztę MTV.pl , która używa w/w serwera. Tzn. strona https://mail.google.com/a/mtv.pl/ w ogóle mi nie wchodzi, wychodzi błąd:

Nie można nawiązać bezpiecznego połączenia z serwerem. To może być problem z serwerem lub wymagany jest certyfikat uwierzytelniania klienta, którego nie masz.

Błąd 107 (net::ERR_SSL_PROTOCOL_ERROR): Błąd protokołu SSL.

Również próbowałem bezpośrednio na gmail.com zalogować się (strona o dziwo wchodzi), ale niestety pokazuje, że 59 dni temu zmieniłem hasło. Wiem, że wszystko działa, bo przed chwilą logowałem się z telefonu. Dodatkowo co jakiś czas "pada" google, wyskakuje jakiś błąd, tudzież każe przepisać jakiś kod z obrazka, aby przejść do dalszego wyszukiwania.

 

Załączam pliki OTL oraz Extras, niestety, ponieważ przy tworzeniu GMERa wyrzuca mi blue screen, a program RootRepeal wiesza mi całkowicie komputer. Miałem zainstalowanego Deamona, ale skasowałem go "Dodaj/usuń..."

 

Bardzo proszę o pomoc oraz dokładnie wytłumaczenie co mam zrobić.

Z góry dziękuję i przepraszam, za ewentualne pomyłki ;D

OTL.Txt

Extras.Txt

[picasso]

przy tworzeniu GMERa wyrzuca mi blue screen, a program RootRepeal wiesza mi całkowicie komputer. Miałem zainstalowanego Deamona, ale skasowałem go "Dodaj/usuń..."

 

A kiedy tego DAEMONa usuwałeś? Wg OTL jest jego wpis startowy i działają wredne przestarzałe sterowniki DAEMON Tools:

 

DRV - [2004-08-22 15:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 15:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
 
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Program Files\D-Tools\daemon.exe (DAEMON'S HOME)

 

 

Tydzień temu zabrałem się za czyszczenie komputera z wirusów programem Malwarebytes Anti-Malware, i chyba zbyt dużo pokasowałem.

 

Czy jest raport z tego działania?

 

 

W logu z OTL brak znaków infekcji w stanie czynnym, ale plik HOSTS ma złe atrybuty oraz są wpisy / katalogi po infekcji:

 

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) -  File not found
O20 - HKU\S-1-5-21-1417001333-1177238915-682003330-1003 Winlogon: Shell - ("C:\Documents and Settings\Karol\winlogon.exe") -  File not found
[2012-02-21 10:24:04 | 000,000,000 | ---D | C] -- C:\Program Files\AB2BC
[2012-02-21 10:23:52 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2012-02-21 10:23:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol\Dane aplikacji\C49AB

 

Widzę też używane narzędzia: SDFix (zapomnij, to próchno sprzed wielu lat), HijackThis (kolejny martwy program), Spybot - Search & Destroy (przestarzały program o słabych właściwościach w dzisiejszych warunkach) i RegCure na dokładkę z crackiem (cudak do deinstalacji).

 

 

---

Na teraz mogę zadać tylko usuwanie tego co widzę, tzn. odpadków.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
[2012-02-21 10:24:04 | 000,000,000 | ---D | C] -- C:\Program Files\AB2BC
[2012-02-21 10:23:52 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2012-02-21 10:23:52 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karol\Dane aplikacji\C49AB
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) -  File not found
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2010-12-03 17:53:38 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar
[2010-12-03 17:53:42 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\searchplugins\web-search.xml
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O4 - HKU\S-1-5-21-1417001333-1177238915-682003330-1003..\Run: [RMF FM Miasto Muzyki]  File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000000
 
:Files
attrib -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania.

 

2. Wygeneruj nowy log z OTL z opcji Skanuj (już bez Extras) + AdwCleaner z opcji Search. Dołącz log z wynikami usuwania pozyskany w punkcie 1.

 

 

 

 

 

.

