Weryfikacja na okoliczność wirusów - optymalizacja pc

[Pepsi]

Witam,

Chciałbym prosić abyście sprawdzili logi z otl, wysyłam je w celu upewnienia się czy na komputerze nie ma żadnych wirusów itp.

 

Niżej załączam logi.

 

Z góry dziękuje za pomoc.

Pozdrawiam,

Pepsi.

Extras.Txt

OTL.Txt

[picasso]

Zasady działu na temat "refów": KLIK. To leci do kosza i nic nie przyśpiesza. Brak obowiązkowego raportu z GMER.

 

Niestety, ale system nie jest czysty. Są adware, keylogger Tibia oraz komponenty wirusa Sality (poniższy sterownik + autoryzacje opisane jako "ipsec" w Zaporze systemowej):

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\kkkoo.sys -- (amsint32)

 

Wirus ten niszczy wszystkie wykonywalne na wszystkich dyskach. Jeśli wirus jest czynny (trudno to stwierdzić na razie), być może okaże się konieczny format. Wstępna próba leczenia:

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys. Uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
CHR - Extension: No name found = C:\Documents and Settings\DOMOWY\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ejpbbhjlbipncjklfjjaedaieimbmdda\10.13.20.29\
O20 - AppInit_DLLs: (c:\docume~1\alluse~1\daneap~1\browse~1\25976~1.107\{c16c1~1\mngr.dll) -  File not found
O20 - Winlogon\Notify\LogonInit: DllName - (logonInit.dll) - C:\Program Files\Common Files\logonInit.dll ()
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
 
:Files
C:\Program Files\Common Files\userInit.dll
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\IBUpdaterService
C:\Documents and Settings\All Users\Dane aplikacji\n7-89-o9-3r-4t-r9
C:\Documents and Settings\All Users\Dane aplikacji\~Browser Manager
C:\Documents and Settings\DOMOWY\UserData
C:\Documents and Settings\DOMOWY\Dane aplikacji\Babylon
C:\Documents and Settings\DOMOWY\Dane aplikacji\PerformerSoft
C:\Documents and Settings\DOMOWY\Ustawienia lokalne\Dane aplikacji\CRE
C:\Documents and Settings\DOMOWY\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Program Files\Conduit
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\WINDOWS\System32\custmon32i.dll
C:\WINDOWS\System32\crash
netsh firewall reset /C
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"EnableLUA"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\DirectAnimation Java Classes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Przez Panel sterowania odinstaluj adware DealPly, Internet Explorer Toolbar 4.6 by SweetPacks, SweetPacks bundle uninstaller, Winamp Toolbar. O ile da radę (uszkodzenia Sality).

 

5. Otwórz Google Chrome i w Rozszerzeniach odinstaluj AVG Secure Search, Claro Toolbar, DealPly, Settings Protector. Zmień stronę startową.

 

6. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

7. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

8. Zrób nowy log OTL z opcji Skanuj (by powstał ponownie plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania") + zaległy GMER. Dołącz log utworzony przez AdwCleaner. Podsumuj co robił SalityKiller.

 

 

 

.

[Pepsi]

Wszystkie podpunkty wykonane załączam logi z GMERA i otl.

 

 

Czekam na odpowiedz i dalsze instrukcje.

OTL.Txt

Extras.Txt

AdwCleanerS1.txt

gmerlog.txt

[picasso]

Nie wypowiadasz się nic na temat SalityKiller, czy coś robił, jakie były statystyki w oknie? Nadal widzę sterownik Sality w logu:

 

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\kkkoo.sys -- (amsint32)

 

Nie wiadomo czy to obiekt czynny.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\drivers\kkkoo.sys -- (amsint32)
O2 - BHO: (Winamp Toolbar Loader) - {4accc990-3dc7-4456-a734-5cb4b610a7f5} - C:\Program Files\Winamp Toolbar\winamppltb.dll File not found
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files\Winamp Toolbar\winamppltb.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {A0B1221C-A3FF-4F7C-A393-DC63AF5301E9} - C:\Program Files\Winamp Toolbar\winamppltb.dll File not found
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

2. W Google Chrome nadal strona startowa adware oraz szczątkowa wtyczka AVG:

 

CHR - homepage: "http://klit.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20121224&user_guid=5F3CCC51FFCD44999D8649235B829042&machine_id=c1e85f9d823fd07a2d20617f6a91487f&browser=CR&os=win&os_version=5.1-x86-SP3"
 
CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\13.2.0\\npsitesafety.dll

 

Wejdź do ustawień i w sekcji "Po uruchomieniu" usuń z listy stron wymienioną, ustaw opcję na "Otwórz stronę nowej karty". Natomiast wycięcie wtyczki wymaga już edycji Preferences. Skopiuj na Pulpit ten plik:

 

C:\Documents and Settings\DOMOWY\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zedytuję i odeślę z powrotem.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

Edytowane 26 Lutego 2013 przez picasso
26.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso