jessica

MOD - [2014-06-12 07:24:35 | 000,999,955 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\DMCache\chrome.exe

MOD - [2014-06-12 07:24:29 | 000,538,126 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\DMCache\libcurl-4.dll

MOD - [2014-06-12 07:24:25 | 000,084,992 | ---- | M] () -- C:\Users\Piotr\AppData\Roaming\DMCache\zlib1.dll

@Picasso teraz pomaga tylko 2-3 razy w miesiącu, czyli średnio co 12 dni.

Do czasu uzyskania od Niej konkretnej pomocy, możesz zrobić przynajmniej to:

Sprawdź te pliki na --> JOTTI/ albo na VIRUSTOTAL

jessi

Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 26-04-2014 03

Ran by user (administrator) on USER-KOMPUTER on 25-04-2014 22:35:43

ale tu się rzuca w oczy pewna niezgodność: skoro wersja FRST jest z 26 kwietnia, to niemożliwe jest, by log był zrobiony dzień wcześniej (25. 04), niż pojawiła się ta wersja FRST.

Może Użytkownik ma u siebie przestawioną datę?

W takim przypadku logi są aktualne.

jessi

Jeśli @Picasso nie będzie miała jeszcze jakichś zaleceń, to zakończymy:

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

jessi

Aha, w takim razie zostawiamy to w spokoju.

Otwórz Notatnik i wklej w nim:

C:\Users\Adrian\AppData\Local\Temp\InstHelper.exe
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\OCCT.lnk -> C:\Program Files (x86)\OCCTPT\OCCT.exe (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\Uninstall.lnk -> C:\Program Files (x86)\OCCTPT\uninst.exe (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow\makeAVIS.lnk -> D:\ffdshow\makeAVIS.exe (No File)
Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow\Odinstaluj ffdshow.lnk -> D:\ffdshow\unins000.exe (No File)
FF Extension: vShare Add-On - C:\Program Files (x86)\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?...25&l=dis&gct=hp
Reboot:

jessi

Folder Usunięto : C:\Program Files (x86)\BitLord 2

Folder Usunięto : C:\Users\Adrian\AppData\Roaming\BitLord

Folder Usunięto : C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitLord

Folder Usunięto : C:\Users\Adrian\Documents\BitLord

Czy Adw-Cleaner nie usunął przez pomyłkę programu zainstalowanego przez Ciebie?

jessi

Wg mnie jest trochę lepiej.

To dobrze.

Teraz już będziesz mógł spokojnie, bez nerwów czekać, aż @Picasso tu zajrzy (nie wiem kiedy?).

W logach widać jeszcze kilka rzeczy do usunięcia, ale to tylko kosmetyczne usuwanie, więc może zaczekać.

C:\Users\Adrian\AppData\Local\Temp\InstHelper.exe

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\OCCT.lnk -> C:\Program Files (x86)\OCCTPT\OCCT.exe (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT\Uninstall.lnk -> C:\Program Files (x86)\OCCTPT\uninst.exe (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow\makeAVIS.lnk -> D:\ffdshow\makeAVIS.exe (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow\Odinstaluj ffdshow.lnk -> D:\ffdshow\unins000.exe (No File)

FF Extension: vShare Add-On - C:\Program Files (x86)\Mozilla Firefox\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}

HKCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?o=16625&l=dis&gct=hp

Masz Adw-Cleaner, ale nie jestem pewna, czy go użyłeś, jeśli nie, to teraz możesz użyć:

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

Działają dwa Antywirusy - jeden z nich usuń.

Do usuwania NOD'a służy ESET Uninstaller - http://kb.eset.com/esetkb/index?page=content&id=SOLN2289&cat=EAV&actp=LIST

Do usuwania Avasta służy Avast Uninstall Utility - http://www.avast.com/uninstall-utility

jessi

Otwórz Notatnik i wklej w nim:

