Komputer został zablokowany ukash

[mundek012]

Witam , odrazu powiem jestem kompletnie zielony , laptop nie jest mój więc naprawde prosze o wyrozumiałość . Szczerze to nawet nie wiem jak zrobic skan zeby otrzymać otl i extras wiec proszę o dokładne wytłumaczenie z góry dziękuje i sory za to ze nic nie kumam .

Extras.Txt

OTL.Txt

[mundek012]

Wiem że nie powinno się podbijać postów przepraszam za to ale musze to załatwić jak najszybciej , laptop nie jest mój a za 40 minut musze go oddać nie chce mieć problemów i mam nadzieje że w tym czasie ktoś da mi odpowiedz z góry dziekuje

[Landuss]

Niestety ze względu na ilość tematów do obrobienia nie mogłem wcześniej odpisać.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDNDIS5.SYS -- (ZDNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\smserial.sys -- (smserial)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt -- (EverestDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
IE - HKLM\..\SearchScopes\{26FB72F2-F077-4061-8938-165C28861B63}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKLM\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtCtDtA0B0E0CtCtCyC0AtN0D0TzutBtDtCtBtDyCtDzy&cr=213508744"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={C66D09A2-C3F9-4DDD-928D-48B07B888B23}"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = "http://search.babylon.com/?affID=112542&babsrc=HP_ss&mntrId=e02f116a00000000000000030d371eb7"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes,Backup.Old.DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes,DefaultScope = {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112542&babsrc=SP_ss&mntrId=e02f116a00000000000000030d371eb7"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=VDJ&o=41647960&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=8R&apn_dtid=YYYYYYYYPL&apn_uid=A3E42D38-CE0B-428C-8624-3C391A33F1C4&apn_sauid=5A910FB5-519F-45BA-9869-83D3F67E2AA8&"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=e02f116a000000000000001500248134&tlver=1.4.19.19&affID=17160"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{26FB72F2-F077-4061-8938-165C28861B63}: "URL" ="http://search.sweetim.com/search.asp?src=6&q={searchTerms}"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{4BC6E8AE-2870-47C2-A8C7-B8518AFA5DCB}?q={searchTerms}"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1561552"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B}: "URL" = "http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=nv1&chnl=nv1&cd=2XzutAtN2Y1L1QzuyB0AyBzytDyDtCtDtA0B0E0CtCtCyC0AtN0D0TzutBtDtCtBtDyCtDzy&cr=213508744"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredimail.com/mb59/?search={searchTerms}&loc=search_box&u=92823356545683187"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{E88E0043-C9D4-4e33-8555-FEE4F5B63060}: "URL" = "http://go.mail.ru/search?q={searchTerms}&utf8in=1&fr=ietb"
IE - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&st=1&q={searchTerms}&barid={C66D09A2-C3F9-4DDD-928D-48B07B888B23}"
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "BitTorrentBar Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://go.mail.ru/search?fr=fftb&utf8in&q="
FF - prefs.js..browser.search.order.1: "Search the web"
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web"
FF - user.js..browser.search.order.1: "Search the web"
[2012-04-24 23:38:06 | 000,000,929 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\conduit.xml
[2012-06-05 13:02:30 | 000,001,533 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\mailru---.xml
[2012-06-09 19:05:34 | 000,002,293 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\Search.xml
[2012-01-25 22:31:52 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\startsear.xml
[2011-11-19 17:37:47 | 000,003,910 | ---- | M] () -- C:\Documents and Settings\Rudy\Dane aplikacji\Mozilla\Firefox\Profiles\e8fxoz98.default\searchplugins\sweetim.xml
[2012-05-23 16:05:49 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.5.4.11.dll File not found
O2 - BHO: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\prxtbXfir.dll File not found
O2 - BHO: (Mario Forever Toolbar) - {707db484-2428-402d-afb5-d85b387544c7} - C:\Program Files\Mario_Forever\prxtbMar0.dll File not found
O2 - BHO: (Funmoods Helper Object) - {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} - C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll File not found
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found
O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - No CLSID value found.
O2 - BHO: (no name) - {EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (XfireXO Toolbar) - {5e5ab302-7f65-44cd-8211-c1d4caaccea3} - C:\Program Files\XfireXO\prxtbXfir.dll File not found
O3 - HKLM\..\Toolbar: (Mario Forever Toolbar) - {707db484-2428-402d-afb5-d85b387544c7} - C:\Program Files\Mario_Forever\prxtbMar0.dll File not found
O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found
O3 - HKLM\..\Toolbar: (Funmoods Toolbar) - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll File not found
O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (Mario Forever Toolbar) - {707DB484-2428-402D-AFB5-D85B387544C7} - C:\Program Files\Mario_Forever\prxtbMar0.dll File not found
O3 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\StartSearch plugin\BarLcher.dll File not found
O4 - HKLM..\Run: [WmiMgmt] C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3619\WmiMgmt.exe ()
O4 - HKU\S-1-5-21-776561741-329068152-1801674531-1005..\RunOnce: [updateN] C:\Documents and Settings\Rudy\Dane aplikacji\mservice32.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\install\server.exe ()
 
