Wyświetla się "Zapraszamy" i nic się nie dzieje

[karolek2233]

Komputer niby się włącza , ale jak już pokazuję się pasek "Zapraszamy" (windows xp sp3) to nic się nie dzieje tak jak by się zawieszało

 

Dodam , że teraz wbiłem na awaryjnym

OTL.Txt

Extras.Txt

[picasso]

Nie dodałeś obowiązkowego raportu z GMER. A infekcja tu jest:

 

O4 - Startup: C:\Documents and Settings\xpsp3\Menu Start\Programy\Autostart\ukxuqbcb.exe (XEP32)

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\xpsp3\Menu Start\Programy\Autostart\ukxuqbcb.exe
C:\Documents and Settings\All Users\Dane aplikacji\Bcool
C:\Documents and Settings\All Users\Dane aplikacji\OptimizerPro
C:\Documents and Settings\All Users\Dane aplikacji\OptimizerPro1
C:\Documents and Settings\All Users\Dane aplikacji\SpeedBit
C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager
C:\Documents and Settings\xpsp3\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\xpsp3\Dane aplikacji\ESET
C:\Documents and Settings\xpsp3\Dane aplikacji\nod32 updater
C:\Documents and Settings\xpsp3\Dane aplikacji\SendSpace
C:\Program Files\Mozilla Firefox
netsh firewall reset /C
 
:OTL
O4 - HKLM..\Run: [DelReg] C:\Program Files\MSI\DualCoreCenter\DelReg.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "http://java.sun.com/update/1.7.0/jinstall-1_7_0_07-windows-i586.cab" (Reg Error: Key error.)
O20 - Winlogon\Notify\noyluwa: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\nvoclock.sys -- (NVR0Dev)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
 
:Reg
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart komputera. Opuść Tryb awaryjny.

 

2. Przez Panel sterowania odinstaluj adware 1ClickDownloader, AVG Security Toolbar, Pandora Service (nadwyżka od KMPlayer).

 

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log utworzony przez AdwCleaner. Przed uruchomieniem GMER należy wykonać ogłoszenie = usunąć emulatory napędów wirtualnych i ten sterownik SPTD:

 

DRV - [2012-10-24 20:31:39 | 000,436,792 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Stopped] -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd)

 

 

 

.

[karolek2233]

Żeby nie było poczekaj 5 min już daje logi z otl i z gmera

 

 

Edit 1 : dodane log z otl

 

 

Edit 2 : dodany log z Gmer - Proszę o dalsze instrukcje

AdwCleanerS3.txt

OTL.Txt

GmerLog.txt

[picasso]

Zastrzeżenia do logów:

- Log z GMER definitywnie powstał w nieprawidłowym środowisku przy czynnym emulatorze napędów wirtualnych. Mówiłam, by wykonać: KLIK. Ale zostaw to już.

- Kierowałam do opisu AdwCleaner i strony domowej z najnowszą wersją, a Ty użyłeś archaiczny AdwCleaner v2.007. Najnowszy to 2.100.

- Kolejna sprawa: nie zwróciłam uwagi na to wcześniej, ale pierwszy log OTL zrobiłeś ze złego konta (Administrator wbudowany w system). Teraz jest z właściwego i nowe śmietnisko adware się ujawniło.

 

Czyli do wykonania doczyszczanie:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ROC_roc_ssl_v12"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"bProtectorDefaultScope"=-
"BrowserMngrDefaultScope"=-
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt.

 

2. Pobierz najnowszy AdwCleaner i zastosuj Delete.

 

3. W Google Chrome cała pula wtyczek adware:

 

========== Chrome  ==========
 
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\chvsharetvplg.dll
CHR - plugin: LiveVDO plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll
CHR - plugin: Babylon ToolBar (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.8_0\BabylonChromeToolBar.dll
CHR - plugin: SweetIM GC Helper (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\mgHelperGCFB.dll
CHR - plugin: Conduit Chrome Plugin (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/ConduitChromeApiPlugin.dll
CHR - plugin: Conduit Radio Plugin (Enabled) = C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.11.21.5_0\plugins/np-cwmp.dll

 

Ich usunięcie wymaga już edycji kodu pliku Preferences. Skopiuj na Pulpit ten plik:

 

C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Ja plik zedytuję i odeślę do podmiany.

 

4. Zrób nowy log OTL z opcji Skanuj. Dołącz log utworzony przez AdwCleaner oraz link do w/w pliku Preferences.

 

 

 

.

[karolek2233]

Link do pliku - http://www21.zippysh...85456/file.html

 

 

ps. nie wiem co , ale ja odinstalowywałem google chrome

AdwCleanerS4.txt

OTL.Txt

[picasso]

A rzeczywiście, Google Chrome nie ma wejścia na liście zainstalowanych. Na dysku za to masa wpisów. To należy wyrzucić te szczątki.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\xpsp3\Ustawienia lokalne\Dane aplikacji\Google
C:\Documents and Settings\xpsp3\Dane aplikacji\Mozilla
 
:Reg
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{BF42FD7A-47C9-401D-A5FC-EAAEAED53CFB}"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{BF42FD7A-47C9-401D-A5FC-EAAEAED53CFB}]
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-

 

Klik w Wykonaj skrypt.