[zaki151]

Daemona kasowałem wczoraj. Skrypt wykonałem. Wrzucam co trzeba. Nie mogę wrzucić loga z wykonania skryptu (z rozszerzeniem .log) : "Nie masz uprawnień do wysyłania tego typu plików"

 

 

Prześlę tutaj:

All processes killed

========== OTL ==========

C:\Program Files\AB2BC folder moved successfully.

C:\Program Files\LP\979C folder moved successfully.

C:\Program Files\LP folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\C49AB folder moved successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINDOWS\system32\crrss.exe deleted successfully.

Prefs.js: "Web Search..." removed from browser.search.defaultenginename

Prefs.js: vshare@toolbar:1.0.0 removed from extensions.enabledItems

Prefs.js: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" removed from keyword.URL

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar\modules folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar\locale\en-US folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar\locale folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar\components folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar\chrome folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\extensions\vshare@toolbar folder moved successfully.

C:\Documents and Settings\Karol\Dane aplikacji\Mozilla\Firefox\Profiles\a1snz82m.default\searchplugins\web-search.xml moved successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NPSStartup deleted successfully.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\NWEReboot deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1417001333-1177238915-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\\RMF FM Miasto Muzyki deleted successfully.

Starting removal of ActiveX control {31435657-9980-0010-8000-00AA00389B71}

C:\WINDOWS\Downloaded Program Files\wvc1dmo.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{31435657-9980-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31435657-9980-0010-8000-00AA00389B71}\ not found.

Starting removal of ActiveX control {33564D57-0000-0010-8000-00AA00389B71}

C:\WINDOWS\Downloaded Program Files\WMV9VCM.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{33564D57-0000-0010-8000-00AA00389B71}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33564D57-0000-0010-8000-00AA00389B71}\ not found.

========== REGISTRY ==========

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\"ProxyEnable"|dword:00000000 /E : value set successfully!

========== FILES ==========

< attrib -r -s -h C:\WINDOWS\System32\drivers\etc\hosts /C >

Odmowa dost©pu - C:\WINDOWS\System32\drivers\etc\hosts

C:\Documents and Settings\Karol\Moje dokumenty\cmd.bat deleted successfully.

C:\Documents and Settings\Karol\Moje dokumenty\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

->Temp folder emptied: 214786 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Karol

->Temp folder emptied: 7311157 bytes

->Temporary Internet Files folder emptied: 260968 bytes

->Java cache emptied: 15879522 bytes

->FireFox cache emptied: 87925136 bytes

->Google Chrome cache emptied: 15031113 bytes

->Opera cache emptied: 18487582 bytes

->Flash cache emptied: 4690 bytes

 

User: LocalService

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 6453320 bytes

%systemroot%\System32 .tmp files removed: 10688212 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 84886 bytes

RecycleBin emptied: 510520 bytes

 

Total Files Cleaned = 155,00 mb

 

 

OTL by OldTimer - Version 3.2.37.1 log created on 03162012_192211

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

 

AdwCleanerR1.txt

mbam-log-2012-02-29 (00-28-32).txt

mbam-log-2012-02-29 (03-00-38).txt

OTL.Txt

protection-log-2012-02-29.txt

[picasso]

A czy MBAM wykrywa coś teraz (poza crackiem aktywacji antiwpa.dll, a fe)? Natomiast: skrypt prawie wszystko zrobił, za wyjątkiem pliku HOSTS (atrybuty nadal nieprawidłowe).

 

1. Uruchom GrantPerms, w oknie wklej:

 

C:\WINDOWS\System32\drivers\etc\hosts

 

Klik w Unlock.

 

2. Start > Uruchom > cmd i wpisz komendę:

 

attrib -r -s -h C:\WINDOWS\System32\drivers\etc\hosts

 

3. AdwCleaner widzi drobnostki, zastosuj w nim opcję Delete.

 

 

Daemona kasowałem wczoraj.

