Stary komputer, trojan w pliku systemowym

[JesseVuitton]

Witajcie,
Od razu chciałbym zaznaczyć że jestem laikiem komputerowym ale chciałbym się w końcu czegoś nauczyć bo wiadomo że mógłbym zawieść komputer do specjalisty i zapłacić mu kilka stówek ale może z Waszą pomocą uda mi się coś tu poprawić.
Otóż mam dosyć stary komputer, ma już ponad 5 lat.
Stoi na Windowsie XP. Niby włącza się długo i podczas użytkowania czasami się "zamuli" to nie miałem jako takich problemów - wydawało mi się że tak już powinno być. Ale chyba nadszedł już czas na oczyszczenie go ze zbędnych zanieczyszczeń.

Nigdy nie zagłębiałem się głębiej w sprawy systemowe, jego ochrony i korzystałem z darmowego avasta.
Nigdy nie robiłem formatu bo wydawało mi się że wszystko jest w porządku. Kilka razy w miesiącu robiłem pełne skanowanie owym antywirusem i wszystko było jak należy. 

Dzisiaj zaraz po uruchomieniu komputera avast wykrył jakiś dziwny plik i powiadomił mnie o infekcji o nazwie "Win32:BProtect-J [TrJ] w pliku BiT1665.tmp, który miałby wpływać na działanie svchost.exe.

Od razu rzuciło go do kwarantanny a ja zdziwiony, ponieważ ostatni raz komputer włączany był wczoraj przed wieczorem i nic nie informowało o zakażeniu,  przeskanowałem komputer avastem i wykryło jakieś dwa pliki które usunęło. Poprosiło jak nigdy o reset komputera i przed pokazaniem pulpitu avast skanował komputer "tak jakby" z poziomu biosu. Niby wszystko było okej ale po ukazaniu się pulpitu problem dalej występował.
Postanowiłem więc zeskanować komputer programem Malwarebytes Anti-Malware który po ok 20 minutach skanowania wykrył na ok 260000 plików - 256 zarażonych.
Po przejrzeniu ich zauważyłem że spora część to składniki firefoxa oraz innych rozszerzeń do przeglądarek.
Znalazło się jednak kilka wpisów (ok.10) w plikach .tmp oraz 2 x trojan.agent w pliku systemowym oraz rejestrze i kilku innych miejscach. Ogólnie możliwe że reszta może być jeszcze groźniejsza choć ja nie mogę tego potwierdzić. 
Mogłem to niby usunąć ale bałem się przed rozsypaniem komputera bo nie wiem jakby się po tym zachował.
Dlatego też postanowiłem tutaj napisać temat. Możliwe że od razu po kilku zabiegach poprawi się kondycja komputera.
Rozumiem że to może być dla Was błahostka ale mam na komputerze kilka ważnych rzeczy i przez mój wielki "zapał" nie usunąć ich bo nie chciałem czekać kilka godzin na odpowiedź w tym temacie.
Na wszelkie pytania oczywiście odpowiem.
W załącznikach podrzucam logi z wymaganych programów.
 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

GMER.txt

[jessica]

Dziś lub jutro zajrzy znów na Forum po długiej chorobie  @Picasso, więc oczywiście możesz poczekać na Jej zalecenia; moich zaleceń wcale nie musisz wykonywać!

 

1) Odinstaluj MyFreeCodec (HKCU\...\MyFreeCodec) (Version:  - )

 

2) Jeśli nie używasz, to odinstaluj Qtrax Player

 

3) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

4) Otwórz Notatnik i wklej w nim:

 

Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_HP_rmv.job => C:\WINDOWS\TEMP\{71E10EB2-A610-46E9-B7A2-DD2DA785E39D}.exe
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{101F3DD6-CD60-4D64-9E90-BBEB10B19039}.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-21-1644491937-117609710-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-1644491937-117609710-682003330-1003\...\Run: [Host-process Windows (Rundll32.exe)] => C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
HKU\S-1-5-21-1644491937-117609710-682003330-1006\...\Run: [AVG-Secure-Search-Update_JUNE2013_TB] => "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_TB.exe"  /PROMPT /CMPID=JUNE2013_TB
HKU\S-1-5-21-1644491937-117609710-682003330-1006\...\Run: [AVG-Secure-Search-Update_JUNE2013_HP] => "C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe"  /PROMPT /CMPID=JUNE2013_HP
C:\Program Files\AVG Secure Search\AVG-Secure-Search-Update_JUNE2013_HP.exe
C:\Program Files\AVG Secure Search
SearchScopes: HKCU - {C0C4A29C-2EA9-400D-A152-10F819F9C204} URL = http://start.funmoods.com/results.php?f=4&a=vsl&q={searchTerms}
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab
FF HKLM\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files\RelevantKnowledge\firefox
FF Extension: RelevantKnowledge - C:\Program Files\RelevantKnowledge\firefox
C:\Program Files\RelevantKnowledge
CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp
CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108"
CHR HKCU\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X]
C:\WINDOWS\system32\Drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gt.sys
C:\Documents and Settings\All Users\Dane aplikacji\2308189059
C:\Program Files\Deal Keeper
C:\Documents and Settings\All Users\Menu Start\Programy\RelevantKnowledge
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ajnu36l8.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\alujhc_9.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\AVG.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\bzmoxrkm.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.11.1.7324-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.0.7335-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.1.7342-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.12.1.7351-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.13.0.7366-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.13.0.7376-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.14.0.7387-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.14.1.7394-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\EslWireSetup-1.15.0.7430-x86.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\fg2flycz.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ggdrive-menu.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ggdrive-overlay.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\gwunstal.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\hpzmsi01.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\hpzscr01.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ICReinstall_Opera 12.16.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\installstats.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\jre-6u30-windows-i586-iftw-rv.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\mirc722.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\NEventMessages.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\NOSEventMessages.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\npp.6.6.3.Installer.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SCC.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Shockwave_Installer_Slim.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SkypeSetup.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\SRLDetectionLibrary7297182879069303379.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\swt-win32-3349.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\swt-win32-3740.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\ueinuj-7.dll
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\uninst1.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Update_89A.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\xmlUpdater.exe
C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\_89A.exe
Shortcut: C:\Documents and Settings\Górski\Menu Start\Programy\YaTQA.lnk -> E:\Program Files\YaTQA\yatqa.exe (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\config.xml.LNK -> C:\Documents and Settings\Górski\Moje dokumenty\Downloads\config.xml (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI06.488.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI06.488 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI16.064.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI16.064 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI43.024.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI43.024 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI47.152.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI47.152 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI49.024.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI49.024 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Rar$DI51.064.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp\Rar$DI51.064 (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\specyfikacja.doc.LNK -> C:\Documents and Settings\Górski\Pulpit\MARCIN\PROJEKT PANEL!\specyfikacja.doc (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\straz pozarna.jpg.LNK -> C:\Documents and Settings\Górski\Pulpit\straz pozarna.jpg (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\system binarny.xls.LNK -> C:\Documents and Settings\Górski\Pulpit\system binarny.xls (No File)
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\Temp.LNK -> C:\Documents and Settings\Górski\Ustawienia lokalne\Temp ()
Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\USB DISK (G).LNK -> G:\ (No File)
Reboot:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

 

5) Zrób nowe logi FRST.

 

6 Pokaż, co wykrył MBAM - jeśli jeszcze masz tamten raport z niego.

 

jessi

[JesseVuitton]

1) oraz 2) - Pliki zostały usunięte z poziomu Panel sterowania -> Dodaj lub usuń programy pomyślnie.

 

3) - Po wyborze "szukaj" po kilku sekundach pojawia się taki oto komunikat, po naciśnięciu "OK" program się wyłącza.
http://scr.hu/0g3v/rq3im

 

Nie wiem czy robić resztę jeśli 3) nie zostaje spełniony.

Czy jest to pewnie że @Picasso będzie dzisiaj? Bo tak mógłbym poczekać na Jej opinię do wieczorka spokojnie.

[jessica]

Po wyborze "szukaj" po kilku sekundach pojawia się taki oto komunikat, po naciśnięciu "OK" program się wyłącza.

 

 

Wyłącz Antywirusa, i ściągnij od nowa Adw-Cleaner.

 

Jeśli mimo to sytuacja się powtórzy, to pominiesz ten krok i przejdziesz do następnych.

 

Czy jest to pewnie że @Picasso będzie dzisiaj?

 

https://www.fixitpc.pl/topic/23615-picasso-update-status/?do=findComment&comment=151677

 

jessi

[JesseVuitton]

Zrobiłem więc punkt 4) - komputer został zrestartowany pomyślnie. W załączniku zarzucam plik oraz nowy FRST.

Co do MBAM to nie wiem dokładnie o co chodzi, GMER jest w załączniku. 

