Autorozmieszczanie

[polin]

Witam!

 

Mam problem, który nie daje mi spać po nocach w dosłownym tego słowa znaczeniu.

 

Zacznę od tego, że kompletnie nie znam się na tym co tu opiszę. Przeszukałam już google i nie znalazłam nic co pomogłoby w tym problemie bez ingerencji w rejestr - czego nie chciałam robić nie będąc pewna, że to na pewno mi pomoże, bo skutki mogły być opłakane.

Na początku skanowałam na wlasna reke jeszcze jakims programem trojan remover i malwarebytes, ale nic to nie zmienilo, dlatego postanowilam sie zwrocic do fachowców.

 

Mam antywirusa Avire, i przedwczoraj zaczęło mi wyskakiwać okienko o zainfekowaniu trojanem tr/atraps/gen i tr/atraps/gen2. Nie mam żadnych logów z antywirusa, bo do przedwczoraj nie wiedziałam o istnieniu czegoś takiego. Wcześniej jakoś sobie radziłam bez tego, ale teraz chyba nie mam innego wyjścia. Trojany te siedzą w kwarantannie, bo nic innego nie mogłam z nimi zrobić, (a raczej nie wiedziałam co).

 

 

No i najważniejsze. Doszło do tego to, że po odświeżeniu pulpitu, bądź zresetowaniu laptopa wszystkie ikony wcześniej ustawione "po mojemu" - nagle znajdują się po lewej stronie. Tak jakby same się autorozmieszczają . Uprzedzam pytanie - mam odznaczoną tę funkcję we właściwościach.

 

Wstawiam screena z kwarantanny Aviry, nie wiem czy to coś pomoże, ale zawsze to coś i loga z OLT i extras. Cokolwiek to jest, ale znalazłam to we wskazówkach "jak napisać post". Deamon tools odinstalowalam, takze nie mam tych emulatorów, czy jak to tam sie nazywa...

 

 

Dziękuje z góry za jakąkolwiek pomoc. I proszę o wytłumaczenie w miarę prostym językiem, gdyż wielu fachowych komend nie rozumiem No i jeżeli znajdziecie dodatkowo coś podejrzanego to proszę o wskazówki

OTL.Txt

Extras.Txt

[Landuss]

Masz infekcję ZeroAccess i problem z ikonami to jej sprawka. W rejestrze jest dodatkowa klasa infekcji, która powoduje tego typu problem.

 

Wykonaj dodatkowy log - uruchom OTL, wszystkie opcje ustaw na Żadne + Brak natomiast w okno Własne opcje skanowania / skrypt wklej:

 

C:\Windows\assembly\GAC_64\*.*
C:\Windows\assembly\GAC_32\*.*
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s
/md5start
services.exe
/md5stop

 

Klikasz w Skanuj i prezentujesz log

[polin]

Zrobiłam ten log zgodnie z prośbą. Skąd się bierze ta infekcja? Widzę, że nie tylko ja to mam w ostatnim czasie.

OTL.Txt

[Landuss]

Log wskazuje, że tu nie ma tego klucza, o którym wspominałem zaś services nie jest podstawiony więc pytanie czy problem na pewno nadal występuje? Natomiast nie wiem jak jest z obiektami infekcji więc wykonaj jeszcze jeden raport.

 

Uruchom SystemLook x64 i do okna wklej:

 

:folderfind
{c62b0a38-dd58-4b00-d876-f87272fb67d0}

 

Klik w Look. Przedstaw raport.

[picasso]

Landuss, dodatkowa uwaga, tu są szkody. Wg skanu OTL nie istnieje klucz WBEM: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}. Prawdopodobnie ściął go niestety któryś skaner. Ten klucz musi zostać przywrócony poprzez import rejestru:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]
@="Microsoft WBEM New Event Subsystem"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,74,00,25,\
  00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,77,00,62,00,\
  65,00,6d,00,5c,00,77,00,62,00,65,00,6d,00,65,00,73,00,73,00,2e,00,64,00,6c,\
  00,6c,00,00,00
"ThreadingModel"="Both"

 

.

[polin]

SystemLook 30.07.11 by jpshortstuff

Log created at 12:18 on 09/06/2012 by Poline

Administrator - Elevation successful

 

========== folderfind ==========

 

Searching for "{c62b0a38-dd58-4b00-d876-f87272fb67d0}"

C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0} d--hs-- [18:33 11/01/2012]

 

-= EOF =-

 

 

 

Jak zrobić ten import rejestru? Prosiłam o w miarę prosty język, abym mogła zrozumiec

[picasso]

Jak zrobić ten import rejestru? Prosiłam o w miarę prosty język, abym mogła zrozumiec

 

Informacja była przeznaczona dla Landussa, który prowadzi temat i zada zbiorcze instrukcje usuwania. Skoro o to pytasz, należy ten tekst wkleić w Notatniku, plik zapisać i zaimportować:

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku opcja Scal

 

Ale czekaj na instrukcje Landussa, który poda stosowną kolejność.

 

 

 

.

[Landuss]

1. Uruchom BlitzBlank i w karcie Script wklej:

 

DeleteFolder:
C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Execute Now. Zatwierdź restart komputera. BlitzBlank wygeneruje na dysku C log z usuwania.

 

2. Wykonaj import do rejestru jak wspomina @picasso a więc do notatnika wklej to co masz podane w jej poście, zapisz i zaimportuj.