:Files
C:\WINDOWS\install
C:\Documents and Settings\Rudy\Dane aplikacji\hellomoto
C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\3619
 
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Yontoo 1.10.02 / toolplugin

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

[mundek012]

Chyba już jest dobrze system uruchomił się normalnie

Wielkie dzięki naprawde .

Oto OTL

Sprawdz czy juz wszystko dobrze.

OTL.Txt

[Landuss]

Potwierdzam - infekcja usunięta. Przejdź do finalizacji tematu:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj wymienione programy do najnowszych wersji:

 

Internet Explorer (Version = 7.0.5730.13)

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

 

Szczegóły aktualizacyjne: KLIK

 

4. Dla bezpieczeństwa zmień hasła logowania do serwisów w sieci.

[mundek012]

Okej wszytko zrobione , jednak kolega na innym forum napisał mi że nie ma raportu z usuwania i kazał wpisać Do okna Własne opcje skanowania / skrypt wklej:

 

:OTL

FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="

O4 - HKLM..\Run: [WinPrafik] C:\WINDOWS\Waprop.exe ()

O7 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\install\server.exe

 

:Files

C:\WINDOWS\Waprop.exe

C:\WINDOWS\install\server.exe

C:\WINDOWS\System32\drivers\etc\hosts.ics

C:\Documents and Settings\Rudy\Dane aplikacji\logs.dat

C:\Documents and Settings\Rudy\Dane aplikacji\toolplugin

 

:Commands

[emptytemp]

 

Wkleić to ?

[Landuss]

NIe wklejaj, tu już część została przecież usunięta, a to co on ci podaje to nie są szkodliwe wpisy(!)

[mundek012]

Ostatnie pytanie do Ciebie , jak wchodze w start - uruchom - msconfig w pierwszej zakładce ogólne nie mam zaznaczonego tylko "Przetwarzaj plik Win.ini . Zaznaczyć go ? bo kiedy włączam system za każdym razem infromacja ta wyskakuje mi na początku .

[Landuss]

Już dawno nie korzystam z Win XP i nie pamiętam jak tam to jest, ale możesz to zaznaczyć.

[picasso]

Landuss

 

Sprawa nie jest zakończona. W ostatnim logu ostały się wpisy adware w Google Chrome, nie przestawiłeś DefaultScope w IE, oraz te mają zostać usunięte:

 

PRC - [2011-10-01 13:11:20 | 001,544,192 | ---- | M] () -- C:\WINDOWS\system32\CPBNVS\EDI.exe
 
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
O4 - HKLM..\Run: [WinPrafik] C:\WINDOWS\Waprop.exe ()
O7 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\install\server.exe
 
[2012-06-09 19:04:48 | 000,302,425 | ---- | C] () -- C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
[2012-06-09 19:04:48 | 000,031,470 | ---- | C] () -- C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\funmoods.crx
[2012-05-23 16:56:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Guard.Mail.Ru
[2012-06-19 12:36:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Rudy\Dane aplikacji\eBayDesktopShortcut
[2011-11-04 19:00:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Rudy\Dane aplikacji\toolplugin
[2011-03-27 17:05:30 | 001,442,304 | ---- | C] () -- C:\WINDOWS\ratua.exe
[2011-08-16 12:46:57 | 000,000,284 | ---- | C] () -- C:\Documents and Settings\Rudy\server.properties
[2005-04-08 04:16:43 | 027,804,764 | -H-- | C] () -- C:\Documents and Settings\Rudy\Dane aplikacji\logs.dat

 

WinPrafik nie wygląda zdrowo (KLIK). Plik logs.dat to do pary z server.exe. Poza tym, ten trojan powinien mieć jeszcze jeden wpis w Active Setup.

 

 

mundek012

 

Uruchom SystemLook, do skanu wklej:

 

:regfind
server.exe
 
:dir
C:\WINDOWS\system32\CPBNVS /s

 

Klik w Look i przedstaw log.

 

 

 

.

