Krzychu60 Opublikowano 7 Lipca 2012 Zgłoś Udostępnij Opublikowano 7 Lipca 2012 I stało się "Komputer zostal zablokowany z powodu naruszenia prawa polskiego". Uruchomilem tryb awaryjny przez F8 system win xp professional. Prosze o pomoc OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 8 Lipca 2012 Zgłoś Udostępnij Opublikowano 8 Lipca 2012 UKASH to wbrew pozorom nie jest najgorsza infekcja tutaj obecna w systemie. Log wskazuje obecność mocniejszego trojana ZeroAccess, który jest groźniejszy i niszczy rzeczy w systemie (kasuje usługi takie jak Zapora czy Centrum zabezpieczeń). Podaj dodatkowe dane: 1. Log identyfikujący punkty ładowania ZeroAccess. Uruchom SystemLook i do okna wklej: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :filefind services.exe Klik w Look. Podaj raport końcowy. 2. Log z Farbar Service Scanner, z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
Krzychu60 Opublikowano 8 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 8 Lipca 2012 Dzieki jak tylko dostane sie w poniedzialek do kompa wykonam j.w. Odnośnik do komentarza
Krzychu60 Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 załączam pliki z systemlook i FSS SystemLook.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 1. Otwórz Notatnik i wklej w nim: reg add HKLM\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /ve /t REG_SZ /d C:\WINDOWS\system32\wbem\wbemess.dll /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v vacnaddzhplvwyd /f reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v GEST /f sc delete First sc delete cpuz131 Adnotacja dla innych czytających: batch unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Plik umieść wprost na C:\. 2. Uruchom BlitzBlank i w karcie Script wklej: DeleteFolder: C:\WINDOWS\Installer\{9c306905-3680-e032-b881-7b76961b5b62} "C:\Documents and Settings\birkrz.ATECHEM\Ustawienia lokalne\Dane aplikacji\{9c306905-3680-e032-b881-7b76961b5b62}" "C:\Documents and Settings\All Users\Dane aplikacji\gduzkhmegkecczd" DeleteFile: "C:\Documents and Settings\All Users\Dane aplikacji\vacnaddz.exe" "C:\Documents and Settings\All Users\Dane aplikacji\mtykhhjvoyqhojr" C:\WINDOWS\birkrz8.xlb Execute: C:\fix.bat Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Execute Now. Zatwierdź restart komputera. Przed ekranem z logo Windows powinien pojawić się ekran z działaniami BlitzBlank. Finalnie BlitzBlank wygeneruje na dysku C log. 3. Po operacji w punkcie 2 system będzie już odblokowany, toteż przejdź do Panelu sterowania i odinstaluj adware Ask Toolbar + Babylon toolbar. 4. Uruchom AdwCleaner i zastosuj w nim Delete. Na dysku C pojawi się log z tego usuwania. 5. Wygeneruj nowe logi OTL z opcji Skanuj, zaległy GMER oraz SystemLook na warunki: :reg HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1} /s HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s :folderfind {9c306905-3680-e032-b881-7b76961b5b62} Wklej do posta zawartość raportu BlitzBlank oraz dołącz log z AdwCleaner. . Odnośnik do komentarza
Krzychu60 Opublikowano 9 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Gmer gmerał bardzo długo ale juz koniec - nic na czerwono - po 7 godzinach coś przy zapisie pliku tekstowego sie stało mysz przestała działać zapisałem na pen jako gmer.txt zrobiłem restart i .... mimo poszukiwań brak pliku. Uruchomiłem systemlook. Czy mam ponownie uruchomić gmer'ka? SystemLook.txt blitzblank.txt AdwCleanerS1.txt OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 9 Lipca 2012 Zgłoś Udostępnij Opublikowano 9 Lipca 2012 Zadania wykonane, ale nie do końca. Poprzednio logi pochodziły z wbudowanego w system konta Administrator, a teraz z właściwego konta użytkownika. Rejestry kont się różnią i tu w logach ujawniły się nowe rzeczy. Akcja: 1. Start > Uruchom > regedit i skasuj ten klucz: HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} 2. Firefox musi być zamknięty. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{E85228F5-E6AC-497E-AE1E-4445406FB6A3}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ444YYPL&apn_uid=A95695FD-F4CF-4542-950B-CF7165EC1C5F&apn_sauid=4E1A073D-DD29-4AE4-AFC4-A57616938874" FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)" FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" FF - prefs.js..browser.search.order.1: "Search the web (Babylon)" FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)" FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?AF=15627" FF - prefs.js..extensions.enabledItems: ffxtlbr@babylon.com:1.1.2 FF - prefs.js..keyword.URL: "http://utils.babylon.com/abt/index.php?url=" O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found. O4 - HKLM..\Run: [] File not found O4 - HKCU..\Run: [vacnaddzhplvwyd] C:\Documents and Settings\All Users\Dane aplikacji\vacnaddz.exe File not found [2012-07-06 14:52:12 | 000,067,584 | ---- | C] (ABS Computer Technologies) -- C:\Documents and Settings\birkrz.ATECHEM\0.257906276897253.exe :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania. 3. Prezentujesz: nowy log OTL z opcji Skanuj + Farbar Service Scanner z wszystkimi opcjami zaznaczonymi. . Odnośnik do komentarza
Krzychu60 Opublikowano 10 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Zrobione 07102012_070425.txt Extras.Txt FSS.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Lipca 2012 Zgłoś Udostępnij Opublikowano 10 Lipca 2012 Wszystko zrobione. Kolejna porcja działań. 1. Mini poprawka na odpadkowe foldery (poprzednio log z OTL nie był ustawiony na LOP Check i nie było tego widać). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\Administrator\Dane aplikacji\BabylonToolbar C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\birkrz\Dane aplikacji\BabylonToolbar C:\Documents and Settings\birkrz\Dane aplikacji\F-Secure C:\Documents and Settings\birkrz.ATECHEM\Dane aplikacji\BabylonToolbar C:\Documents and Settings\birkrz.ATECHEM\Dane aplikacji\OpenCandy C:\Documents and Settings\Default User\Dane aplikacji\BabylonToolbar C:\Documents and Settings\Default User\Dane aplikacji\OpenCandy C:\Documents and Settings\_birkrz\Dane aplikacji\BabylonToolbar C:\Documents and Settings\_birkrz\Dane aplikacji\OpenCandy Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. ZeroAccess uszkodził usługi SharedAccess (Zapora) + wscsvc (Centrum zabezpieczeń). Odbuduj usługi importując stosowne pliki REG: KLIK. 3. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall + ręcznie dokasuj resztę używanych. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw raport. . Odnośnik do komentarza
Krzychu60 Opublikowano 11 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 11 Lipca 2012 Picasso - jesteś WIELKA - wszystko działa Pozostał pkt 5. Wczoraj przeskanowałem MAM ale starą wersją z baza z przed 300dni - komputer nie widział sieci. Wykrył 2 Backdoor'y w programie Pająk (Firmy Moeller do obliczeń zwarciowych w inst. elektrycznych). MAM zlikwidował je. Załaczam raport Dziś po restarcie - dostęp do sieci jest - w "cudowny" sposób (bez interwencji). MAM zaktualizowałem - wykrył "obiekty" - raport nr 2. dysk I - pendrive mbam-log-2012-07-11 (07-08-55).txt mbam-log-2012-07-11 (10-02-58).txt Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2012 Zgłoś Udostępnij Opublikowano 11 Lipca 2012 1. Wyniki na Pająku zdają się być fałszywymi alarmami. W kwestii tego: Wykrytych plików: 2C:\Documents and Settings\birkrz.ATECHEM\0.257906276897253.exe (Trojan.Phex.THAGen1) -> Nie wykonano akcji.I:\_OTL\MovedFiles\07102012_070425\C_Documents and Settings\birkrz.ATECHEM\0.257906276897253.exe (Trojan.Phex.THAGen1) -> Nie wykonano akcji. To jak duplikat. Pierwszy był już przeze mnie przecież usuwany (post numer #7) ... Nie rozumiem, odtworzył się? A drugi to replika tego samego w kwarantannie OTL (i Sprzątanie miało ją zlikwidować). To jak to jest? Jeśli katalog I:\_OTL nadal istnieje, to przez SHIFT+DEL skasuj go. 2. I śmigaj w aktualizacje: KLIK. Tutaj wykaz z Twojej listy zainstalowanych: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 29"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish"{D2D3D146-67BC-43D0-9015-2E7BAC2E032B}" = OpenOffice.org 3.1"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX"Mozilla Firefox (3.0.7)" = Mozilla Firefox (3.0.7) . Odnośnik do komentarza
Rekomendowane odpowiedzi