 

3. Pokazujesz log z BlitzBlank oraz nowy log z SystemLook na takim warunku:

 

:reg

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s
 
:folderfind
{c62b0a38-dd58-4b00-d876-f87272fb67d0}

[polin]

Zrobiłam wszystko tak jak było podane. Tylko jak robiłam import do rejestru to wyskoczyło mi coś takiego :

 

 

Aha i zapomniałam dodać że problem nadal występuje.

 

 

BlitzBlank 1.0.0.32

 

File/Registry Modification Engine native application

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\poline\appdata\local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}", destinationDirectory = "(null)", replaceWithDummy = 0

MoveFileOnReboot: sourceFile = "\??\c:\users\poline\appdata\local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}\@", destinationFile = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\poline\appdata\local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}\L", destinationDirectory = "(null)", replaceWithDummy = 0

MoveDirectoryOnReboot: sourceDirectory = "\??\c:\users\poline\appdata\local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}\U", destinationDirectory = "(null)", replaceWithDummy = 0

 

 

SystemLook

 

SystemLook 30.07.11 by jpshortstuff

Log created at 13:10 on 09/06/2012 by Poline

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}]

@="Microsoft WBEM New Event Subsystem"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]

@="%systemroot%\system32\wbem\wbemess.dll"

"ThreadingModel"="Both"

 

 

========== folderfind ==========

 

Searching for "{c62b0a38-dd58-4b00-d876-f87272fb67d0}"

No folders found.

 

-= EOF =-

[Landuss]

Ten błąd należy zignorować, wszystko poprawnie się wykonało.

 

Aha i zapomniałam dodać że problem nadal występuje.

 

Czy system był restartowany?

[polin]

Czy system był restartowany?

 

Tak, najpierw samoistnie po użyciu tego Blitzblank. Potem zresetowałam drugi raz jak dodałam ten wpis do rejestru.

[picasso]

Powtórz szukanie na określony klucz, ale z poziomu innego narzędzia. Do SystemLook x64 wklej:

 

:reg
HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}
 
:regfind
{c62b0a38-dd58-4b00-d876-f87272fb67d0}

 

Klik w Look. Log krótki, toteż go przeklej jego zawartość wprost do posta.

 

 

 

.

[polin]

SystemLook 30.07.11 by jpshortstuff

Log created at 13:30 on 09/06/2012 by Poline

Administrator - Elevation successful

 

========== reg ==========

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]

(No values found)

 

[HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

 

 

========== regfind ==========

 

Searching for "{c62b0a38-dd58-4b00-d876-f87272fb67d0}"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths]

"url4"="C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}"

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}\n."

[HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths]

"url4"="C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}"

[HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}\n."

[HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001_Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32]

@="C:\Users\Poline\AppData\Local\{c62b0a38-dd58-4b00-d876-f87272fb67d0}\n."

 

-= EOF =-

[picasso]

Jest jednak klucz w rejestrze, on musiał się odtworzyć w międzyczasie. SystemLook zwraca trzy wystąpienia, ale to w istocie tylko jeden klucz (dwa pozostałe to linki symboliczne = rodzaje skrótów)

 

1. Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator. Skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

2. Zresetuj system. Układ ikon powinien zacząć działać. Landuss zada końcowe sprzątanie.

 

 

 

.

[polin]

No teraz już działają. Dziękuję Ci bardzo W takim razie czekam na dalsze wskazówki.

[Landuss]

Wykonaj teraz jeszcze poniższe zalecenia:

 

1. Wejdź w panel usuwania programów i odinstaluj Browsers Protector oraz StartSearch Toolbar 1.3

 

2. Uruchom AdwCleaner z opcji Delete

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
[2012/02/20 20:53:17 | 000,000,792 | ---- | M] () -- C:\Users\Poline\AppData\Roaming\Mozilla\Firefox\Profiles\9kyk2tbl.default\searchplugins\startsear.xml
[2012/06/06 19:19:47 | 000,003,915 | ---- | M] () -- C:\Users\Poline\AppData\Roaming\Mozilla\Firefox\Profiles\9kyk2tbl.default\searchplugins\sweetim.xml
[2012/01/02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files (x86)\mozilla firefox\plugins\npvsharetvplg.dll
[2012/04/27 13:01:48 | 000,002,313 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (no name) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-251638132-866889896-205452805-1001\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{12AFE392-08CE-420F-B570-AAA14175F41E}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{12AFE392-08CE-420F-B570-AAA14175F41E}"
[HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{12AFE392-08CE-420F-B570-AAA14175F41E}"
[-HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[-HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[-HKEY_LOCAL_MACHINE\Software\Wow6432node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKEY_USERS\S-1-5-21-251638132-866889896-205452805-1001\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Do wglądu dajesz nowy log z OTL ze skanowania (bez ekstras)

[polin]

Wklejam nowy log zrobiony po restarcie.

 

Mam jeszcze ten log z "własnym skryptem", ale nie mogę go wkleić, bo pojawia się że nie mam uprawnień do wklejania tego typu plików.

OTL.Txt

[Landuss]

Jest w porządku i można kończyć sprawę.

 

1. Użyj opcji Sprzątanie z OTL oraz Uninstall z AdwCleaner

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. W związku z rootkitem zmień sobie hasła logowania do serwisów w sieci.

 

To wszystko.

[polin]

Bardzo dziękuję za pomoc i poświęcony czas.

W razie problemów na pewno się tu znowu zgłoszę.