[mundek012]

mam jeszcze jedno pytanie , kiedy włączam menadżer zadan w procesach mam taskmgr.exe zabiera to od 70 do 90 % procesora co to ?... caly laptop mi laguje jak to wyłączyć?

oto log z systemlook

 

SystemLook 30.07.11 by jpshortstuff

Log created at 23:49 on 20/07/2012 by Rudy

Administrator - Elevation successful

 

========== regfind ==========

 

Searching for "server.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

"C:\WINDOWS\install\server.exe"="server"

[HKEY_CURRENT_USER\Software\Nokia\MPlatform\DataStores\c:_docume~1_rudy_ustawi~1_daneap~1_nokia_nokiad~1_\ClientApps\NokiaMServer.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]

"StubPath"="C:\WINDOWS\install\server.exe Restart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU]

"command"="C:\WINDOWS\install\server.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKLM]

"command"="C:\WINDOWS\install\server.exe"

[HKEY_USERS\S-1-5-21-776561741-329068152-1801674531-1005\Software\Microsoft\Windows\ShellNoRoam\MUICache]

"C:\WINDOWS\install\server.exe"="server"

[HKEY_USERS\S-1-5-21-776561741-329068152-1801674531-1005\Software\Nokia\MPlatform\DataStores\c:_docume~1_rudy_ustawi~1_daneap~1_nokia_nokiad~1_\ClientApps\NokiaMServer.exe]

 

========== dir ==========

 

C:\WINDOWS\system32\CPBNVS - Parameters: "/s"

 

---Files---

AKV.exe --a---- 467456 bytes [18:32 29/09/2011] [11:11 01/10/2011]

Apr_01_2012__00_06_01.008 --a---- 42865 bytes [22:06 31/03/2012] [22:07 31/03/2012]

Apr_01_2012__00_17_16.008 --a---- 136674 bytes [22:17 31/03/2012] [22:17 31/03/2012]

Apr_01_2012__00_27_32.008 --a---- 210907 bytes [22:27 31/03/2012] [22:28 31/03/2012]

(...)

EDI.001 --a---- 62464 bytes [18:32 29/09/2011] [11:11 01/10/2011]

EDI.002 --a---- 44032 bytes [18:32 29/09/2011] [11:11 01/10/2011]

EDI.004 --a---- 1330 bytes [18:32 29/09/2011] [11:11 01/10/2011]

EDI.005 --a---- 45710834 bytes [21:08 27/11/2011] [21:47 20/07/2012]

EDI.008 --a---- 116 bytes [21:50 20/07/2012] [21:50 20/07/2012]

EDI.exe --a---- 1544192 bytes [18:32 29/09/2011] [11:11 01/10/2011]

Feb_01_2012__16_34_23.008 --a---- 121851 bytes [14:34 01/02/2012] [14:34 01/02/2012]

Feb_01_2012__16_44_24.008 --a---- 176415 bytes [14:44 01/02/2012] [14:44 01/02/2012]

Feb_01_2012__16_54_25.008 --a---- 64327 bytes [14:54 01/02/2012] [14:54 01/02/2012]

(...)

Oct_31_2011__14_56_18.006 --a---- 2252 bytes [12:56 31/10/2011] [12:57 31/10/2011]

Oct_31_2011__14_57_25.006 --a---- 3905 bytes [12:57 31/10/2011] [12:58 31/10/2011]

Oct_31_2011__14_58_18.006 --a---- 782 bytes [12:57 31/10/2011] [12:58 31/10/2011]

Sep_29_2011__20_32_41.005 --a---- 414 bytes [18:32 29/09/2011] [11:11 01/10/2011]

 

No folders found.

 

-= EOF =-

[picasso]

Ten C:\WINDOWS\system32\CPBNVS wygląda na keyloggera. W jego folderze masa plików sugerujących po nazwie zrzucanie danych. Server.exe jest w Active Setup. Google Chrome wygląda na odinstalowane, toteż będę usuwać resztki z dysku i rejestru. Lecimy:

 

1. Przez Panel sterowania odinstaluj VideoFileDownload.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..keyword.URL: "http://www.browsersafesearch.com?client=mozilla-firefox&cd=UTF-8&search=1&q="
O4 - HKLM..\Run: [WinPrafik] C:\WINDOWS\Waprop.exe ()
O7 - HKU\S-1-5-21-776561741-329068152-1801674531-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\install\server.exe
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Files
C:\WINDOWS\system32\CPBNVS
C:\WINDOWS\ratua.exe
C:\Documents and Settings\Rudy\server.properties
C:\Documents and Settings\Rudy\Dane aplikacji\logs.dat
C:\Documents and Settings\Rudy\Dane aplikacji\toolplugin
C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\funmoods-speeddial.crx
C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\funmoods.crx
C:\Documents and Settings\Rudy\Dane aplikacji\eBayDesktopShortcut
C:\Documents and Settings\All Users\Dane aplikacji\Guard.Mail.Ru
C:\Program Files\OApps
C:\Program Files\TorrentSearch
C:\Program Files\intellidownload
C:\Documents and Settings\Rudy\Ustawienia lokalne\Dane aplikacji\Google
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"Backup.Old.DefaultScope"=-
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\WINDOWS\install\server.exe"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5JF-4FCB-11CF-AAA5-00401C6XX500}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKCU]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HKLM]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
[-HKEY_CURRENT_USER\Software\Google]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras) oraz SystemLook na warunki:

 

:regfind

server.exe
 
:filefind
server.exe

 

Dołącz log z usuwania OTL z punktu 2.

 

 

 

.

[mundek012]

OK , a więc

Tutaj masz :

log z usuwania pkt 2.txt

OTL.Txt

SystemLook.txt

[picasso]

W międzyczasie próbowałeś uruchamiać ComboFix = po co? Wszystko zostało zrobione. Po wyrzuceniu folderu tego obiektu podejrzanego o nagrywanie danych ujawnił się (już jako pusty) wpis startowy "EDI Start". Od razu pytanie: czy po właśnie przeprowadzonym usuwaniu nastąpiła jakaś poprawa i spadek obciążenia?

 

1. Mini poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O2 - BHO: (no name) - {e78a5c92-6a2b-4369-ab14-0ed3b2b18584} - No CLSID value found.
O4 - HKLM..\Run: [EDI Start] C:\WINDOWS\system32\CPBNVS\EDI.exe File not found
 
:Files
rd /s /q C:\32788R22FWJFW /C
rd /s /q C:\Qoobox /C
rd /s /q C:\WINDOWS\erdnt /C

 

Klik w Wykonaj skrypt. Tym razem bez restartu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania. Nie ma potrzeby robić nowego skanu OTL. Za to na wszelki wypadek dodaj jeszcze GMER.

 

 

 

.

[mundek012]

Okej jednak coś poszło nie tak dołączam ss po kliknięciu szukaj nagle znlazło mi jakis błąd po czym musiałem kliknąć nie wysyłaj a program się zgasł

log z usuwania OTL.txt

[picasso]

Skrypt wykonany. Nie odpowiedziałeś na pytanie:

 

Od razu pytanie: czy po właśnie przeprowadzonym usuwaniu nastąpiła jakaś poprawa i spadek obciążenia?

 

Natomiast w kwestii GMER:

 

jednak coś poszło nie tak dołączam ss po kliknięciu szukaj nagle znlazło mi jakis błąd po czym musiałem kliknąć nie wysyłaj a program się zgasł

 

A czy w ogóle przygotowałeś prawidłowe podłoże do uruchomienia programu, czyli usunięcie emulatorów i ich sterowników (KLIK)? W systemie działa sterownik DAEMON Tools:

 

DRV - [2012-07-09 00:26:31 | 000,242,240 | ---- | M] (DT Soft Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

 

 

.

 

[mundek012]

No bez jaj , to ja ponownie ... a więc zacznijmy od tego że siedzie sobie na necie i znów... Ukash to jest naprawde posrane sory za słownictwo nie wiem czy to już na głupie forum nie można wejsc ehh . Do rzeczy oto logi z OTL czekam na pomoc... i z góry dziękuje .

OTL.Txt

Extras.Txt

[picasso]

Ano właśnie, "bez jaj". Temat nie ukończony wcale wtedy (przecież zawisło pytanie i nie zadałam jeszcze końcowych kroków ani skanów!), nawet nie zaktualizowałeś np. Java (dziurawa Java to jedna z furtek) - widać tę samą starą wersję co na początku tematu ... Widzę, że Tobie się wydaje, iż te aktualizacje to pic i fotomontaż.

 

 

---

Tym razem inny wariant infekcji.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-776561741-329068152-1801674531-1005..\Run: [bOS] C:\BOS\bos.exe () 
[2012-07-27 20:24:20 | 000,000,000 | ---D | C] -- C:\BOS
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany (i odblokowany), otworzy się log z wynikami usuwania.

 

2. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

.

[mundek012]

Java juz aktualna oto skan

OTL.Txt

[picasso]

Infekcja usunięta. Teraz wykończenia i potwierdzanie stanu systemu (w systemie było stanowczo zbyt dużo trojanów / keyloggerów):

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Wykonaj skanowanie w: Kaspersky Virus Removal Tool + Malwarebytes Anti-Malware. W obu programach skonfiguruj pełny skan a nie szybki, co da wiarygodniejsze rezultaty. Wszystkie wyniki z ewentualnymi wykrytymi zagrożeniami zaprezentuj. Wśród wyników Kasperskiego interesują mnie tylko typu "Detected", inne nie.

 

 

.

Edytowane 28 Sierpnia 2012 przez picasso
28.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso