Win32/Ponmocup.AA koń trojański - nie można wyleczyć

[JAREK29]

Witam .Bardzo proszę o pomoc gdyż nie mogę naromalnie korzystać z komputera bez przerwy otwierają sie strony nie te ktore wpisuje nod wykrył wirusa tak jak w temacie ktorego nie jest w stanie usunąć "amięć operacyjna » rundll32.exe(1768) - prawdopodobnie odmiana zagrożenia Win32/Ponmocup.AA koń trojański - nie można wyleczyć". Będę wdzięczny za każdą pomoc . Dziękuje

OTL.Txt

Extras.Txt

[picasso]

Infekcja wykrywana przez ESET w pamięci to ta para plików:

 

[2012-11-17 09:22:07 | 000,102,400 | RHS- | C] () -- C:\WINDOWS\System32\iprtpriol.dll

[2012-11-17 09:22:07 | 000,000,310 | ---- | C] () -- C:\WINDOWS\tasks\Hzsolo.job

 

Poza tym, system zabrudzony adware... Ale zanim przejdę do usuwania, odpowiedz mi na ważne pytanie. Widzę, że nazwa użytkownika to "spacja":

 

C:\Documents and Settings\ \Pulpit\OTL(19450).exe

 

Czy to log z OTL manipulowany, czyli celowo usunięta nazwa użytkownika? Czy może nazwa konta jest taka dziwna? W tym drugim przypadku może być problem z usuwaniem za pomocą narzędzi, bo ścieżka jest atypowa, nazwa po prostu wadliwa.

 

 

 

 

.

[JAREK29]

Nie ja nic nie usuwałem i nie manipulowałem taki jaki mi sie wyświetlił taki wysłałem.

[picasso]

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\WINDOWS\System32\iprtpriol.dll
C:\WINDOWS\tasks\Hzsolo.job
C:\WINDOWS\System32\drivers\cdemtrt.sys
C:\WINDOWS\System32\drivers\xbjidh.sys
C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
C:\Program Files\Mozilla Firefox\updated\extensions\ffxtlbr@babylon.com
%appdata%\Mozilla\Firefox\Profiles\3x5s4nds.default\searchplugins\Search.xml
%appdata%\Mozilla\Firefox\Profiles\3x5s4nds.default\searchplugins\Yoog Search.xml
 
:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100479&tt=090212_ctrl&babsrc=SP_ss&mntrId=54cd9be300000000000000234da3dc81"
IE - HKCU\..\SearchScopes\{78B0E33A-553B-436A-BEB4-AC860A40CC53}: "URL" = "http://www.dealio.com/products.html?kwd={searchTerms}"
IE - HKCU\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/driveridentifier/{E01BE046-9D0F-479C-A010-C909CA0FAE09}?q={searchTerms}"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2704262"
IE - HKCU\..\SearchScopes\{D1F69A15-607A-40BB-A02E-DEFB236CD921}: "URL" = "http://www.dymasearch.com/search.php?src=tops&q={SearchTerms}"
IE - HKCU\..\SearchScopes\{D629C976-88F4-4014-9127-D49CE70EB691}: "URL" = "http://www.ask.com/web?&o=13795&l=dis&q={searchTerms}"
O3 - HKLM\..\Toolbar: (no name) - {98889811-442D-49dd-99D7-DC866BE87DBC} - No CLSID value found.
O4 - HKCU..\Run: [Twoje TVN24] File not found
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} "http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab" (Reg Error: Key error.)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} "http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB" (Reg Error: Key error.)
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab" (Reg Error: Value error.)
O20 - Winlogon\Notify\TPSvc: DllName - (TPSvc.dll) - File not found
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
SRV - File not found [Auto | Stopped] -- C:\DOCUME~1\0A00~1\USTAWI~1\Temp\hpdj00.exe -- (hpdj00)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\efnqvsi.sys -- (tiarkee)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (RTL8187B)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\RTL2832UUSB.sys -- (RTL2832UUSB)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\RTL2832U_IRHID.sys -- (RTL2832U_IRHID)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar, FreeSoundRecorder Toolbar, FoxTab FLV Player oraz przestarzały program Spybot - Search & Destroy.

 

3. Zresetuj plik HOSTS do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034.

 

4. Masz dużo profilów Firefox (a w nich jeszcze jakieś dziwaczne powielenia obiektów rozszerzeń). Czy są używane? Jeśli aktualnie używasz tylko jeden, to skasuj nadwyżkowe. Aktualnie widzę profile:

 

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\05cttw7h.Jarek nowy

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\dn5wd2ud.default

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\ogkm2cy9.default

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras), zaległy GMER oraz Farbar Service Scanner. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[JAREK29]

Witam. Zrobiłem wszystko co Pani napisała oprócz uwówania profili firefoxa gdyż po wejśćiu w menadzera profili widniał tylko jeden .NOD juz nie wykrywa żadnego wirusa jestem ogromnie Pani wdzięczny za pomoc przesyłam LOGi no i wielkiego Buziaka

PS. laga z GMERA nie mogę wysłac gdzyś wyswietla sie ze nie mam uprawnień do wysyłania tego typu plików. Nie wiem o co chodzi

OTL.Txt

AdwCleanerS1.txt

FSS.txt

GMER.txt

[picasso]

Log z Farbar Service Scanner niekompletny, nie zaznaczyłeś wszystkich opcji jak punktuje opis. Wykonaj ponownie.

 

 

oprócz uwówania profili firefoxa gdyż po wejśćiu w menadzera profili widniał tylko jeden

 

Mnie chodzi o usunięcie folderów z dysku. Nadal widać na dysku trzy foldery (= trzy profile):

 

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\05cttw7h.Jarek nowy

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\dn5wd2ud.default

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\ogkm2cy9.default

 

Skoro twierdzisz, że menedżer Firefoxa pokazuje tylko jeden profil, to reszta to odpadki, z powyżej wylicznych katalogów tylko jeden jest właściwy, dwa pozostałe do usunięcia. Otwórz Mój komputer, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles

 

Przez SHIFT+DEL skasuj odpadkowe katalogi zostawiając tylko jeden, który wg menedżera Firefoxa jest obecnie używany. Po wykonaniu tej operacji zrób nowy log OTL z opcji Skanuj.

 

 

PS. laga z GMERA nie mogę wysłac gdzyś wyswietla sie ze nie mam uprawnień do wysyłania tego typu plików. Nie wiem o co chodzi

 

Nie doczytałeś ... W Pomocy forum (link na spodzie strony) jest wyjaśnione, że załączniki akceptują tylko format *.TXT, a Ty próbujesz dołączać *.LOG. Na przyszłość: wystarczy ręczna zmiana nazwy pliku. Poza tym, problemu by nie było gdybyś podążył za opisem GMER 1:1, gdyż w opsie jest wyraźnie powiedziane, by posłużyć się opcją Kopiuj a nie bezpośrednim zapisem do pliku ... Oczekuję na raport.

 

 

 

.

[JAREK29]

Tera już chyba bedzie poprawnie

[picasso]

Log z GMER wprawdzie dodałeś, ale miałeś wykonać to:

 

Log z Farbar Service Scanner niekompletny, nie zaznaczyłeś wszystkich opcji jak punktuje opis. Wykonaj ponownie.

 

Mnie chodzi o usunięcie folderów z dysku. Nadal widać na dysku trzy foldery (= trzy profile):

 

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\05cttw7h.Jarek nowy

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\dn5wd2ud.default

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles\ogkm2cy9.default

 

Skoro twierdzisz, że menedżer Firefoxa pokazuje tylko jeden profil, to reszta to odpadki, z powyżej wylicznych katalogów tylko jeden jest właściwy, dwa pozostałe do usunięcia. Otwórz Mój komputer, w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles

 

Przez SHIFT+DEL skasuj odpadkowe katalogi zostawiając tylko jeden, który wg menedżera Firefoxa jest obecnie używany. Po wykonaniu tej operacji zrób nowy log OTL z opcji Skanuj.

 

I proszę już odpowiadaj w nowym poście, a nie edytuj wstecz, bo proszę o wykonanie nowych zadań.

 

 

.

[JAREK29]

Usunąłem pozostałości innych profili wg. wsazania i dzije się tak że podczas skanowania OTL skanując procesy firefoxa zawiesza sie program i stoi w miejscu, próbowałem kilka razy i cały czas jest tak samo nie wiem o co chodzi

GMER.txt

FSS.txt

AdwCleanerS2.txt

[picasso]

Usunąłem pozostałości innych profili wg. wsazania i dzije się tak że podczas skanowania OTL skanując procesy firefoxa zawiesza sie program i stoi w miejscu, próbowałem kilka razy i cały czas jest tak samo nie wiem o co chodzi

 

Pokaż co po usuwaniu masz w katalogu profilów Firefox. Uruchom SystemLook i w oknie wklej:

 

:dir
C:\Documents and Settings\ \Dane aplikacji\Mozilla\Firefox\Profiles

 

Klik w Look. Log nie będzie duży, wklej go do posta.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso