jessica

Tym razem usuwanie się powiodło.

Otwórz Notatnik i wklej w nim:

FF NewTab: hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3320613AS_6SZ0C3PCXXXX6SZ0C3PC&ts=1379521004
FF DefaultSearchEngine: delta-homes
FF SearchEngineOrder.1: qvo6
FF SelectedSearchEngine: delta-homes
FF Homepage: hxxp://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=ST3320613AS_6SZ0C3PCXXXX6SZ0C3PC&ts=1379521004

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go.

Zrób nowe logi z FRST.

W logu FRST:

Files to move or delete:
====================
C:\Windows\Tasks\At1.job
C:\Windows\Tasks\At2.job
C:\Windows\Tasks\At3.job
C:\Windows\Tasks\At4.job

Napisane, by usunąć, ale nie jestem pewna, czy drukarka naprawdę tego nie potrzebuje:

Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\HP\HP Photosmart 5510 series\Bin\HPCustPartic.exe
Task: C:\WINDOWS\Tasks\At2.job => C:\Program Files\HP\HP Photosmart 5510 series\Bin\HPCustPartic.exe
Task: C:\WINDOWS\Tasks\At3.job => C:\Program Files\HP\HP Photosmart 5510 series\Bin\HPCustPartic.exe
Task: C:\WINDOWS\Tasks\At4.job => C:\Program Files\HP\HP Photosmart 5510 series\Bin\HPCustPartic.exe

dlatego nie daję tego usuwania.

Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

EDIT:

TAK, wiem, że masz zainstalowaną drukarkę - widać to w logach.

I dlatego wolę nie dawać do usuwania tych "At1.job" - bo widać, że to Zaplanowane Zadania drukarki.

jessi

O4 - HKLM..\Run: [adiras] C:\WINDOWS\adiras.exe ()

 

O4 - HKLM..\Run: [autoclk] C:\WINDOWS\autoclk.exe ()

Ja nie widzę jakoś powodu, by usuwać te prawidłowe, legalne pliki.

http://www.systemlookup.com/Startup/429-Adiras_exe.html

Proces adiras.exe pochodzi od oprogramowanie modemu Sagem

to słowa @Picasso w temacie https://www.fixitpc.pl/topic/5979-wolny-start-albo-jego-brak/?hl=adiras.exe&do=findComment&comment=44972

ten sam modem ma plik autoclk.exe

W nowym logu USBFixa nie widzę już infekcji.

Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

w międzyczasie możesz zrobić nowe logi z FRST i OTL, by @Picasso, jak tu zajrzy, miała do wglądu aktualne logi.

jessi

Plik "autorun.inf"na pewno należy do infekcji.

Natomiast nie wiem, co znaczą te:

JOoXCcepabHrcpWuQYtoIj XWtQylgkGvyOkSqc

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:Files
C:\ouqqh.pif
C:\autorun.inf
D:\mrxdi.exe
D:\autorun.inf

:Commands
[emptytemp]

Zrób nowy log z USBFix.

jessi

przepraszam za spam ale sprawa jest pilna.

 

Na tym Forum obowiązuje zasada: masz problem - to czekaj nawet kilka tygodni czy miesięcy.

To nie mój wymysł, nic na to nie poradzę, taka tu panuje od dawna praktyka.

Pomagający mają swoje prywatne życie, a pomagają tylko wtedy, gdy znajdą na to czas.

Może napisz Prywatną Wiadomość do https://www.fixitpc.pl/user/10978-arekavgpl/

jessi

Zrób log z OTL, ale na specjalnym ustawieniu:

Procesy - brak
Moduły - brak
Usługi - brak
Sterowniki - brak
Rejestr-skan dodatkowy - brak
zaznacz w okienku przy "Pomiń pliki Microsoftu"
zaznacz w okienku przy "Pomiń znane dobre pliki"
brak zaznaczenia przy "Infekcja LOP"
brak zaznaczenia przy "Infekcja Purity".

W pole Własne opcje skanowania/Scrypt wklej:

type C:\autorun.inf /C
type C:\autorun.inf /C

infekcja rozwija się dalej - zachodzi pytanie: skąd, skoro nie podpinasz pendrive'a?
 

C:\ouqqh.pif

D:\mrxdi.exe

jessi

W czasie robienia logu z USBFix nie była podpięta przenośna pamięć (pendrive), z której infekcja przedostała się na dysk twardy.