 

Aktualny log z OTL poświadcza, że było to usuwanie niekompletne, sterowniki DAEMONa w najlepsze działają:

 

DRV - [2004-08-22 15:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004-08-22 15:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
 
O4 - HKLM..\Run: [DAEMON Tools-1033] C:\Program Files\D-Tools\daemon.exe (DAEMON'S HOME)

 

Uruchom Autoruns i w karcie Drivers odptaszkuj d347prt + d347bus, a w karcie Logon wpis DAEMON Tools-1033. Zresetuj system, by nastąpiło odładowanie sterowników. Ponów próbę z GMER.

 

 

Nie mogę wrzucić loga z wykonania skryptu (z rozszerzeniem .log) : "Nie masz uprawnień do wysyłania tego typu plików"

 

Zasady działu i Pomoc forum wyjaśniają dlaczego: jedyny dopuszczony w Załącznikach format to *.TXT, próbujesz wstawiać *.LOG.

 

 

 

.

[zaki151]

Zrobiłem wszystko co trzeba, ale znów jak próbowałem GMERa włączyć to przy ładowaniu wyskoczył blue screen, a do tego po raz kolejny, po resecie po blue screenie, komputer przestaje czytać dysk twardy (w BIOSie również) trzeba wyłączyć listwę i ponownie włączyć. MBAM jedynie wykrywa antiwpa

 

W razie czego wrzucam jeszcze najnowszego loga

2.Txt

[picasso]

Na poziomie sprzątania obiektów widzialnych ukończyłam i potem zadam finalizacyjne porządki. Ale system nie jest sprawdzony pod kątem rootkitów. Spróbuj uruchomić GMER w Trybie awaryjnym Windows, a jeśli to się nie uda, to sprawdź przynajmniej co widzi Kaspersky TDSSKiller (gdyby coś wykrył, nie podejmuj żadnych akcji i wszedzie przyznaj Skip).

 

 

Nie można nawiązać bezpiecznego połączenia z serwerem. To może być problem z serwerem lub wymagany jest certyfikat uwierzytelniania klienta, którego nie masz.

Błąd 107 (net::ERR_SSL_PROTOCOL_ERROR): Błąd protokołu SSL.

 

Czy nie nastąpiła aby jakaś zmiana po przeprowadzonych tu czynnościach (zdejmowałam proxy w IE, które to proxy jest używane przez Google Chrome)?

 

 

.

[zaki151]

GMER w awaryjnym działa, ale nic nie zapisuje, wyskakują błędy, że nie da się zapisać. Kaspersky znalazł wirusa:

"Virus.Win32.Rloader.a

Service: ACPI

Malware object, high risk"

 

grzebałem jedynie w firefoxie (po ówczesnym "odwirusowaniu", gdyż nie działały i ustawiałem, aby nie korzystał z proxy (wcześniej było ustawione jakieś proxy).

Co do działania poczty. Raz mi dziś weszła a potem znów przestała działać...

[picasso]

I dlatego naciskałam na skan rootkit. Czułam przez skórę rootkita. Dla porównania co robi Virus.Win32.Rloader.a: KLIK. W Kaspersky TDSSKiller dla zainfekowanego acpi.sys wybierz opcję Cure i zresetuj system. Następnie zweryfikuj ponownie Kasperskym czy przestał to widzieć. Sprawdź zachowanie strony Google Mail.

 

 

 

.

[zaki151]

przeskanowałem wyCUREałem i Google Mail działa dziękuję bardzo za pomoc oraz za poświęcony czas!

[picasso]

To teraz możemy kończyć:

 

1. Porządki po narzędziach: w AdwCleaner zastosuj Uninstall, w OTL uruchom Sprzątanie, ręcznie przez SHIFT+DEl skasuj z dysku C kwarantannę TDSSKiller.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. System jest w krytycznym stanie aktualizacji:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)

 

Wszystko obowązkowo musi zostać nadrobione: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 24
"{26A24AE4-039D-4CA4-87B4-2F83217003FF}" = Java™ 7 Update 3
"{AC76BA86-7AD7-1033-7B44-A00000000001}" = Adobe Reader 6.0.1
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Mozilla Firefox (3.6.28)" = Mozilla Firefox (3.6.28)
"HijackThis" = HijackThis 1.99.1

 

Te też do aktualizacji a przestarzały niepełnosprawny HijackThis do deinstalacji.

 

 

 

.