Zobaczyłem coś jeszcze, po włączeniu komputera pojawia się "czarne okno" służące do wpisywania "komend". Nie potrafię tego opisać.

Widzę tam:

 

Nie można odnaleźć określonego pliku:

C:\WINDOWS\system32>

 

Mogę zamknąć to okno krzyżykiem, wciśnięcie entera ponawia tą linijkę, ESC nic nie robi.

 

PS. Avast nie informuje już o owym wirusie (opisałem go w 1 poście) po uruchomieniu komputera.
 

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

[jessica]

Nie można odnaleźć określonego pliku:

 

C:\WINDOWS\system32>

jakiego konkretnie pliku?

 

jessi

[JesseVuitton]

Tylko to jest, nic wiecej.

 

Tak to wygląda (jeśli chodzi o brak pliku):

http://scr.hu/0g3v/pk4fk

 

Raport ze skanowania MBAM'u (o dziwo wykryło teraz tylko 16 zagrożeń a ostatnio było aż 256) :

http://scr.hu/0g3v/0fzgq

Jak widać pozostały 2 trojany a reszta to chyba jakieś rozszerzenia do przeglądarek, przynajmniej tak mi się wydaje.

 

Tym razem adwcleaner się otworzył, zeskanowałem nic i nie znalazło żadnego pliku choć pamiętam że ze dwa tygodnie z niego korzystałem usuwając jakiegoś robaka który podmieniał strony w przeglądarkach i na tej liście również było RelevantKnowledge ale myślałem że jest nieszkodliwe więc zostawiłem. Tym razem wcale go nie znalazło. Wynik był pusty.

 

____

 

Przepraszam za post pod postem, proszę moderatora o usunięcie posta wyżej.

[picasso]

jessika

 

Drobne uwagi w spoilerze:

 

 

 

1. Nie ma sensu / potrzeby przetwarzać wszystkie linie z sekcji "Some content of TEMP". To bardzo niekompletna lista nierekursywna, tylko podglądowo co leży w głównym folderze (ograniczenie do plików EXE i DLL). FRST ma od niedawna nową komendę EmptyTemp:, która służy do dokładnego opróżniania lokalizacji tymczasowych, automatycznie wymusza też reset znosząc konieczność stosowania komendy Reboot:. I komenda robi więcej niż podobna w OTL.

 

2. Z pliku Shortcut można przetwarzać tylko linie zmodyfikowanych skrótów prezez adware. Wszystkie inne nie są naprawialne, o czym zresztą informuję Cię fixlog:

 

Shortcut: C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\config.xml.LNK -> C:\Documents and Settings\Górski\Moje dokumenty\Downloads\config.xml (No File) => Error: No automatic fix found for this entry.

 

Jeśli chcesz usuwać puste skróty, to każdą ścieżkę musisz osobno przekleić w formie:

 

C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Office\Niedawny\config.xml.LNK

 

 

 

 

 

JesseVuitton

 

Zobaczyłem coś jeszcze, po włączeniu komputera pojawia się "czarne okno" służące do wpisywania "komend".

 

Nie można odnaleźć określonego pliku:

C:\WINDOWS\system32>

Czy na pewno ten problem występuje po usuwaniu MBAM i restarcie komputera? Otóż FRST w ogóle nie widział wpisów Run w kluczu HKLM (zgłosiłam bug autorowi i już właśnie naprawiony), czyli tego wszystkiego co w OTL:

 

 

 

O4 - HKLM..\Run: [AvastUI.exe] C:\Program Files\AVAST Software\Avast\AvastUI.exe (AVAST Software)

O4 - HKLM..\Run: [Host-process Windows (Rundll32.exe)] C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe File not found

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe ()

O4 - HKLM..\Run: [P17Helper] C:\WINDOWS\System32\SPIRun.dll (Creative Technology Ltd.)

O4 - HKLM..\Run: [PMBVolumeWatcher] C:\Program Files\Sony\PMB\PMBVolumeWatcher.exe (Sony Corporation)

O4 - HKLM..\Run: [sage Komunikator] C:\Program Files\Sage\Komunikator\SageUpdt.exe ()

 

 

 

Boldem zaznaczyłam wpis trojana, który nie był usuwany skryptem FRST, wykrył go dopiero MBAM w ostatnim podejściu. Toteż pytam czy na pewno nowy reset ujawnia to czarne okno cmd.

 

 

I jeszcze poprawki:

 

1. Pojawiły się też nowe błędy w Dzienniku zdarzeń:

 

System errors:

=============

Error: (08/18/2014 04:04:17 PM) (Source: 0) (EventID: 9) (User: )

Description: \Device\Ide\IdePort4

 

Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp
CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108"
Task: C:\WINDOWS\Tasks\Ad-Aware Antivirus Scheduled Scan.job => C:\PROGRA~1\AD-AWA~1\AdAwareLauncher.exe
C:\WINDOWS\jumpshot.com
C:\WINDOWS\system32\sqlite3.dll
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście ustaw Google jako domyślną, skasuj też z listy śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[JesseVuitton]

Dziękuję za odpowiedź.

Okno nie pokazuje się już po wykonaniu fix'u z punktu 2.

1. Wygląd:

http://scr.hu/0g3v/ijm90

W każdym z kanałów (Podstawowy i Pomocniczy) ustawione było tak jak ukazane jest w poradniku.

2. Fix został wykonany, po automatycznym restarcie komputera okno "cmd" o braku pliku nie pojawiło się już. Załączam fixloga w załączniku.

 

3. Wykonane.

 

4. W załączniku FRST.txt.

Fixlog.txt

FRST.txt

[picasso]

Jeszcze drobnostki:

 

1. FRST naprawiał dwa wpisy w Google Chrome, ale one nadal są w tej samej postaci:

 

Chrome:

=======

CHR HomePage: hxxp://isearch.avg.com/?cid={D58B11E0-ADCF-4AC1-8CC5-12EA05654816}&mid=7bded0560b924db4bb9e2db061844bb9-de27ce43eb7d342c27ac43ca021e07458ef1e393&lang=pl&ds=xn011&pr=sa&d=2013-01-31%2009:46:05&v=13.3.0.17&sap=hp

CHR StartupUrls: "hxxp://www.sweet-page.com/?type=hp&ts=1406548088&from=cor&uid=WDCXWD5000AAKS-22A7B0_WD-WCASY210110801108"

 

Ręcznie skoryguj:

- Ustawienia > karta Ustawienia > Po uruchomieniu > usuń adres sweet-page.com, przestaw na "Otwórz stronę nowej karty"

- Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres isearch.avg.com

 

2. Odtworzył się po usuwaniu tajemniczy folder C:\WINDOWS\jumpshot.com. Wejdź do niego i sprawdź co tam siedzi.

 

 

W każdym z kanałów (Podstawowy i Pomocniczy) ustawione było tak jak ukazane jest w poradniku.

Twój spis sugeruje, że dysk twardy może pracować w trybie SATA/AHCI, a w takim przypadku ustawienia się nie aplikują.

 

Czy są jeszcze jakieś widoczne problemy w systemie?

 

 

 

 

.

[JesseVuitton]

1. Zrobione.

 

2. W folderze jumpshot.com nie ma niczego, jest pusty. Więc usunąć?

 

Tak jak mówię, w każdym kanale jest to samo zaznaczone, mogę potwierdzić screenem.

Zaraz zrobię skan MBAM'em.

[picasso]

Skoro folder jest pusty, to go ponownie spróbuj usunąć. Masz w zamiarze przeprowadzić pro forma skan MBAM. Ponawiam pytanie ogólne:

 

Czy są jeszcze jakieś widoczne problemy w systemie?

 

.

[JesseVuitton]

Dzisiejszy skan MBAM'em:

http://scr.hu/0g3v/o70si

(Ten trojan jest chyba od samego początku, jak się nie mylę to ten sam)

 

Dorzucam FRST po skanowaniu.

Ogólnie nic dziwnego się nie dzieje, działa normalnie... wolno bo wolno - ma już swoje lata. 

Zresztą nic takiego się nie działo przed skanowaniem a wykryło tak wiele zagrożeń które mogły działać w tle?

 

FRST.txt

[picasso]

Zaktualizuj ręcznie FRST i zrób nowy skan (bez Addition i Shortcut), bo posługujesz się nadal starszą wersją z bugiem, który zgłosiłam i został naprawiony. Proszę o ten log, by potwierdzić czy wyniki skanu MBAM są na pewno aktualne w kwestii obecności wpisu "Host-process Windows (Rundll32.exe)". Coś mi się bowiem tu nie zgadza. MBAM nie powinien nic pokazać, wyniki błahe i nietrudne w usunięciu w pierwszym podejściu. A był już przypadek na forum, że skan pokazywał wyniki już usunięte i nieistniejące. Komentując szerzej to co widać w skanie:

 

- Wpis "Host-process Windows (Rundll32.exe)" i tak był pusty (nieaktywna infekcja). Log z FRST ma potwierdzić czy on w ogóle istnieje.

