kasia86 Opublikowano 18 Marca 2012 Zgłoś Udostępnij Opublikowano 18 Marca 2012 Witam. Zostałam tu skierowana z forum pclab. Problem z internet security http://forum.pclab.pl/topic/702778-Usuwanie-XP-Security-2012/page__st__440 Bardzo proszę o pomoc Oto moje logi z OTL http://wklej.org/id/711874/ http://wklej.org/id/711881/ A oto log z FSS http://wklej.org/id/711914/ Odnośnik do komentarza
Landuss Opublikowano 18 Marca 2012 Zgłoś Udostępnij Opublikowano 18 Marca 2012 Infekcja ZeroAccess jest tutaj w stanie aktywnym. Zacznij od użycia z trybu awaryjnego narzędzia ComboFix i wklej wynikowy log. Po tym działaniu wykonaj nowe logi z OTL i Farbar i też załącz do posta. Odnośnik do komentarza
kasia86 Opublikowano 18 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 18 Marca 2012 Dzięki Oto log z ComboFix http://wklej.org/id/712425/ Log z OTL http://wklej.org/id/712428/ Log z FSS http://wklej.org/id/712429/ Odnośnik do komentarza
Landuss Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 1. Wklej do notatnika taki tekst: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost] "netsvcs"=- "netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\ 6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\ 00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\ 53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\ 00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\ 76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\ 00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\ 69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\ 00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\ 49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\ 00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\ 76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\ 00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\ 73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\ 00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\ 00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\ 00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\ 74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\ 00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\ 63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\ 00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\ 4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\ 00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\ 00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\ 00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\ 32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\ 00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\ 00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,54,00,65,00,72,00,6d,\ 00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,00,00,77,00,75,00,61,00,75,00,\ 73,00,65,00,72,00,76,00,00,00,42,00,49,00,54,00,53,00,00,00,53,00,68,00,65,\ 00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,74,00,69,00,6f,00,\ 6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,00,78,00,6d,00,6c,\ 00,70,00,72,00,6f,00,76,00,00,00,77,00,73,00,63,00,73,00,76,00,63,00,00,00,\ 57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00 Z menu Notatnika >>> Plik >>> Zapisz jako >>> Ustaw rozszerzenie na Wszystkie pliki >>> Zapisz jako FIX.REG >>> uruchom ten plik 2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL File not found O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL File not found O4 - HKU\S-1-5-21-861567501-2077806209-839522115-1003..\Run: [{99B5ECBD-94A3-768C-4582-53AEAF10B0F1}] C:\Documents and Settings\Slawek\Dane aplikacji\Igof\nyedyqa.exe (SMART Technologies Inc.) :Files C:\WINDOWS\System32\dds_log_ad13.cmd C:\Documents and Settings\Slawek\Dane aplikacji\Poi C:\Documents and Settings\Slawek\Dane aplikacji\Igof C:\Documents and Settings\Slawek\Ustawienia lokalne\Dane aplikacji\6bc388c8 :Services brmfbags ATI Smart Ati HotKey Poller oflpydin mbr catchme PCASp50 hwusbdev :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 3. Odinstaluj Spybot Search & Destroy - program przestarzały. 4. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL Odnośnik do komentarza
kasia86 Opublikowano 19 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2012 Nowy log z OTL http://wklej.org/id/712653/ Odnośnik do komentarza
Landuss Opublikowano 19 Marca 2012 Zgłoś Udostępnij Opublikowano 19 Marca 2012 To by było na tyle i wszystko zostało usunięte. Można przejść do czynności finalnych. 1. W Start > Uruchom > wklej i wywołaj polecenie "c:\documents and settings\Slawek\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall 2. Użyj opcji Sprzątanie z OTL 3. Opróżnij folder przywracania systemu: KLIK 4. Na wszelki wypadek pozmieniaj hasła logowania do serwisów. 5. Tu jest nieaktualny system. Trzeba go zaktualizować do stanu Service Pack 3 oraz pozostałe wymienione programy: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation "{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 13 "{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish "Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin "Mozilla Firefox 10.0.2 (x86 pl)" = Mozilla Firefox 10.0.2 (x86 pl) Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
kasia86 Opublikowano 19 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 19 Marca 2012 Witam ponownie. Mam taki problem. Zrobiłam kroki 1 i 2. A teraz chyba popełniłam błędy W 3 zapomniałam odfajczyć opcji Wyłącz przywracanie na wszystkich dyskach", Po prostu nie zrobiłam nic. Wszystko było tak jak na obrazku pomocniczym. następnie wydawało mi się, że wszystko jest ok, ściągnęłam service pack 3 i zainstalowałam. Niestety po ponownym uruchomieniu komputera system windows nie chce się załadować. Pojawia się logo windowsk xp, po czym następuje reset i tak cały czas. Działa tylko opcja trybu awaryjnego W trybie awaryjnym wykonałam zapomniany przeze mnie krok TFC - Temp File Cleaner by OldTimer W trybie awaryjnym nie da się odfajczyć opcji Wyłącz przywracanie na wszystkich dyskach", Przepraszam za kłopot, ale jestem w kwestii tak zaawansowanej informatyki bezradna Odnośnik do komentarza
Landuss Opublikowano 20 Marca 2012 Zgłoś Udostępnij Opublikowano 20 Marca 2012 W 3 zapomniałam odfajczyć opcji Wyłącz przywracanie na wszystkich dyskach", Jeśli ODfajczyć to znaczy, ze przywracanie było na tym systemie już uprzednio wyłączone. Rzeczywiście sytuacja niespodziewana bo podane wyżej zalecenia zupełnie nie powinny przynieść takiego efektu. Zastartuj do Konsoli Odzyskiwania i jak już w niej będziesz uruchom checkdisk wklepując chkdsk /p Odnośnik do komentarza
picasso Opublikowano 25 Marca 2012 Zgłoś Udostępnij Opublikowano 25 Marca 2012 (edytowane) ściągnęłam service pack 3 i zainstalowałam. Niestety po ponownym uruchomieniu komputera system windows nie chce się załadować. Pojawia się logo windowsk xp, po czym następuje reset i tak cały czas. Działa tylko opcja trybu awaryjnego Czyli działa Tryb awaryjny, a to sugeruje, że problem tworzy jeden ze sterowników. Widzę tu dwie możliwości: - Nawrót infekcji ZeroAccess (zarażenie określonych sterowników systemowych). Swoją drogą to log z ComboFix był dziwny (brak jakichkolwiek detekcji naruszeń w sterownikach i nieznajoma geneza odświeżenia afd.sys, bo ComboFix nie twierdzi, by się tym zajmował). - Konflikt jakiś sterowników z zainstalowanym SP3, jeżeli (jak rozumiem) usterka wystąpiła zaraz po instalacji SP3 + restart. Podaj więcej danych: 1. Dane o restarcie. Tzn. o ile nie jest pusty, przekopiuj folder C:\Windows\Minidump na Pulpit, zapakuj do ZIP i shostuj gdzieś (np. na SpeedyShare), by podać nam link. Wymagane połączenie sieciowe, stąd albo zrób to z poziomu Trybu awaryjnego z obsługą sieci (czy ten działa), a jeśli nie będzie możliwe uzyskanie połączenia sieciowego, to przekopiuj dane na nośnik typu pendrive i z poziomu innego komputera zuploaduj dane. 2. Nowe logi z OTL + GMER. . Edytowane 27 Kwietnia 2012 przez picasso 27.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi