dextermorganpl Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Dziś po godzinie 16 komp zaatakował mi ten malware. Poniżej niezbędne pliki i bardzo proszę Was o pomoc. Z góry dziękuję, całuję rączki i pozdrawiam! Extras.Txt OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 27 Lipca 2012 Zgłoś Udostępnij Opublikowano 27 Lipca 2012 1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva392.sys -- (XDva392) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\vqfnadou.sys -- (vqfnadou) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\vjqlwxew.sys -- (vjqlwxew) DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\tzeutvoe.sys -- (tzeutvoe) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\teefer2.sys -- (Teefer2) DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\SYSTEM32\Drivers\SysPlant.sys -- (SysPlant) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\nxkhbzyd.sys -- (nxkhbzyd) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motusbdevice.sys -- (motusbdevice) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Motousbnet.sys -- (Motousbnet) DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\motccgp.sys -- (motccgp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\lesvwect.sys -- (lesvwect) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\jvpzycgi.sys -- (jvpzycgi) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\joncahsl.sys -- (joncahsl) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\iohavuyb.sys -- (iohavuyb) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ilmyjkio.sys -- (ilmyjkio) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\hytxftqp.sys -- (hytxftqp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\gowyotpn.sys -- (gowyotpn) DRV - File not found [Kernel | On_Demand | Stopped] -- F:\FXDrv32.sys -- (FXDrv32) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\dyudklew.sys -- (dyudklew) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\docffhjh.sys -- (docffhjh) DRV - File not found [Kernel | System | Stopped] -- -- (Cdaudio) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\ayclzhin.sys -- (ayclzhin) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\cdaudio.sys -- (AVPsys) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\atnhbtly.sys -- (atnhbtly) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\System32\Drivers\arecibok.sys -- (arecibok) DRV - File not found [Kernel | Auto | Stopped] -- -- (adfs) IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=af06fc06-2378-11e1-a3a5-001fe2638851" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1022&systemid=1&sr=0&q={searchTerms}" IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=740&systemid=2&sr=0&q={searchTerms}" IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://search.babylon.com/?affID=111877&babsrc=HP_ss&mntrId=70dbc4cd000000000000001fe2638851" IE - HKCU\..\URLSearchHook: {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=111877&babsrc=SP_ss&mntrId=70dbc4cd000000000000001fe2638851" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD21}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=1022&systemid=1&sr=0&q={searchTerms}" IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD22}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=740&systemid=2&sr=0&q={searchTerms}" IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;;192.168.*.*;<local> FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "SweetIM Search" FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search" FF - prefs.js..browser.search.order.1: "Search Results" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?src=2&q=" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search Results" FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.babylon.com/?affID=111877&babsrc=KW_ss&mntrId=70dbc4cd000000000000001fe2638851&q=" [2012-04-29 19:22:53 | 000,000,000 | ---D | M] (Browser Companion Helper) -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\extensions\bbrs_002@blabbers.com [2012-01-17 12:37:37 | 000,000,000 | ---D | M] (Wincore Mediabar) -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} [2012-01-02 16:15:54 | 000,000,000 | ---D | M] (Babylon) -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\extensions\ffxtlbr@babylon.com [2009-05-31 18:45:28 | 000,000,896 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\conduit.xml [2010-01-30 13:18:14 | 000,002,055 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\daemon-search.xml [2012-01-17 12:48:48 | 000,002,517 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\Search_Results.xml [2011-07-11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\startsear.xml [2012-04-29 19:10:58 | 000,003,915 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\sweetim.xml [2012-04-29 19:09:44 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{16d3098a-2d19-1e0d-235a-51824ab4d447} [2012-04-29 19:09:51 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml [2012-01-17 12:48:48 | 000,002,517 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml O2 - BHO: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll File not found O2 - BHO: (sleekseek) - {9c39464d-14b6-0c9b-5cac-756622ecf034} - C:\WINDOWS\system32\c4dc6de4.dll () O2 - BHO: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - C:\PROGRA~1\IMESHA~1\MediaBar\Datamngr\ToolBar\wincoreimdtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - {57cc715d-37ca-44e4-9ec2-8c2cbddb25ec} - No CLSID value found. O3 - HKLM\..\Toolbar: (Wincore Mediabar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\ToolBar\wincorebsdtx.dll File not found O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {57CC715D-37CA-44E4-9EC2-8C2CBDDB25EC} - No CLSID value found. O4 - HKLM..\Run: [qpaqhhdmcngbith] C:\Documents and Settings\All Users\Dane aplikacji\qpaqhhdm.exe () O4 - HKLM..\Run: [sessionInit] C:\Documents and Settings\nopixxx\init.exe File not found O4 - HKLM..\Run: [TrayServer] C:\Program Files\MAGIX\Movie_Edit_Pro_14_PLUS_Download_version\TrayServer.exe File not found O4 - HKLM..\Run: [Yahoo Messenger] File not found O4 - HKCU..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe File not found O4 - HKCU..\Run: [qpaqhhdmcngbith] C:\Documents and Settings\All Users\Dane aplikacji\qpaqhhdm.exe () O4 - Startup: C:\Documents and Settings\nopixxx\Menu Start\Programy\Autostart\Capcom Registration.lnk = File not found O4 - Startup: C:\Documents and Settings\nopixxx\Menu Start\Programy\Autostart\fliptoast.lnk = File not found O20 - HKLM Winlogon: TaskMan - (C:\Documents and Settings\nopixxx\Dane aplikacji\juzjf.exe) - File not found :Files C:\WINDOWS\System32\9fbc2e21.exe C:\WINDOWS\System32\c4dc6de4.dll C:\Documents and Settings\All Users\Dane aplikacji\pgqupulucizappc C:\Documents and Settings\All Users\Dane aplikacji\sympezjzuzefomk C:\Documents and Settings\nopixxx\0.9272433965878379.exe C:\Documents and Settings\nopixxx\0.4607529962244872.exe C:\Documents and Settings\nopixxx\0.3479536739967467.exe :Reg [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. 2. Przez Panel sterowania odinstaluj: vShare.tv plugin 1.3 / Akamai NetSession Interface / BrowserCompanion Otwórz Google Chrome i wejdź do Opcji, w Rozszerzeniach odmontuj SweetIM for Facebook / Vshare Plugin / Browser Companion 3. Uruchom AdwCleaner z opcji Delete 4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras) Odnośnik do komentarza
dextermorganpl Opublikowano 27 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2012 Ciemna masa bardzo dziękuje za tą nieocenioną pomoc!!! Chyba wszystko ok, OTL nie chce się tu załadować to nie pokazuje. Odnośnik do komentarza
Landuss Opublikowano 28 Lipca 2012 Zgłoś Udostępnij Opublikowano 28 Lipca 2012 Ale ja chcę abyś pokazał nowy log z opcji Skanuj... Odnośnik do komentarza
dextermorganpl Opublikowano 11 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2012 Dziś ok godz. 13 wszystko mi padło pod rzekomym zainfekowaniem wszystkiego, nagle się wzięło i zainfekowało. I wywala mi okno żebym zakupił licencję na live security platinum ha ha ha. Odinstalować tego nie idzie, w trybie awaryjnym też nie. Załączam OTL. I bardzo proszę o pomoc! OTL.Txt Odnośnik do komentarza
Landuss Opublikowano 12 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 12 Sierpnia 2012 Zabrakło drugiego loga z OTL - extras. Nie miałeś zaznaczonej opcji Rejestr - skan dodatkowy na "Użyj filtrowania". Zrób tak w następnym poście. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst: :OTL FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Google" FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "" [2012-07-27 21:50:53 | 000,003,920 | ---- | M] () -- C:\Documents and Settings\nopixxx\Dane aplikacji\Mozilla\Firefox\Profiles\8w7shsf1.default\searchplugins\sweetim-search.xml O4 - HKCU..\RunOnce: [036DFF852351185E18986F3581CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\036DFF852351185E18986F3581CB3EF3\036DFF852351185E18986F3581CB3EF3.exe () :Files C:\Documents and Settings\nopixxx\Pulpit\Live Security Platinum.lnk C:\Documents and Settings\nopixxx\Menu Start\Programy\Live Security Platinum C:\Documents and Settings\All Users\Dane aplikacji\036DFF852351185E18986F3581CB3EF3 :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Kliknij w Wykonaj skrypt. Zatwierdź restart komputera. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL Odnośnik do komentarza
dextermorganpl Opublikowano 14 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Działa poprawnie. Załączam nowy log OTL i plik Extras ale ze skanowania po wykonaniu skryptu. OTL.Txt Extras.Txt Odnośnik do komentarza
Landuss Opublikowano 14 Sierpnia 2012 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2012 Infekcja poprawnie usunięta. Przejdź do finalizacji tematu: 1. Użyj opcji Sprzątanie z OTL. 2. Opróżnij przywracanie systemu: KLIK 3. Uruchom AdwCleaner z opcji Delete 4. Zaktualizuj wymienione programy do najnowszych wersji: Internet Explorer (Version = 7.0.5730.13) "{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java 6 Update 31 Szczegóły aktualizacyjne: KLIK Odnośnik do komentarza
Rekomendowane odpowiedzi