- Plik rlls.dll to odpadek po adware RelevantKnowledge. Sprawdź ręcznie czy widzisz na dysku ów plik.

- Wpisy typu "PUM" ("Potentally Unwanted Modification") są właściwie nieistotne, to nie infekcja per se. Te trzy wpisy korespondują do wyłączonych powiadomień Centrum zabezpieczeń. Program wykrywa przekonfigurowane ustawienia Centrum, gdyż infekcja może być jedną z przyczyn, ale nie jest w stanie ustalić źródła. Operację tę może przeprowadzić: użytkownik ręcznie bądź via tweaker, lub infekcja.

 

 

 

.

[JesseVuitton]

https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294

Pobrałem stąd i jest chyba ta sama wersja, nie mogę znaleźć jak zrobić to ręcznie np. z poziomu programu. 

U mnie program wygląda tak: http://scr.hu/0g3v/jn2te

[picasso]

Program jest pobierany cały czas z tego samego linka i wygląda tak samo niezależnie od wersji. Wersja wychodzi na jaw w logu (wydrukowana data kompilacji, oraz określone poprawki są dla mnie jawne, jeśli wiem co zaktualizowano). Jeśli na pewno pobrałeś teraz od nowa plik, po prostu zrób log, w nagłówku będzie dowód co to za wersja.

 

 

.

[JesseVuitton]

Mam nadzieje że z 19.08.2014 jest aktualna bo poprzednie moje logi były z 17.

FRST.txt

[picasso]

Tak jest, to nowa wersja z poprawką. Wpis "Host-process Windows (Rundll32.exe)" infekcji jest obecny, czyli raport MBAM jest rzeczywisty, więc dziwi mnie niemożność usunięcia tego opcjami. Operacja ręczna:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKLM\...\Run: [Host-process Windows (Rundll32.exe)] => C:\Documents and Settings\Górski\Dane aplikacji\csrss.exe
C:\WINDOWS\system32\rlls.dll
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

[JesseVuitton]

Wykonane.

Fixlog.txt

FRST.txt

[picasso]

Skrypt pomyślnie przetworzony i w zakresie czyszczenia po infekcji to raczej koniec. Natomiast znów odtworzył się folder C:\WINDOWS\jumpshot.com, nie wiem co go regeneruje. Ponownie usuń go ręcznie.

 

Na zakończenie:

 

1. Usuń używane narzędzia za pomocą DelFix. Jeśli coś nie zostanie usunięte, dokończ ręcznie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj poniższe pozycje:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 11.1.102.55 - Adobe Systems Incorporated) (wtyczka dla IE)

Adobe Flash Player 11 Plugin (HKLM\...\Adobe Flash Player Plugin) (Version: 11.1.102.55 - Adobe Systems Incorporated) (wtyczka dla FF/Opera)

Adobe Reader X (10.1.11) - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AA1000000001}) (Version: 10.1.11 - Adobe Systems Incorporated)

Java™ 6 Update 31 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216031FF}) (Version: 6.0.310 - Oracle)

 

 

 

.

[JesseVuitton]

Wszystko wykonane mam nadzieje poprawnie.

MBAM w ostatnich sekundach skanowania znalazł 3 zagrożenia (pojawiły się już wcześniej):

http://scr.hu/0g3v/53sxw

 

Tak jak wyżej pisałaś - są one nieistotne więc nie zwracam na nie uwagi i pozostawiam tak jak są - chyba że usunąć je MBAM'em.

 

W każdym razie dziękuję za profesjonalną pomoc od Ciebie jessica oraz picasso, w najbliższych dniach postaram się przelać parę złotówek na forum

Pozdrawiam

[picasso]

Tak jak wyżej pisałaś - są one nieistotne więc nie zwracam na nie uwagi i pozostawiam tak jak są - chyba że usunąć je MBAM'em.

By uściślić wizualnie, te trzy wyniki w MBAM to jest równoważność akcji "deaktywacja powiadomień Centrum" w tym temacie: KLIK.

 

 

W każdym razie dziękuję za profesjonalną pomoc od Ciebie jessica oraz picasso, w najbliższych dniach postaram się przelać parę złotówek na forum

Dzięki!

 

 

 

.