Usuwamy więc tylko z dysku twardego, pen pozostanie zarażony.

Otwórz Notatnik i wklej w nim:

C:\Users\Adik1\AppData\Local\Temp\winsysl.exe
C:\xkntgk.pif
C:\tnmdj.exe
D:\sgtufo.pif
D:\autorun.inf
C:\autorun.inf
HKLM-x32\...\Runonce: [] -  [x]

Zrób nowe logi z USBFix i FRST.

[26/05/2013 - 17:46:52 | A | 9333536]     D:\a5u1t1.exe

Znasz ten plik (z maja br)?

Nie wszystko się usunęło (podejrzewam, że lewy dolny róg Skryptu nie został wklejony do OTL).

Usuniemy to inaczej:

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-

[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}]

jessi

Ja w logach nie widzę już infekcji.

Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

[HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache]
"C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=-

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

C:\Program Files\Windows Defender\pl-PL => ATTENTION: ZeroAccess. Use DeleteJunctionsIndirectory: C:\Program Files\Windows Defender

Nie wiem, dlaczego FRST to pokazuje - w logu FSS nie było żadnych zastrzeżeń do "Windows Defender"

Chyba trzeba będzie użyć GrantPerms?

Ale to musi być wyjaśnione.

Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

Infekcji już nie widzę.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2013-10-14 17:11:32 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard
[2012-12-06 16:29:55 | 000,000,000 | ---D | M] -- C:\Users\Tomek\AppData\Roaming\Claro

:Files
C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\dcillohgikpecbmgioknapdpcjofaafl

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtector Start Page"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}]

:Commands
[emptytemp]

Zrób nowy log z OTL oraz wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

 po wykonaniu wklejonego skryptu komputer nie zrestartowal sie,

i dlatego powtórz wszystko z mojego poprzedniego postu

jessi

jestem ciekawy co masz z tego ze pomagasz takim ludziom jak ja hehe

Może trochę satysfakcji, jeśli uda mi sie komuś pomóc. :)

W nowych logach nie widzę już niczego do usuwania.

Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

W międzyczasie zrób wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294 - bo i tak @Picasso się o nie upomni.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Ja w logach nie widzę niczego podejrzanego, więc musisz  czekać na @Picasso.

(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

Na jakimś innym forum widziałam, że w podobnym przypadku pomogło wyłączenie jakiegoś akceleratora video w Firefoxie (coś w tym rodzaju, dokładnie nie pamiętam, a nie używam Firefoxa).

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4:64bit: - HKLM..\Run: [TNOD UP] "C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe" /i File not found
O4 - HKU\S-1-5-21-2009013383-1134955951-2523952724-1000..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-2009013383-1134955951-2523952724-1000..\Run: [ASRockXTU]  File not found
O4 - HKU\S-1-5-21-2009013383-1134955951-2523952724-1000..\Run: [zASRockInstantBoot]  File not found

:Commands
[emptytemp]

Czekając na @Picasso zrób wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

jessi

Z logu FSS wynika, że usługa BFE jest zainstalowana, i nie jest uszkodzona.

Zapis erroru pochodzi z 4 listopada, a nie ma z 5 i z dzisiejszego dnia, więc uznaję tę sprawę za przeszłość.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKCU..\Run: [Ykniviicf] C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe
[2013-10-13 10:40:15 | 000,000,000 | ---D | C] -- C:\windows\SysWow64\searchplugins
[2013-10-13 10:40:15 | 000,000,000 | ---D | C] -- C:\windows\SysWow64\Extensions
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found

:Files
C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe
C:\Users\Natalia\AppData\Roaming\Ciuh

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

:Commands
[emptytemp]

Zrób nowe logi z OTL i FRST

(za każdym razem upominam się nowe logi, bo nie wiem, kiedy @Picasso zacznie znów pomagać, a chcę, by od razu miała wgląd do aktualnych logów)

Do  >SystemLook-64 wklej:

:filefind
lydac.exe

:regfind
lydac.exe

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

1) Użyj >USBFix
Kliknij w nim na: DELETION.
Daj raport z tego usuwania.

2) Zrób nowe logi z FRST.

czy Tryb Awaryjny (F8 przed startem Systemu) da się u  ciebie uruchomić.

Pytam, bo zastanawia mnie ten wpis:

=================== Safe Mode (whitelisted) ===================

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"=""

nietypowy. gdyby po "AlternateShell" było : "cmd.exe", to w logu wcale by nie było tego wpisu (bo: whitelisted)

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

[2013-11-04 01:34:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Pirrit

Znasz ten program?

