Landuss

Teraz logi poprawnie wykonane i rzeczywiście widać infekcje Weelsof.

 

1. Uruchom GrantPerms i w oknie wklej:

 

C:\WINDOWS\system32\drivers\etc\hosts

 

Klik w Unlock.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL


DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\E.tmp -- (MEMSWEEP2)

DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)

DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)

DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\MediaCoder\SysInfo.sys -- (CrystalSysInfo)

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys -- (catchme)

DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\MAŁGOSIA\USTAWI~1\Temp\5776.sys -- (5776)

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://search.babylon.com/?affID=110824&tt=4712_8&babsrc=HP_ss&mntrId=c447d97100000000000000142adab10b"

IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4712_8&babsrc=SP_ss&mntrId=c447d97100000000000000142adab10b"

IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

O20 - HKCU Winlogon: Shell - (C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat) - C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat ()
 

:Files

attrib /d /s -r -s -h C:\WINDOWS\system32\drivers\etc\hosts /C

C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.ini

C:\Documents and Settings\Małgosia\Dane aplikacji\AltShell.dat
 

:Commands

[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Przez Panel sterowania odinstaluj: Browser Manager / free-downloads.net Toolbar

 

4. Uruchom AdwCleaner z opcji Usuń.

 

5. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

Logi nie wskazują na jakiekolwiek infekcje w tym systemie. Temat zmienia dział.

 

 

pulpit jest i za moment wraca do czarnego obrazu aby za chwile pojawić sie na dobre, tak nie było, jak już sie pokazał to nie znikał.

 

Uruchom system w trybie awaryjnym z obsługą sieci i sprawdź efekty.

 

 

Jeszcze zauważyłem że przeglądarka przy uruchamianiu zastanawia sie nad wczytaniem strony. Np. ma domyślnie uruchamiac google, to przy pierwszym uruchomieniu przeglądarki puste pola wszędzie i dopiero po jakiś 15 sek wypełniają się i strona wczytana, natomiast ponowne uruchomienia już odbywają się błyskawicznie.

 

O jakiej przeglądarce mowa i czy na każdej jest ten problem?

 

 

Przeglądając przy okazji laptopa zobaczyłem w kwarantannie Malwarebytes Anti-Malware kilka trojanów. Nie wiedziałem o ich istnieniu do tej pory bo on sobie w tle chyba je przeniósł do kwarantanny.

 

Wszystkie wyniki nieistotne i nie warte większej uwagi.

Rzeczywiście jest tutaj infekcja. Wykonaj poniższe czynności:

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O20 - HKU\S-1-5-21-1593251271-2640304127-1825641215-96630 Winlogon: Shell - (D:\userdata\wro01692\Application Data\skype.dat) - D:\userdata\WRO01692\Application Data\skype.dat ()

:Files
D:\userdata\wro01692\Application Data\skype.dat
D:\userdata\wro01692\Application Data\skype.ini

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Gdzie ten wirus jest wykrywany i na jakim pliku? W logach niewiele jest do usuwania i nie są to wcale infekcje, a drobne śmieci.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.yd.delta-search.com/?affID=119776&tt=030213_yd&babsrc=HP_ss&mntrId=026cf59400000000000046ec99167c74
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www.yd.delta-search.com/?q={searchTerms}&affID=119776&tt=030213_yd&babsrc=SP_ss&mntrId=026cf59400000000000046ec99167c74
O3:64bit: - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKCU..\Run: [rundll32] C:\Users\Dawid\AppData\Local\Temp\MSDCSC\msdcsc.exe ()
O4:64bit: - HKLM..\Run: []  File not found
O20 - AppInit_DLLs: (c:\progra~3\browse~1\261095~1.52\{c16c1~1\browse~1.dll) - File not found
 
:Files
C:\Users\Dawid\AppData\Roaming\mozilla
C:\Program Files (x86)\mozilla firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Akamai NetSession Interface / DAEMON Tools Toolbar / Yontoo 1.12.02

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Yontoo

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

W najnowszych logach nie widzę obecnie żadnych infekcji. Pytanie więc czy nadal są te restarty?

 

Jeśli tak do wykonania punkt 5 z tego tematu: KLIK

Przede wszystkim logi wykonane ze złego konta:

 

Computer Name: DOMOWY | User Name: Administrator | Logged in as Administrator.

 

To jest Administrator wbudowany w system a nie użytkownik, na którym występuje problem. Wykonaj raz jeszcze logi z prawidłowego konta.

Wszystko pomyślnie usunięte. Pytanie do Ciebie czy problem ustąpił?

 

Przejdź do finalizacji tematu:

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj Adobe Readera do najnowszej wersji: KLIK
 

 

 

Już nie odzyskam zaległego OTLextras. To będzie problem?

 

Ale przecież ten log da się wykonać. Pisałem:

 

 

Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

Czyli zaznacz tę opcję przy skanowaniu i dołącz sam extras.

Nie wklejaj logów w poście edytując poprzedni tylko pisz zawsze w nowym. W logach są nieścisłości. Log z FSS nadal pokazuje konfigurację na plik wirusa w usłudze Windows a log z OTL już tego nie pokazuje. Czy log z FSS był na pewno robiony po operacjach w OTL?

 

Wykonaj go dla pewności raz jeszcze.

W prawym dolnym rogu pisze "Tryb testu Windows 7 Kompilacja 7601".

 

Wspominasz, że to nadal jest i to jest skutek infekcji Necurs. Wykonaj coś takiego:

 

Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

bcdedit /set testsigning off

 

Zresetuj system. Po restarcie problem powinien minąć.

 

 

Ale czasami próbuje mi odpalić stronę purchase z tym, że to jest pusty odnośnik gdzie napisany błąd jest

 

Na jakiej przeglądarce i w jakim momencie to się pojawia?

W logach infekcji nie notuję. Temat przenoszę na dział systemowy bo nie ma tutaj czego szukać.

 

 

w otl jest też:

 

[2010-04-30 23:21:51 | 000,000,008 | RHS- | C] () -- C:\ProgramData\E3A87070E7.sys
[2010-04-30 23:21:50 | 000,003,140 | -HS- | C] () -- C:\ProgramData\KGyGaAvL.sys
 

ale to chyba jest OK.

 

To pliki DivX.

 

Po obecnych logach nie jestem jednoznacznie wskazać przyczyny tej zawiechy, ale sprawdziłbym Avasta. Zrób sobie prosty test - odpal komputer na czystym rozruchu i zobacz jak system działa: KLIK

W takim razie trudno ocenić czy to rzeczywiście jest jakaś infekcja, ja stawiam na fałszywy alarm.

Znasz zasady, wykonaj nowe logi i zaprezentuj ale wątpię bym coś w nich znalazł i temat raczej przeniosę gdzie indziej. Spowolnienie to może być wynik różnych rzeczy i nie musi to być infekcja.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
SRV - File not found [Auto | Unknown] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - File not found [Auto | Unknown] -- C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - File not found [On_Demand | Unknown] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - File not found [Auto | Unknown] -- C:\Program Files\LogMeIn Hamachi\hamachi-2.exe -- (Hamachi2Svc)
SRV - File not found [On_Demand | Unknown] -- C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe -- (gusvc)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://home.sweetim.com/?crg=3.1010000.10025&barid={2057029F-29DA-11E2-88B7-0060B33C4B79}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={2057029F-29DA-11E2-88B7-0060B33C4B79}"
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O3 - HKLM\..\Toolbar: (&Google Toolbar) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [ApnUpdater] "C:\Program Files\Ask.com\Updater\Updater.exe" File not found
O4 - HKLM..\Run: [sweetpacks Communicator] C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe File not found
 
:Files
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.js
 
:Services
gupdatem
gupdate1c9c425e6e615e
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winmgmt\Parameters]
"ServiceDll"=hex(2):"%SystemRoot%\system32\wbem\WMIsvc.dll"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Ask Toolbar

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras).

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246"
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246"
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={08C833B3-672A-11E2-A123-74E543B87420}"
IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,bProtector Start Page = "http://www.delta-search.com/?affID=119292&babsrc=HP_ss&mntrId=aa3b469c000000000000582c80139263"
IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://www.v9.com/?utm_source=b&utm_medium=vlt2&from=vlt2&uid=ST750LM022_HN-M750MBB_S2USJ9EC700603&ts=1359144246"
IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.delta-search.com/?affID=119292&babsrc=HP_ss&mntrId=aa3b469c000000000000582c80139263"
IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://www.delta-search.com/?q={searchTerms}&affID=119292&babsrc=SP_ss&mntrId=aa3b469c000000000000582c80139263"
IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}"
IE - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.10025&barid={08C833B3-672A-11E2-A123-74E543B87420}"
O2 - BHO: (no name) - {C1AF5FA5-852C-4C90-812E-A7F75E011D87} - No CLSID value found.
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-362429970-1221308170-2805157162-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [Adobe] C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Recent.vbe ()
 
:Files
C:\Program Files (x86)\mozilla firefox
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: BrowserProtect / RelevantKnowledge / Funmoods / Search Assistant MocaFlix 1.66

 

Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj BrowserProtect / SaveAs

 

3. Uruchom AdwCleaner z opcji Usuń.

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Teraz weźmiemy się za usunięcie pliku infekcji.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:Files
C:\Windows\SysNative\drivers\61344a88bb952147.sys
 
:Services
61344a88bb952147

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

 

 

W prawym dolnym rogu pisze "Tryb testu Windows 7 Kompilacja 7601". Trzeba to jakoś samemu wyłączyć czy po resecie znika?

 

Czy nadal masz ten problem?

W logach brak śladów jakiejkolwiek infekcji. Temat zmienia dział.

 

Skoro są bluescreeny wykonaj punkt 5 z tego tematu: KLIK

To by było wszystko. Wykonaj kroki na zakończenie:

 

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

"{26A24AE4-039D-4CA4-87B4-2F83217013FF}" = Java 7 Update 13
"{AC76BA86-7AD7-FFFF-7B44-AA0000000001}" = Adobe Reader X (10.1.6) MUI

Szczegóły aktualizacyjne: KLIK

Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście.

 

W kontekście usuwania nie jest tego dużo.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
SRV - File not found [On_Demand | Stopped] --  -- (MSDTC)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\FXDrv32.sys -- (FXDrv32)
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzu0DtDtByBzzzzzyyD0D0DtCtDzyzzzz0FtN0D0Tzu0CtByBtAtN1L2XzutBtFtBtFtDtFtAyEyE&cr=1714938402"
[2013-03-18 22:29:11 | 000,000,000 | ---D | M] (Bruowase22saive) -- C:\Users\dom\AppData\Roaming\mozilla\Firefox\Profiles\4ul8nmzw.default\extensions\raxaioya@khfse.com
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2013-03-18 22:27:09 | 000,000,000 | ---D | C] -- C:\ProgramData\Bruowase22saive

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.
    
Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj Bruowase22saive

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL otl oraz zaległy extras.
 

No chyba jednak nie mój błąd. Wszystko przeklejam jak dawniej i właśnie też to zauważyłem, że bruździ coś tutaj tag nie wiem dlaczego. Kiedy go wymarzę wszystko wyświetla się poprawnie.

Dopiero teraz miałem czas aby zerknąć uważniej w temat. Patrząc na najnowsze logi są ślady starej infekcji ZeroAccess w postaci linku symbolicznego:

 

Hard Links - Junction Points - Mount Points - Symbolic Links ==========
[C:\windows\$NtUninstallKB14293$] ->  -> Unknown point type

 

Tak jak wspominam to tylko szczątek i nie jest ta infekcja obecnie aktywna na tym systemie. Poza tym widzę tylko trochę pustych wpisów do skorygowania i w sumie tyle.

 

1. Uruchom GrantPerms i w oknie wklej:

C:\Windows\$NtUninstallKB14293$

Klik w Unlock.

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
SRV - File not found [Auto | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\qagentrt.dll -- (napagent)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\kmsvc.dll -- (hkmsvc)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\eapsvc.dll -- (EapHost)
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\dot3svc.dll -- (Dot3svc)

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\SAVRKBootTasks.sys -- (SAVRKBootTasks)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\378.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\fcdabus.sys -- (fcdabus)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [Kernel | System | Stopped] -- system32\DRIVERS\avgidsdriverx.sys -- (AVGIDSDriver)
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{24735BE4-9E1F-4FFD-B8F4-BBD05126FD2B}: "URL" = "http://www.searchgateway.net/search-Google-Gateway.php?q=%7BsearchTerms%7D&sa=Search+Here&client=pub-4642981363251965&forid=1&ie=ISO-8859-1&oe=ISO-8859-1&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BL"C%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A11
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{2A7553C1-C0F4-426A-81EA-EEB7BED73382}: "URL" = "http://search.freecause.com/search?ourmark=4&fr=freecause&ei=utf-8&type=63009&p=%7BsearchTerms%7D"
IE - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\SearchScopes\{9709F1F7-26EA-4E47-A8FC-BE17774DA05A}: "URL" = "http://www.mysearchresults.com/search?&c=2652&t=03&q=%7BsearchTerms%7D"
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\ShellBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - No CLSID value found.
O3 - HKU\S-1-5-21-4195601210-1726681247-3743928433-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\.DEFAULT..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found
O4 - HKU\S-1-5-18..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe File not found

:Files
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB14293$ /C

:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) oraz log z Farbar Service Scanner

Wszystko pomyślnie wykonane. Możesz przejść do kroków końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

2. Opróżnij przywracanie systemu: KLIK

3. Zaktualizuj wymienione programy do najnowszych wersji:

"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 32
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)

Szczegóły aktualizacyjne: KLIK

 

Po wykonaniu czyszczenia i restarcie do Chrome'a dodało 3 rozszerzenia, czy mają być włączone? Dodam, że Nod zaczął trochę wariować, zdaje się przy jednym z nich.

 

Rozszerzenia Chrome ja doskonale widzę w logu z OTL i nie ma tutaj niczego niepokojącego, wszystkie są prawidłowe. Gdyby były szkodliwe kazałbym odmontować.

Przejdź do czynności końcowych:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

 

 

Międzyczasie skanowałem avastem i znalazł zainfekowane pliki na d: gdzie jest recovery. Trzeba będzie ją usunąć?

 

Jakie to są pliki? To że coś zostało wykryte to nie znaczy, że to musi być szkodliwe dlatego pytam konkretnie.

 

Zauważyłem też, że w programach uruchamiających się wraz z komputerem jest jakiś dziwny wpis.

 

O jakim wpisie mowa? Ja niczego takiego nie dostrzegam w logach. na razie mimo wszystko dołącz też log z Gmer dla świętego spokoju.

Infekcja jest widoczna, oraz inne śmieci ale zanim przejdziemy do usuwania dołącz brakujący log. Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Uzupełnij ten log w kolejnym poście.