AppInit_DLLs:  C:\PROGRA~2\OPTIMI~1\OPTPRO~3.DLL => C:\PROGRA~2\OPTIMI~1\OPTPRO~3.DLL File Not Found
AppInit_DLLs-x32:  c:\progra~2\optimi~1\optpro~2.dll => "c:\progra~2\optimi~1\optpro~2.dll" File Not Found
HKLM-x32\...\Run: [] - [X]
HKLM-x32\...\Run: [fst_pl_102] - [X]
KCU\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?o=16625&l=dis&gct=hp
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1397149942&from=slbnew&uid=SAMSUNGXHM641JI_S26XJ9EB205312&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1397149942&from=slbnew&uid=SAMSUNGXHM641JI_S26XJ9EB205312&q={searchTerms}
URLSearchHook: HKCU - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
SearchScopes: HKCU - {02B6C7C0-FC17-434D-A971-DE352D61545F} URL = http://websearch.ask.com/redirect?client=ie&tb=VSAT&o=16625&src=crm&q={searchTerms}&locale=&apn_ptnrs=2K&apn_dtid=YYYYYYYYPL&apn_uid=D6C999B5-D74D-4BF9-9E3C-C10077B6A6E4&apn_sauid=221E94B3-12D4-41EA-BEE4-2178CF4FFB4B
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
BHO-x32: vShare Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKLM-x32 - vShare Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} -  No File
Toolbar: HKCU - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
C:\Program Files (x86)\predm
C:\Users\Adrian\AppData\Roaming\SupTab
C:\Program Files (x86)\SupTab
C:\Users\Adrian\AppData\Local\Lollipop
C:\ProgramData\WPM
C:\Users\Adrian\AppData\Roaming\Optimizer Pro
C:\Program Files (x86)\DAEMON Tools Toolbar
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

Zrób nowe logi FRST.

czy to trochę poprawiło sytuację?

jessi

A teorii o istnieniu SALITY nie potwierdzają Twoje logi - nic nie wskazuje na istnienie tej infekcji.

Prawdopodobnie problemy wywołują te:

PRC - [2014/04/10 19:12:41 | 000,566,272 | ---- | M] (Cherished Technololgy LIMITED) -- C:\ProgramData\WPM\wprotectmanager.exe
PRC - [2014/03/31 05:23:12 | 000,688,240 | ---- | M] (Cherished Technololgy LIMITED) -- C:\ProgramData\IePluginService\PluginService.exe

Pierwszy jest na liście Twoich programów, więc od razu go odinstaluj.

Natomiast drugiego nie widzę na liście Twoich programów, więc usuwanie poda Ci @Picasso (jak już podasz brakujące logi).

webssearches uninstaller - to tez możesz odinstalować od razu, jeszcze przed zrobieniem logów z FRST.

jessi

@Picasso

Dzięki za wytłumaczenie.

Ale nie zgadzam się z Tobą w kwestii tego:

I jeszcze w kwestii skanu dostosowanego OTL: przecież FRST pokazuje skan Netsvc (skan główny) i msconfig (Addition) out-of-box... Cały czas były te dane.

Przecież wyraźnie widać, że FRST nie widzi tego, co widzi OTL (logi robione prawie w tym samym czasie, więc można wykluczyć, że w międzyczasie Użytkownik podpiął pendrive i nastąpiła reinfekcja, a dwie usługi były zarówno w FRST, jak i OTL, ale w FRST te usługi były uznane za bezplikowe, ):

Log FRST:

==================== NetSvcs (Whitelisted) ===================

NETSVC: stxqdgyoo -> No Registry Path.
NETSVC: fkczmzlrw -> No Registry Path.

W logu FRST  nie ma w ogóle pliku "clitj.dll"

Log OTL:

SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cljtj.dll -- (vesmabzas)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (stxqdgyoo)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (jrndnunlg)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (fkczmzlrw)

Wyraźnie widać, że FRST nie wykrył pliku tej usługi, i nie wykrył dwóch innych usług związanych z tym plikiem.

Dlatego zaleciłam dodatkowe ustawienie w OTL - skoro FRST nie jest w stanie zobaczyć aktywnego Confickera, wykrywa tylko nieaktywne ślady.

Usługi "fkczmzlw" i "stxqdqyoo" były zarówno w czasie wykonywania logu FRST, jak i logu OTL, ale tylko OTL określił je jako aktywne, z plikiem.

jessi

W tych logach nie widzę już aktywnego Confickera (jest tylko ślad).