Nic więcej podejrzanego w logach nie widzę.

Na pewno będzie jeszcze kosmetyka, ale to chyba dopiero, gdy logi dokładniej przejrzy @Picasso. ((nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

W międzyczasie możesz zrobić wymagane tu logi z FRST.

jessi

A jaka?

Czy to ważne?

Nazwy zresztą nie pamiętam, ale kojarzy mi się jako spółka z infekcją ZeroAcces lub Weelsof.

Najważniejsze, że to jest infekcja.

Oczywiście wcale nie musisz wykonywać moich zaleceń, możesz czekać na @Picasso. Na pewno się nie obrażę. :)

Ale mogłbyś przynajmnie zrobić log z FSS, chciałabym zobaczyć, czy faktycznie usługa BFE (Postawowy Aparat Filtrowania) jest zniszona, np. przez ZeroAcces'a.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Jeszcze jest infekcja:

1) Do Notatnika wklej:

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

2) Otwórz Notatnik i wklej w nim:

HKCU\...\Run: [Ykniviicf] - C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe [440320 2013-08-22] (Alexander Roshal)
C:\Users\Natalia\AppData\Roaming\Ciuh\lydac.exe
Task: {82413FB8-5B66-4734-9F72-E7C88357AC80} - \BitGuard No Task File
HKLM\...\Run: [] - [x]
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll [97280 2009-07-14] ()
AppInit_DLLs-x32: c:\progra~3\bitguard\271769~1.27\{c16c1~1\bitguard.dll [ ] ()
C:\ProgramData\rXgXgVXn_OLD
C:\Users\Natalia\AppData\Local\avgchrome
C:\Users\Natalia\AppData\Roaming\Casael
C:\Users\Natalia\AppData\Roaming\Wyomk
C:\Users\Natalia\AppData\Roaming\Ciuh
C:\Users\Natalia\AppData\Local\Google\Desktop\Install
C:\Program Files (x86)\Google\Desktop\Install

3) Zrób nowe logi z FRST i OTL.

4)

Error: (11/04/2013 07:39:40 PM) (Source: Service Control Manager) (User: )
Description: Usługa Moduły obsługi kluczy IPsec IKE i AuthIP zależy od następującej usługi: BFE. Ta usługa może nie być zainstalowana.

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Infekcja jest widoczna.

1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-08-14 02:08:15 | 000,073,728 | ---- | C] () -- C:\Users\Tomek\AppData\Roaming\Other.res
O20 - HKCU Winlogon: Shell - (C:\Users\Tomek\AppData\Roaming\Other.res) - C:\Users\Tomek\AppData\Roaming\Other.res ()
[2013-08-08 21:18:31 | 000,035,328 | ---- | C] () -- C:\ProgramData\prxuxvppqlvnnrb
[2013-08-08 21:15:31 | 000,160,768 | ---- | C] () -- C:\ProgramData\jwxdriroompqxsc
[2013-08-08 21:12:31 | 000,142,848 | ---- | C] () -- C:\ProgramData\xfyhvebssvodwqg
[2013-08-08 21:12:31 | 000,000,333 | ---- | C] () -- C:\ProgramData\fbafbbabecc.cfg
O4 - HKCU..\Run: [fbafbbabecc] "C:\ProgramData\fbafbbabecc.exe" File not found
O4 - HKLM..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd File not found
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\wfzzhqyq.sys -- (wfzzhqyq)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ugrresus.sys -- (ugrresus)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\txomjlih.sys -- (txomjlih)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\sjbglhoi.sys -- (sjbglhoi)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\mmpbanok.sys -- (mmpbanok)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ifiqbxny.sys -- (ifiqbxny)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\hlstdxvz.sys -- (hlstdxvz)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\ffmdoenr.sys -- (ffmdoenr)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\apsunzur.sys -- (apsunzur)

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera - do Trybu Normalnego. Zapisz raport, który pokaże się po restarcie.

2) Odinstaluj:

relevantknowledge

"{069B290F-5398-4629-A009-85B4BCB4B1B9}" = Claro Chrome Toolbar

"{83AA2913-C123-4146-85BD-AD8F93971D39}" = BabylonObjectInstaller

"claro" = Claro LTD toolbar

"StartNow Toolbar" = StartNow Toolbar

"V9Software" = V9 Homepage Uninstaller

3) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s1].txt

4) Zrób nowy log z OTL.

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

Gdzie go wykrył?

W logu GMER jest tylko widoczny "rootkit Avast":

Service   C:\Windows\system32\drivers\aswTdi.sys (*** hidden *** )                 [sYSTEM] aswTdi            <-- ROOTKIT !!!
Service   C:\Windows\system32\drivers\aswVmm.sys (*** hidden *** )                 [bOOT] aswVmm              <-- ROOTKIT !!!
Service   C:\Program Files\AVAST Software\Avast\AvastSvc.exe (*** hidden *** )     [AUTO] avast! Antivirus    <-- ROOTKIT !!!

oraz:

Disk      \Device\Harddisk0\DR0          unknown MBR code

czy to laptop?

Poza tym w logach nie widzę niczego podejrzanego.

Ale oczywiście to musi przejrzeć @Picasso.

(nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).
Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

jessi

< type N:\autorun.inf /C  >

[autorun]

action=Get special offers from SanDisk partners

open=RunClubSanDisk.exe

icon=RunClubSandisk.exe

To nie wygląda na infekcję - zostawiamy ten plik w spokoju.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} http://java.sun.com/products/plugin/autodl/jinstall-1_4_0_03-win.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)

O4 - HKU\.DEFAULT..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t File not found

O4 - HKU\S-1-5-18..\Run: [DWQueuedReporting] "C:\PROGRA~1\COMMON~1\MICROS~1\DW\dwtrig20.exe" -t File not found

O4 - HKLM..\Run: [iSUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found

FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found

DRV - [2013-04-07 14:37:04 | 000,033,624 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\avgtpx86.sys -- (avgtp)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5)

DRV - File not found [Kernel | Auto | Stopped] -- System32\Drivers\e4ldr.sys -- (IKANLOADER2)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_juextctrl.sys -- (huawei_ext_ctrl)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcecm.sys -- (huawei_cdcecm)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\e4usbaw.sys -- (e4usbaw)

SRV - [2013-04-07 14:37:03 | 000,990,896 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.0.0\ToolbarUpdater.exe -- (vToolbarUpdater15.0.0)

SRV - File not found [On_Demand | Stopped] --  -- (MSDTC)

MOD - [2013-04-07 14:37:03 | 000,990,896 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.0.0\ToolbarUpdater.exe

 

:Files

C:\Program Files\Common Files\AVG Secure Search

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

"DefaultScope"=-

 

:Commands

[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób nowe logi z FRST i OTL.

Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum).

Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie.

Dlaczego nie moge pisac ogonkow polskich klawiatura czy jezyk.

Ustawiam jezyk polski programisty i po wlaczeniu komputera jezykiem domyslnym jest amerykanski

to też dla @Picasso

jessi

ale wykonaj to, co napisałam w swoim poprzednim poście

jessi

Nie napisałeś, gdzie AVG wykrywa Trojana.

Kosmetyka:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-11-04 13:34:14 | 000,000,276 | ---- | C] () -- C:\Windows\tasks\FoxTab.job

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[HKEY_USERS\S-1-5-21-4223254224-2858116454-1805892346-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-
[-HKEY_USERS\S-1-5-21-4223254224-2858116454-1805892346-1000\Software\Microsoft\Internet Explorer\SearchScopes\{D1029237-CD7E-49ED-ACC0-88C60967C59F}]

:Commands
[emptytemp]

Zrób nowe logi z OTL i FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Potem możesz spokojnie czekać na @Picasso (nie wiem, kiedy będzie w stanie normalnie pomagać na Forum)

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

W logach nie widzę żadnej infekcji.

Będzie kosmetyczne usuwanie, ale to dopiero po dokładniejszym przejrzeniu logów przez @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum)

może spróbuj wg tego:

http://www.pliki.info/plik-shfolder-dll/

tu masz link do mojego pliku (też Win7 x86)

http://www.mediafire.com/?pmos283ab234h32

jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste)

1) odinstaluj 

"WinZipper" = WinZipper

Qtrax Player (Version: 1.00.0001) - jeśli go nie używasz

2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej).  
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner[s0].txt

3) Zrób nowy log z OTL.

Ale oprócz normalnych ustawień, dodaj jeszcze jedno:
W pole Własne opcje skanowania/Scrypt wklej:

msconfig
type N:\autorun.inf /C 

i dopiero wtedy kliknij Skanuj.

jessi