Ciągłe infekcje AVG

[Rychwal]

Witam.

Posiadam komputer który padł infekcji, AVG co chwilę wywala błędy oraz infekcje plików dll

w załączniku skan otl oraz gmer

 

Gmer do ponownego zrobienia aktywny SPTD

gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Nie podałeś gdzie AVG widzi infekcje. A system jest okropnie zabrudzony. Jest tu infekcja, która prawdopodobnie weszła z lewej paczki do Tibia. Ponadto ogromna ilość adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.defaultthis.engineName: "Softonic-Polska Customized Web Search"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=hp&babsrc=lnkry"
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q="
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/home?AF=100908"
FF - prefs.js..extensions.enabledItems: crossriderapp498@crossrider.com:0.76.37
FF - prefs.js..extensions.enabledItems: {0b38152b-1b20-484d-a11f-5e04a9b0661f}:5.6.12.1
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher: C:\Program Files\GamersFirst\LIVE!\nplivelauncher.dll File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - No CLSID value found
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/kw/kw_1330210996_635873"
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A089A432-0AF3-11E1-908C-0060B301A74B}"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120303200046703&tb_oid=03-03-2012&tb_mrud=03-03-2012" 
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = "http://pl.v9.com/kw/kw_1330210996_635873"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OPENCANDY&dpid=OPENCANDYAPRIL&co=PL&userid=5ae9a659-8071-4546-9981-cc6dce53cd40&affid=110774&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120226&user_guid=FB1E2A5FB28D4917B59B94C1DEAF701D&machine_id=66ab3c057403ee63c1217f49132e09f1&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=113480&babsrc=SP_ss&mntrId=5433eef4000000000000243c2006e073"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{5F970FDE-702B-4ef9-920C-5F2848A5AF26}: "URL" = "http://www.astroburn-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={40889FFC-A928-4B0C-95A2-7C69AE9F3063}&mid=6079b3e3aeb1f40ab1b5cb8598ece27c-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=pl&ds=AVG&pr=fr&d=2011-12-01 15:17:38&v=9.0.0.18&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = "http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={A089A432-0AF3-11E1-908C-0060B301A74B}"
IE - HKU\S-1-5-21-220523388-1958367476-682003330-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120303200046703&tb_oid=03-03-2012&tb_mrud=03-03-2012:
O4 - HKLM..\Run: [crack.exe] C:\WINDOWS\crack.exe File not found
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WinDefender] C:\WINDOWS\Wincft.exe File not found
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [AutoConnect] D:\AutoConnect\AutoConnect.exe File not found
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [browser Infrastructure Helper] C:\Documents and Settings\Michał\Ustawienia lokalne\Dane aplikacji\Smartbar\Application\Linkury.exe (Smartbar)
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [HKCU] C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [Media Finder] "C:\Program Files\Media Finder\Media Finder.exe" /opentotray File not found
O4 - HKU\S-1-5-21-220523388-1958367476-682003330-1003..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe" File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O7 - HKU\S-1-5-21-220523388-1958367476-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\Winbooterr\svchost.exe (Microsoft Corporation)
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\ZDCndis5.SYS -- (ZDCndis5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Files
C:\WINDOWS\system32\Winbooterr
C:\Documents and Settings\Michał\Dane aplikacji\Michałlog.dat
C:\WINDOWS\os4.exe
C:\WINDOWS\zlib1.dll
C:\WINDOWS\Last.dat
C:\WINDOWS\memlist.dat
C:\WINDOWS\Language.dat
C:\WINDOWS\test.dat
C:\Documents and Settings\Michał\Dane aplikacji\OpenCandy
C:\Documents and Settings\Michał\Dane aplikacji\PriceGong
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Program Files\mozilla firefox\searchplugins\v9.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\absearch-search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\conduit.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\daemon-search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\SweetIM Search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\sweetim.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\Web Search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\winamp-search.xml
C:\Documents and Settings\Michał\Dane aplikacji\Mozilla\Firefox\Profiles\2s9syji7.default\searchplugins\yahoo-zugo.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"crossriderapp498@crossrider.com"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Start Page Restore"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Masowe deinstalacje adware i śmieci:

• Przez Panel sterowania odinstaluj: 50 FREE MP3s +1 Free Audiobook!, Astroburn Toolbar, Babylon toolbar on IE, BabylonObjectInstaller, DAEMON Tools Toolbar, Deinstalator Strony V9, Download Updater (AOL LLC), Linkury Smartbar, Media Finder 1.0.9.26, RewardsArcade, Softonic-Polska Toolbar, SweetIM Toolbar for Internet Explorer 4.2, SweetIM for Messenger 3.6, StartNow Toolbar, Winamp Toolbar.
  