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
NetSvcs: wmdmpmsp -  File not found
NetSvcs: dxcbzuyhj -  File not found

:Commands
[emptytemp]

Zrób nowe logi z OTL - na takim samym dodatkowym ustawieniu, jak ostatnio.

Zrób też logi z FRST, bo może @Picasso zechce je obejrzeć.

jessi

ArcaBit niech to usunie - "Downadup" to inna nazwa Confickera.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
SRV - [2014-04-07 09:08:59 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\Program Files\Internet Explorer\cljtj.dll -- (dxcbzuyhj)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\026.tmp -- (rlqfblkb)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\03.tmp -- (oirmdiehy)
O4 - HKLM..\Run: [sSC Service Utility] C:\Program Files\SSC Service Utility\ssc_serv.exe /s File not found

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z OTL, ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:

netsvcs

jessi

Hmm, w logu FRST widać tylko ślady po Confickerze, natomiast w logach OTL widać, że Conficker jest dalej aktywny.

Ja nie zastąpię @Picasso, ale przynajmniej można spróbować usunąć.

Ponieważ FRST nie widzi Confickera, to usuwać go będziemy w OTL,

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Movie Maker\cljtj.dll -- (vesmabzas)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (stxqdgyoo)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (jrndnunlg)
SRV - [2008-04-15 14:00:00 | 000,161,612 | RHS- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\cljtj.dll -- (fkczmzlrw)
NetSvcs: stxqdgyoo - C:\WINDOWS\system32\cljtj.dll ()
NetSvcs: fkczmzlrw - C:\WINDOWS\system32\cljtj.dll ()

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"8870:TCP"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

jessi

Patrzę, patrzę, i jakoś nie widzę tu ani jednej osoby spośród tych, którzy od wielu tygodni, a nawet miesięcy, oczekują na pomoc w dziale pomocy doraźnej.

Podkreślam: ani jednej.

Warto byłoby poznać ich zdanie, czy w pewnych sytuacjach dopuścić inne osoby do pomagania, czy lepiej czekać kilka miesięcy na pomoc.

Tylko ich zdanie tu się liczy.

Niestety, obawiam się, że osoby te nie piszą tu, bo obawiają się zemsty - ich tematy zostaną pominięte przy pomaganiu.

A piszą tu tylko osoby, które nie oczekują na pomoc, tylko po co piszą, jeśli nie jest znane zdanie samych zainteresowanych, czyli osób potrzebujących pomocy?

Jest znane takie określenie: sztuka dla sztuki. Doskonale pasuje do sytuacji.

jessi

czy w międzyczasie podpinałeś jakiś pendrive?

a może zrób nowe logi z FRST i OTL?

z tym, że logi OTL zrób na dodatkowym ustawieniu:

W pole Własne opcje skanowania/Scrypt wklej:

msconfig

netsvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List

i dopiero wtedy kliknij Skanuj.

jessi

Widzę, ze dalej czekasz, choć już upłynęło tyle czasu - nie ma sensu dalej czekać na pomoc, bo chyba sam już zauważyłeś, że to Forum rozpada się, sypie się jak łupież z głowy.

To być może z powodu złego stanu zdrowia Picasso, nie wiem tego, bo nikt o tym nie napisał, nie wytłumaczył użytkownikom czekającym na pomoc.

FSS nic ciekawego nie wykrył. Windows Defender jest wyłączony, ale to chyba sam go wyłączyłeś?

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O4 - Startup: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Xfire.lnk =  File not found

 

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-312489949-4146600406-2226856705-1001\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie

Daj go.

Na ostateczną ocenę musisz poczekać na @Picasso.

Nie wiem, kiedy zajrzy do Twego tematu.

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

@Picasso miała już dziś zacząć pomagać, ale wygląda na to, że jeszcze nie całkiem wyzdrowiała.

Otwórz Notatnik i wklej w nim:

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

S2 Util WebConnect; "C:\Program Files (x86)\WebConnect\bin\utilWebConnect.exe" [x]

C:\Users\Krzysiek\AppData\Local\Temp\ntdll_dump.dll

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

Zrób nowe logi z FRST.

Error - 2013-12-01 22:00:08 | Computer Name = KrzysiekO | Source = Service Control Manager | ID = 7001

Description = Usługa Usługa listy sieci zależy od usługi Rozpoznawanie lokalizacji

 w sieci, której nie można uruchomić z powodu następującego błędu:   %%1068

Zrób log z Farbar Service Scanner.

jessi

1) Otwórz Notatnik i wklej w nim:

CHR DefaultSearchURL: (Delta Search) - http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B68C742F6851E48C&affID=119357&tsp=4978

CHR DefaultSuggestURL: (Delta Search) - {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&q={searchTerms}&{google:cursorPosition}{google:zeroPrefixUrl}sugkey={google:suggestAPIKeyParameter}

I:\~~HKOPIRVMDFMSBBWRD.ini

I:\desktop.ini

I:\Thumbs.db

G:\desktop.ini

G:\Thumbs.db

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

Daj go.

2) Zrób log z OTL na ustawieniach:

Procesy - brak

Moduły - brak

Usługi - brak

Sterowniki - brak

Rejestr-skan dodatkowy - brak

zaznacz w okienku przy "Pomiń pliki Microsoftu"

zaznacz w okienku przy "Pomiń znane dobre pliki"

brak zaznaczenia przy "Infekcja LOP"

brak zaznaczenia przy "Infekcja Purity".

W pole Własne opcje skanowania/Scrypt wklej:

type G:\autorun.inf /C  

type I:\autorun.inf /C

i dopiero wtedy kliknij Skanuj.

3) Zrób nowy log z USBFix LISTING.

G:\Removable Disk (2GB).lnk

 I:\Removable Disk (8GB).lnk

To o tych skrótach pisałeś?

Wuygląda na to, że w nich jakieś obiekty, bo mają duży rozmiar.

Teoretycznie trzeba je całkowicie usunąć, ale jakoś nie mam odwagi tego zalecić, nie chcę zaszkodzić.

jessi

F:\hflouiygf

Ja daję to do usuwania, ale jeśli znasz to, to usuń całą linijkę z tym z poniższego Skryptu.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files

RECYCLER /alldrives

C:\Users\asiaarek\AppData\Local\dt.dat

F:\hflouiygf

:Reg

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[-HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\SearchScopes\{6E71E502-B218-4259-86C5-CED6E6306E6C}]

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowy log z USBFix, z opcji LISTING.

jessi

@Picasso ma już dziś (po wyzdrowieniu) zacząć pomagać - ale nie jest to takie pewne ...

W logach widzę tylko resztki dawnej infekcji. Usuniemy je:

SRV - File not found [Auto | Stopped] -- %WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll -- (helpsvc)

Wg mnie tak nie powinno być (brak pliku Systemowego).

Ale to, i ewentualnie inne "rzeczy" (których ja nie dostrzegam) pozostawiam dla @Picasso.

Log FRST.txt nie jest cały.

jessi

Dziś ma już, po wyzdrowieniu, pomagać @Picasso, więc jeśli rzeczywiście tak będzie, to nie wykonuj moich zaleceń, lecz zalecenia @Picasso!

1) Są ślady po sponsorskich śmieciach, więc użyj AdwCleaner.  

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner[s0].txt

2) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

[2013-11-28 23:46:01 | 000,000,000 | ---D | C] -- C:\Users\asiaarek\Documents\Mobogenie

[2013-11-28 23:46:01 | 000,000,000 | ---D | C] -- C:\Users\asiaarek\AppData\Local\Mobogenie

O7 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Windows Update = "C:\Users\asiaarek\AppData\Roaming\Identities\obymc\obymc.exe" -shell

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 5087 = c:\progra~2\dxnursf.exe

O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [Gvlalg] C:\Users\asiaarek\AppData\Roaming\Microsoft\Gvlalg.exe File not found

O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [minerd] C:\Users\asiaarek\AppData\Roaming\minerd\nircmd.exe (NirSoft)

O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [Real Desktop] "C:\Program Files\Real Desktop\Real Desktop.exe" File not found

O4 - HKU\S-1-5-21-3058917420-1398428727-842094532-1001..\Run: [screen Saver Pro 3.1] C:\Users\asiaarek\AppData\Roaming\ScreenSaverPro.scr File not found

O4 - HKLM..\Run: [mobilegeni daemon] C:\Program Files\Mobogenie\DaemonProcess.exe ()

O4 - HKLM..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" File not found

O4 - HKLM..\Run: [bambooCore] C:\Program Files\Bamboo Dock\BambooCore.exe File not found

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wacomvhid.sys -- (wacomvhid)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wacommousefilter.sys -- (wacommousefilter)

:Files

K:\.Trasher

C:\Users\asiaarek\AppData\Roaming\pwo6

C:\Users\asiaarek\AppData\Roaming\minerd

C:\Users\asiaarek\AppData\Roaming\Babylon

C:\Program Files\Mobogenie

C:\Users\asiaarek\AppData\Roaming\Identities\obymc

K:\*.lnk

attrib /d /s -s -h K:\* /C

:Reg

[HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\Main]

"Start Page"="http://www.google.com/"

[-HKEY_USERS\S-1-5-21-3058917420-1398428727-842094532-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.

Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

3) Zrób log z USBFix

Kliknij w nim na LISTING.

Daj raport z tego.

jessi

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
RV - File not found [Adapter | On_Demand | Unknown] --  -- (Winsock - Google Desktop Search Backup Before Last Install)
DRV - File not found [Adapter | On_Demand | Unknown] --  -- (Winsock - Google Desktop Search Backup Before First Install)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\TpChoice.sys -- (TpChoice)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Arek\AppData\Local\Temp\sony_ssm.sys -- (sony_ssm.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\PktIcpt.sys -- (GDPkIcpt)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (ak8ygpq2)
FF - HKLM\Software\MozillaPlugins\@ganymede/GanymedeNetPlugin,version=1.0: E:\Arkadiusz\Gry\Poker\Ganymede\Plugins\npganymedenet.dll File not found
O4 - HKLM..\Run: [NDSTray.exe] NDSTray.exe File not found
O9 - Extra 'Tools' menuitem : Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra Button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?PL File not found

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"

:Commands
[emptytemp]

Raportu z tego już nie dawaj.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL)
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso. Teoretycznie zacznie pomagać, po wyzdrowieniu, od poniedziałku, ale nie wiadomo, kiedy zajrzy do Twego tematu (ma zaległości jeszcze z września, października, listopada).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

Teraz powinno już być OK.

Teraz pozostaje Ci tylko czekać na ostateczną ocenę @Picasso (prawdopodobnie zacznie znów pomagać od poniedziałku, ale nie wiadomo, kiedy zajrzy do Twego tematu - ma zaległe tematy od września!).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

W USBFix kliknij na przycisk UNINSTALL.

Rogue Killer - usuń ręcznie.

OTL i FRST -na razie niech jeszcze zostaną, może @Picasso jeszcze coś zaleci do nich.

jessi

Pen "G" jest pusty? USBFix nic na nim nie widzi.

Ale na "D" i na "E" są pliki infekcji.

Usuniemy je:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
netsh advfirewall reset /C
vndh.exe /alldrives
nrdhp.pif /alldrives

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] /64
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Commands
[emptytemp]

Zrób nowy log z USBFix LISTING.

jessi

Niebieski ekran śmierci pokazuje problem ze sterownikiem o ścieżce dostępu Driver: C:\Users\JAREKI~1.JAR\AppData\Local\Temp\pgriruoc.sys

 Dodatkowo scan z vba32 antirootkit-niestety nie udało się wysłać.

"pqriuoc.sys" to prawdopodobnie wirtualny obiekt stworzony przez GMER.

Skan VBA to plik o rozszerzeniu *.html - Forum nie dopuszcza takich załączników ze względu na to, że infekcja RAMNIT/NIMNUL zaraża wszystkie pliki *.html, co mogłoby zarazić Forum.

Wszystkie foldery są w Autostarcie! To nie jest normalne.

Na rozwiązanie tego problemu musisz poczekać na @Picasso - prawdopodobnie już od poniedziałku zacznie znów pomagać po wyzdrowieniu.

Log FRST Addition - jest pusty, brak w nim zawartości (jest tylko nagłówek).

jessi