miloszja Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Witam. Zniknęła mi zakładka Połączenia sieciowe. W panelu sterowania znajduje się takowa, aczkolwiek brak tam jakiejkolwiek sieci. Początkowo nie miałem sieci, lecz po zastosowaniu MicrosoftFixit50601 i WinsockxpFix udało mi się połączyć z netem. Antywirus usuwa w kółko jakiś plik n, coś widoczne w GMER. Załączam logi. Dziękuje za wszelka pomoc. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
Landuss Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Masz infekcję ZeroAccess. Wykonaj jeszcze log uzupełniający pod kątem infekcji. Uruchom SystemLook, w oknie wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Przedstaw wynikowy raport. Odnośnik do komentarza
miloszja Opublikowano 2 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 2 Lipca 2012 Oto raport. SystemLook 30.07.11 by jpshortstuff Log created at 21:26 on 02/07/2012 by nowy Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (No values found) [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32] "ThreadingModel"="Both" @="C:\Documents and Settings\nowy\Ustawienia lokalne\Dane aplikacji\{a28d78bb-ae65-9b75-9214-25bc0d4ab6f9}\n." [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [10:31 16/04/2009] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [06:12 17/04/2009] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- Odnośnik do komentarza
Landuss Opublikowano 2 Lipca 2012 Zgłoś Udostępnij Opublikowano 2 Lipca 2012 1. Wejdź w panel usuwania programów i odinstaluj śmieci: Akamai NetSession Interface / DealPly / IncrediMail MediaBar 2 Toolbar / Smart Toolbar Remover v2.0 / vShare plugin 1.3 / VshareComplete / SnagIt Toolbar 2. Uruchom AdwCleaner z opcji Delete 3. Start > Uruchom > cmd i wklej komende: reg delete HKCU\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /f 4. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :Files C:\WINDOWS\Installer\{a28d78bb-ae65-9b75-9214-25bc0d4ab6f9} C:\Documents and Settings\nowy\Ustawienia lokalne\Dane aplikacji\{a28d78bb-ae65-9b75-9214-25bc0d4ab6f9} :Services WSIMD VirtualBackplane upperdev Tosrfcom S7oppilx 26941391 :OTL IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //search.babylon.com/?AF=110000&babsrc=HP_ss&mntrId=8c2000200000000000000023543ec45a IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http: //search.babylon.com/?q={searchTerms}&AF=110000&babsrc=SP_ss&mntrId=8c2000200000000000000023543ec45a IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http: //mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823163549878509 IE - HKCU\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=9cdb6cc3-4440-11e1-a476-0023543ec45a&q={searchTerms} IE - HKCU\..\SearchScopes\{FFB57A3A-F630-4C3B-8552-104EFB842EA1}: "URL" = http: //www.facebook.com/search/?q={searchTerms} FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.winamp.com/search/search?query={searchTerms}&invocationType=tb50-ff-winamp-chromesbox-en-us&tb_uuid=20110409051545860&tb_oid=11-04-2011&tb_mrud=11-04-2011&query=" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..keyword.URL: "http://search.babylon.com/?AF=110000&babsrc=adbartrp&mntrId=8c2000200000000000000023543ec45a&q=" [2012-01-21 17:01:01 | 000,000,000 | ---D | M] (VshareComplete - Speed up your search with your personal search suggestions tool) -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\extensions\{4ac04d99-3f4b-4ec5-bd2d-216d59822f8a} [2012-06-04 03:54:56 | 000,000,000 | ---D | M] (IncrediMail MediaBar 2 Community Toolbar) -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\extensions\{d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} [2011-10-16 15:08:01 | 000,000,000 | ---D | M] (DealPly) -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF} [2011-04-11 10:04:25 | 000,002,354 | ---- | M] () -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\searchplugins\aol-web-search.xml [2011-10-16 15:08:18 | 000,002,207 | ---- | M] () -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\searchplugins\MyStart Search.xml [2012-01-21 17:00:31 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\searchplugins\startsear.xml [2011-10-03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll [2012-02-21 21:43:23 | 000,002,310 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml O3 - HKLM\..