• Otwórz Firefox i odmontuj w Dodatkach: Babylon, Free Lunch Design TB Community Toolbar, Linkury Smartbar, StartNow Toolbar, Winamp Toolbar
  
• Otwórz Google Chrome i w Rozszerzeniach odmontuj: Babylon Toolbar, General Crawler, Linkury Smartbar, Media Finder plugin, RewardsArcade. W zarządzaniu wyszukiwarkami przestaw domyślną np. na Google zaś Enter to usuń z listy, no i przestaw stronę startową.
  

3. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL na warunku dostosowanym, tzn. w sekcji Własne opcje skanowania / skrypt wklej co poniżej i klik w Skanuj.

 

hklm\Software\Microsoft\Active Setup\Installed Components|svchost.exe /RS

 

Dołącz log z usuwania OTL z punktu 1 oraz AdwCleaner z punktu 3.

 

 

 

.

[Rychwal]

Jutro dołączę wszystkie logi, ponieważ nie mam komputera przed sobą, jest to komputer kuzyna.

Większość tych "pierdół" odinstalowałem, ale dopiero po tym jak wykonałem skrypt i zobaczyłem, że tyle śmieci jest.

Po zrobieniu wszystkich czynności zedytuję post.

OTL.Txt

AdwCleanerS1.txt

[picasso]

Tylko jeden log z AdwCleaner mnie interesuje. Ten z usuwania właściwego. Drugi jest po prostu "pusty" i odcinam.

 

Niestety, przemęczenie ostatnio bierze górę. Już podejrzewam co wykrywa w kółko AVG = wirusa w wykonywalnych Ramnit. Nie wiem jak to się stało, nie zauważyłam tego wpisu demaskującego obecność:

 

O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()

 

Krótko mówiąc: jest tu po zabawie. Wirus atakuje wszystkie pliki wykonywalne na wszystkich dyskach, sukcesywnie niszcząc je. Można tu tracić owszem czas na próby leczenia tego z poziomu boot płyty (KLIK), ale oceniam sytuację z logicznego punktu widzenia: nie warta skóra wyprawki, system okropnie zaśmiecony (i nadal nie wyczyszczony), inwestowanie w to uważam za stratę czasu, nieznana ilość wymaganych reperacji / nakładek plikowych, a efekty końcowe mogą być dalekie od zamierzonych. Proponuję od razu zmiarzać do formatu. Uwaga: z tego dysku nie wolno żadnych wykonywalnych (instalatory / sterowniki / dokumenty html ...) ocalić / zbackupować, po formacie zaszczepią wirusa ponownie. Kolejna sprawa, mnogość partycji / dysków:

 

Drive C: | 116,44 Gb Total Space | 68,67 Gb Free Space | 58,98% Space Free | Partition Type: NTFS
Drive D: | 116,43 Gb Total Space | 108,72 Gb Free Space | 93,38% Space Free | Partition Type: NTFS
Drive E: | 116,44 Gb Total Space | 116,35 Gb Free Space | 99,92% Space Free | Partition Type: NTFS
Drive F: | 116,44 Gb Total Space | 116,36 Gb Free Space | 99,93% Space Free | Partition Type: NTFS

 

To nie są bariery dla wirusa tego pokroju. Jego zasięg może być ogromny (wszędzie tam gdzie jest pokarm wykonywalnych), czyli konieczność formatu wszystkiego.

 

 

.

[Rychwal]

Dziękuję za informację, W najbliższym czasie zrobię porządek u kuzyna i po prostu wszystkie partycje usunę i zrobię to tak jak się należy.

W takim układzie zamykam temat.

Dziękuję picasso.