 

2. Zrób nowy (już ostatni) log OTL z opcji Skanuj (bez Extras).

 

 

 

.

[karolek2233]

Proszę !

OTL.Txt

[picasso]

Wykonane. Przejdź do:

 

1. Dokasuj te foldery:

 

C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software

C:\Documents and Settings\All Users\Dane aplikacji\ESET

 

2. Wyczyść po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Wykonaj pełne skanowanie w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[karolek2233]

Ładnie , Malwarebytes wykrył 35 wirusów o_O

 

 

Plików nie usuwałem bo kiedyś też wyszukał wirusy - usunołem , restart kompa i komputer nie chce sie odpalić

mbam-log-2012-12-15 (19-05-18).txt

[picasso]

Śmietnisko owszem wykryte i większość wyników jest szkodliwa, niektóre pozycje to stare infekcje i to musiało siedzieć w systemie już spory czas. Usuń za pomocą programu wszystko z wyjątkiem RemoveWGA, trainerów gier i wyników z katalogu wirtualizacji Thinstall Office 2007 (fałszywe alarmy):

 

C:\Documents and Settings\xpsp3\Pulpit\Programy\RemoveWGA.exe (PUP.RemoveWGA) -> Nie wykonano akcji.
 
C:\Program Files\Trainer Maker Kit\static.dat (PUP.HackTool.HotKeysHook) -> Nie wykonano akcji.
D:\RESIDENT EVIL 5 DX9 v1.0.0.129 13 Trainer.exe (HackTool.GamesCheat) -> Nie wykonano akcji.
D:\Half Life Logo Creator.exe (Worm.Magania) -> Nie wykonano akcji.
D:\Program Files\GMZ Trainer\asd.exe (Backdoor.Small) -> Nie wykonano akcji.
D:\Program Files\xDpD\Swords and Soldiers HD v1.0 + 2 Trainer.exe (HackTool.GamesCheat) -> Nie wykonano akcji.
 
D:\Program Files\Microsoft Office PowerPoint 2007\Thinstall\MOEPP2007\300000003f00002i\CLVIEW.EXE (Trojan.IRCBot) -> Nie wykonano akcji.
D:\Program Files\Microsoft Office PowerPoint 2007\Thinstall\MOEPP2007\30000000cf00002i\MSTORDB.EXE (Trojan.IRCBot) -> Nie wykonano akcji.

 

Po usunięciu ponów skan i potwierdź mi, że nic nowego się nie pojawiło.

 

 

Plików nie usuwałem bo kiedyś też wyszukał wirusy - usunołem , restart kompa i komputer nie chce sie odpalić

 

Pewnie to był crack aktywacji XP (antiwpa.dll). Jego usunięcie owszem odcina dostęp, bo Windows przestaje być oszukiwany, że działa legalnie.

 

 

 

.

[karolek2233]

Mam pytanie czy te klucze rejestru też usunąc?

 

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Data: smtp.yandex.ru -> Nie wykonano akcji.

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Nie wykonano akcji.

mbam log.txt

[picasso]

Podałam czego nie usuwać, czyli wszystko inne do usunięcia, w tym te klucze.

[karolek2233]

Dobrze usunołem , dałem log w poprzednim poście..

[picasso]

Na zakończenie:

 

1. Odbyły się tu kolejne zmiany konfiguracyjne, toteż ponownie wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie masz zainstalowane:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 9
"{AC76BA86-7AD7-1033-7B44-A70800000002}" = Adobe Reader 7.0.8
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6

 

Czyli: odinstaluj wszystkie podane wystąpienia Adobe + Java i zastąp najnowszymi wersjami, zaktualizuj systemowy Internet Explorer (nawet jeśli go nie używasz).

 

Uwaga dodatkowa: jest tu zainstalowany potwór Gadu-Gadu 10. Program zabójczy dla zasobów, a na dodatek wersja wycofana (wyłączono też serwisy integrowane w tym koszmarze). Polecam alternatywne programy do obsługi sieci Gadu: WTW, Kadu, AQQ, Miranda. Opisy: KLIK.

 

3. Ostatni sprawdzany log nie wykazywał obecności żadnego programu zabezpieczającego. Nadrób. Tylko w pierwszej kolejności zrób coś z miejscem na dysku, poprzedni log wykazał bardzo mało wolnego na C:

 

Drive C: | 29,29 Gb Total Space | 1,47 Gb Free Space | 5,01% Space Free | Partition Type: NTFS

 

 

 

.

[karolek2233]

Takie pytanie . Jaki program anty wirusowy polecasz? najlepiej albo darmowy, albo do którego są cracki ;D

[picasso]

Udaję, że nie słyszałam tego drugiego pytania, i pewnie to jedna z dróg jaką się nabawiłeś świństw. Co do darmowych cokolwiek z tego wybierzesz będzie OK:

• Zapora: PrivateFirewall, Online Armor Free, COMODO Firewall
  
• Antywirus: Avast, AVG, Kingsoft Antivirus, Panda Cloud Antivirus, Microsoft Security Essentials
  
• Pakiet: COMODO Internet Security
  
• Piaskownica wirtualna: SandBoxie (30-dni trialu, ale da się po tym korzystać za free tylko ekran przypominający o zakupach się uruchamia), GeSWall Freeware
  

 

.