\Toolbar: (no name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No CLSID value found. O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 32 = C:\DOCUME~1\ALLUSE~1\LOCALS~1\Temp\mspsouc.com () :Commands [emptytemp] Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z SystemLook tak jak poprzednio. Odnośnik do komentarza
miloszja Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Oto raporty.Zakładka połączeń jak narazie jeszcze sie nie pojawiła. SystemLook 30.07.11 by jpshortstuff Log created at 19:04 on 03/07/2012 by nowy Administrator - Elevation successful ========== reg ========== [HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] (Unable to open key - key not found) [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}] @="Microsoft WBEM New Event Subsystem" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32] @="wbemess.dll" "ThreadingModel"="Both" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}] @="MruPidlList" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] @="%SystemRoot%\system32\shdocvw.dll" "ThreadingModel"="Apartment" ========== filefind ========== Searching for "services.exe" C:\WINDOWS\$hf_mig$\KB956572\SP3QFE\services.exe --a--c- 111104 bytes [10:31 16/04/2009] [11:19 09/02/2009] 8816E60BF654353E8E0D35ED98875445 C:\WINDOWS\$NtUninstallKB956572$\services.exe -----c- 109056 bytes [06:12 17/04/2009] [12:00 15/04/2008] 3E3AE424E27C4CEFE4CAB368C7B570EA C:\WINDOWS\system32\services.exe --a---- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F C:\WINDOWS\system32\dllcache\services.exe --a--c- 111104 bytes [12:00 15/04/2008] [11:25 09/02/2009] 02A467E27AF55F7064C5B251E587315F -= EOF =- OTL.Txt Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Zakładka połączeń jak narazie jeszcze sie nie pojawiła. 1. Był tu ZeroAccess, więc można przypuszczać, że skasował usługi SharedAccess i wscsvc. Załaduj fiksy REG: KLIK. 2. Start > Uruchom > regedit i przejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network Skasuj wartość Config i zresetuj system. Podaj wyniki czy jest jakaś poprawa. A dalej temat poprowadzi Landuss. . Odnośnik do komentarza
miloszja Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Poprawy brak.Fix dodalem punkt 1 ok,tylko w punkt 2 chodziło o wyzerowanie klucza config?ta wartość binarna na 0? Nadal mam brak sieci w połączeniach sieciowych(czyste okno brak sieci przewodowej i bezprzewodowej)na pasku również brak ikon. No i uszkodzone przywracanie systemu,przez akcesoria nie mozna wejść mignie blu ekran,a przez mój komputer można wejść ale nie można wyłączyć i włączyć sypie błędem ze nie uruchomione. Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Poprawy brak.Fix dodalem punkt 1 ok,tylko w punkt 2 chodziło o wyzerowanie klucza config?ta wartość binarna na 0? Skoro nie wykonałeś punktu 2 (decydujący), to jest to niepełna akcja i poprawy tu nie można oczekiwać. Masz z prawokliku na wartość Config ją w całości skasować i zresetować komputer. No i uszkodzone przywracanie systemu,przez akcesoria nie mozna wejść mignie blu ekran,a przez mój komputer można wejść ale nie można wyłączyć i włączyć sypie błędem ze nie uruchomione. Przeinstaluj Przywracanie systemu: Start > Uruchom > C:\Windows\inf > z prawokliku na plik sr.inf wybierz opcję Instaluj. Jeśli padnie pytanie o wskazanie plików, wskaż C:\Windows\ServicePackFiles, a przy braku tego katalogu należy podstawić CD XP. . Odnośnik do komentarza
miloszja Opublikowano 3 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Wartość config skasowałem zrekonstruowała się po starcie-brak zmian z nadal nie ma sieci w folderze A c do przywracania muszę wziąc płyte od administratora sieci Odnośnik do komentarza
picasso Opublikowano 3 Lipca 2012 Zgłoś Udostępnij Opublikowano 3 Lipca 2012 Wartość config skasowałem zrekonstruowała się po starcie-brak zmian z nadal nie ma sieci w folderze Otwórz Notatnik i wklej w nim: sc config Netman start= auto regsvr32 /s netshell.dll regsvr32 /s netcfgx.dll regsvr32 /s netman.dll netsh winsock reset pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT > Uruchom ten plik Zresetuj system i podaj wyniki czy jest jakaś zmiana. A c do przywracania muszę wziąc płyte od administratora sieci Czyli nie ma na dysku folderu C:\Windows\ServicePackFiles? Można inaczej: 1. Pobierz instalator SP3: KLIK. Umieść bezpośrednio na dysku C. 2. Rozpakuj instalator: Start > Uruchom > wklej komendę C:\WindowsXP-KB936929-SP3-x86-PLK.exe /x:C:\SP 3. Przy reinstalacji Przywracania systemu wskaż katalog rozpakowanego SP3 C:\SP. . Odnośnik do komentarza
miloszja Opublikowano 4 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 4 Lipca 2012 Zadnej poprawy.A zrobilem co następuje: fix.bat,komputer zrestartowałem pojawiło się okno(w załączniku)przy próbie zamkniecia i wprowadzenia zmian.Zrestartowałem ponownie i nadal to samo. Natomiast z reinstalacją pliku wykonałem do momentu wskazania pliku w SP,plik znajduje instaluje a następnie szuka pliku srframe.mmf którego nie moge znaleść(próbowałem przez szukaj) Odnośnik do komentarza
picasso Opublikowano 5 Lipca 2012 Zgłoś Udostępnij Opublikowano 5 Lipca 2012 fix.bat,komputer zrestartowałem pojawiło się okno(w załączniku)przy próbie zamkniecia i wprowadzenia zmian.Zrestartowałem ponownie i nadal to samo. Bląd "Odmowa dostępu" przy uruchamianiu msconfig sugeruje wpływ oprogramowania zabezpieczającego (tu: McAfee VirusScan Enterprise, swoją drogą przestarzały antywirus). Skrypt FIX.BAT miał przekonfigurować usługę Połączenia sieciowe na Automatyczny (to niezbędne, by folder Połączeń sieciowych nie był pusty). Przy widzianym tu błędzie msconfig mam szczere wątpliwości czy to się wykonało... Start > Uruchom > services.msc i sprawdź jaki jest status tej usługi. Ma być "Uruchomiona", a Typ uruchomienia "Automatyczny". Natomiast z reinstalacją pliku wykonałem do momentu wskazania pliku w SP,plik znajduje instaluje a następnie szuka pliku srframe.mmf którego nie moge znaleść(próbowałem przez szukaj) Do SystemLook wklej: :dir C:\Windows\system32\Restore :filefind srframe.mmf Wklej do posta wyniki skanu. . Odnośnik do komentarza
miloszja Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Sprawa ma się tak, że naprawiłem Przywracanie systemu, wskazałem mu ten plik z katalogu Restore. Natomiast tej usługi Połączeń sieciowych nie potrafię odnaleść, a skrypt który podałaś wyrzuca błąd na tej usłudze. SystemLook 30.07.11 by jpshortstuff Log created at 21:47 on 06/07/2012 by nowy Administrator - Elevation successful ========== dir ========== C:\Windows\system32\Restore - Parameters: "(none)" ---Files--- filelist.xml -rahs-- 19569 bytes [07:29 14/11/2008] [12:00 15/04/2008] rstrlog.dat --a--c- 43476 bytes [07:40 01/12/2010] [05:26 14/04/2012] rstrui.exe --a---- 382976 bytes [07:29 14/11/2008] [12:00 15/04/2008] srdiag.exe --a--c- 47104 bytes [07:30 14/11/2008] [12:00 15/04/2008] srframe.mmf --a--c- 984 bytes [07:30 14/11/2008] [12:00 15/04/2008] ---Folders--- None found. ========== filefind ========== Searching for "srframe.mmf" C:\WINDOWS\system32\dllcache\srframe.mmf --a--c- 984 bytes [07:30 14/11/2008] [12:00 15/04/2008] E9D9E61584DFD1FA2857BC242A68E4AC C:\WINDOWS\system32\Restore\srframe.mmf --a--c- 984 bytes [07:30 14/11/2008] [12:00 15/04/2008] E9D9E61584DFD1FA2857BC242A68E4AC -= EOF =- Odnośnik do komentarza
miloszja Opublikowano 10 Października 2012 Autor Zgłoś Udostępnij Opublikowano 10 Października 2012 Witam. Wyszukiwarka Google przekierowuje na dziwne strony. Nadal po innej infekcji nie ma zakładki połączenia sieciowe. Właściwie usługi takowej nie ma w systemie i na liście usług. Dziękuje za wszelką pomoc. OTL.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 10 Października 2012 Zgłoś Udostępnij Opublikowano 10 Października 2012 Temat dołączam do poprzedniego (a w tamtym usuwam te zbędne obrazki z konsoli services.msc), jako że jest tu kontynuacja z wątkiem usługi Połączenia sieciowe, a poza tym jeszcze to co widać w GMER. Log z GMER zrobiony w złych warunkach, zaciemniony działaniem sterownika SPTD, nie wykonałeś ogłoszenia: KLIK. DRV - [2011-02-22 09:25:48 | 000,436,792 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd) Log z OTL niepełny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). I co za skrypt do OTL tu uruchamiałeś? Nadal po innej infekcji nie ma zakładki połączenia sieciowe.Właściwie usługi takowej nie ma w systemie i na liście usług Usługę zrekonstruuję. Ale tym się zajmę dopiero po wyleczeniu infekcji. Wyszukiwarka google przekierowuje na dziwne strony. Przekierowania Google wynikają z infekcji działającej via Harmonogram zadań: [2012-09-05 13:50:50 | 000,147,456 | RHS- | C] () -- C:\WINDOWS\System32\html3.dll[2012-10-07 23:02:48 | 000,000,306 | ---- | M] () -- C:\WINDOWS\tasks\CYAIJDIJ.job Ale to nie wygląda na jedyną infekcję. W tamtym poprzednim temacie jakoś nie sprawdziłam GMER. Nowy GMER podaje te same informacje co poprzednio i wskazuje obecność rootkita: ---- Kernel code sections - GMER 1.0.15 ---- .text ACPI.sys F722C300 24 Bytes [00, 00, 00, 00, 00, 00, 8B, ...].text ACPI.sys F722C319 7 Bytes [00, 6A, 0C, E8, AD, 13, 01].text ACPI.sys F722C321 4 Bytes [56, 68, CA, F6].text ACPI.sys F722C327 3 Bytes [68, 5B, 2A].text ACPI.sys F722C339 7 Bytes [56, 6A, 0B, E8, 8D, 13, 01].text ... .text C:\WINDOWS\system32\drivers\ACPI.sys section is writeable [0xF722C300, 0x1AF00, 0xE8000020].rsrc C:\WINDOWS\system32\drivers\ACPI.sys section is executable [0xF7255F00, 0x1BF8, 0xE8000040].reloc C:\WINDOWS\system32\drivers\ACPI.sys section is executable [0xF7257B00, 0x2506, 0xE8000040] ---- Threads - GMER 1.0.15 ---- Thread System [4:144] 8A5AC39FThread System [4:148] 8A42B0F4 Zanim przejdę do dalszych działań i naprawy usługi Połączenia sieciowe, proszę o dodatkową diagnostykę. 1. Na początek wykonaj obowiązkowe ogłoszenie: KLIK. Czyli w dokładnie tej kolejności: odinstalowanie wszystkich programów emulujących napędy, użycie narzędzia SPTDinst do usunięcia sterownika SPTD, restart systemu. 2. Zrób nowy log z GMER. Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, ustaw akcję na Skip i log do oceny przedstaw. . Odnośnik do komentarza
miloszja Opublikowano 12 Października 2012 Autor Zgłoś Udostępnij Opublikowano 12 Października 2012 Bardzo proszę oto logi.Przepraszam za te emulatory napędów nie doczytalem.Odinstalowałem zdjołem sterownik sptd,ale nie kasowałem kluczy rejestru proszę o dokasowanie.Dziękuje za pomoc. gmer.txt TDSS rootkit removing tool.txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2012 Zgłoś Udostępnij Opublikowano 12 Października 2012 TDSSKiller potwierdza moją diagnozę. 1. Uruchom TDSSKiller i dla wyniku Virus.Win32.Rloader.a wybierz akcję Cure. Zresetuj system. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\WINDOWS\System32\html3.dll C:\WINDOWS\tasks\CYAIJDIJ.job :OTL IE - HKLM\..\SearchScopes\{22EB6C5D-D90C-4939-B06B-CC83FCA5D464}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110409051545860&tb_oid=09-04-2011&tb_mrud=09-04-2011" IE - HKCU\..\SearchScopes\{22EB6C5D-D90C-4939-B06B-CC83FCA5D464}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20110409051545860&tb_oid=09-04-2011&tb_mrud=09-04-2011" IE - HKCU\..\SearchScopes\{8A0A3137-EB1F-4426-B1B9-39D59195A98E}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7" DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\S7oppilx.sys -- (S7oppilx) :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania. 3. Rekonstrukcja usługi Połączenia sieciowe (Netman). Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman] "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "Description"="Zarządza obiektami w folderze Połączenia sieciowe i telefoniczne, w którym można wyświetlać zarówno połączenia sieci lokalnej (LAN), jak i połączenia zdalne." "DisplayName"="Połączenia sieciowe" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "ObjectName"="LocalSystem" "Start"=dword:00000003 "Type"=dword:00000120 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 6e,00,65,00,74,00,6d,00,61,00,6e,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netman\Enum] "0"="Root\\LEGACY_NETMAN\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik Zresetuj system. Sprawdź czy Polączenia sieciowe są na miejscu. 4. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 5. Zresetuj plik preferencji Firefox (naleciałości po upgradach i szczątkowe preferencje po adware). Zamknij Firefox (nie może być uruchomiony) i przenieś na Pulpit ten plik: C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\prefs.js Uruchom ponownie Firefox, wygeneruje nowy czysty plik. 6. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) + GMER. . Odnośnik do komentarza
miloszja Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 Zrobiłem tak jak napisałaś.Połączenia sieciowe wróciły na mniejsce.Wielkie dzięki.Załączam logi o które prosiłaś.Mam pytanie czy można i jeśli tak to jak usunąć użytkowników i pozostałości po nich w systemie?Chodzi mi o konta przy logowaniu,i te pliki na dysku po nich. OTL.Txt Extras.Txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2012 Zgłoś Udostępnij Opublikowano 13 Października 2012 Rootkit oraz infekcja przekierowująca szukanie Google usunięte pomyślnie. Reszta zadań prawie wykonana, a prawie: 1. Nie wygląda na to byś wykonał to (lub prowadziłeś operację w nieprawidłowy sposób przy czynnym Firefox): 5. Zresetuj plik preferencji Firefox (naleciałości po upgradach i szczątkowe preferencje po adware). Zamknij Firefox (nie może być uruchomiony) i przenieś na Pulpit ten plik: C:\Documents and Settings\nowy\Dane aplikacji\Mozilla\Firefox\Profiles\uyrleud6.default\prefs.js Uruchom ponownie Firefox, wygeneruje nowy czysty plik. 2. Detal. Nie zwróciłam uwagi na to, że ten klucz nie kieruje do pełnej ścieżki dostępu (jest wbemess.dll a powinno być C:\WINDOWS\system32\wbem\wbemess.dll): ========== ZeroAccess Check ========== [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]"" = wbemess.dll -- [2008-04-15 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)"ThreadingModel" = Both Start > Uruchom > cmd i wklej komendę: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f 3. Na Pulpicie jest nieusuwalny plik-duch: ========== Files Created - No Company Name ========== File not found -- C:\Documents and Settings\nowy\Pulpit\katalog 2010.pdf Nazwa nie jest prawidłowo interpretowana i próba usuwania zwróci komunikat nieistnienia pliku. Poradzi sobie z nim Delete FXP Files. Mam pytanie czy można i jeśli tak to jak usunąć użytkowników i pozostałości po nich w systemie?Chodzi mi o konta przy logowaniu,i te pliki na dysku po nich. Przybliż ten problem, tzn. o jakich użytkownikach i "plikach po nich mowa" i jaki jest problem z pozbyciem się zbędnych kont via Panel sterowania? . Odnośnik do komentarza
miloszja Opublikowano 15 Października 2012 Autor Zgłoś Udostępnij Opublikowano 15 Października 2012 Zrobiłem co napisałaś. Z kontami już sobie poradziłem. Dziękuje za pomoc. Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 (edytowane) Logi mi już nie były potrzebne (faza z GMER dawno ukończona, Extras już mam), usuwam je. Zadania wykonane i możemy przejść do tej fazy: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\TDSSKiller_Quarantine, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj Malwarebytes Anti-Malware (przy pytaniu o typ wersji wybierz darmową a nie komercyjną). Zrób pełne skanowanie. Jeżeli coś zostanie wykryte, przedstaw raport. . Edytowane 16 Listopada 2012 przez picasso 16.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi