Trojan.Generic.KDZ.4526

[luke555]

Witam, szukając materiałów na projekt głośnika nabyłem trojana najprawdopodobniej podczas generowania się reklamy na jednej ze stron, nie wiem czy to zbieg okoliczności czy nie ale dysk zaczął przez pewien czas zaskakująco mocno pracować właśnie w momencie ładowania reklamy na forum strony audiostereo co wzbudziło moją podejrzliwość, jak się okazało słusznie, po chwili odpaliłem menadżer zadań i pojawił się nowy proces - zakończyłem go. Następnie przeszukałem komputer w celu wykrycia źródła kierując się nazwą i jak to zwykle bywa w folderze "Ustawienia lokalne/Temp" aktywnego usera znajdował się plik, który natychmiast przeskanowałem na Virustotal - oto wynik https://www.virustot...sis/1358347291/

Po usunięciu owego pliku i odłączeniu internetu przeskanowałem dysk Kasperskym Virus Removal Tool, który nic nie wykrył. W miedzyczasie z autostartu w pasku start znikł wpis "unist_tutaj był szereg cyfr i liter". Obecnie nie widzę żadnych efektów tego zakażenia korzystając z internetu, choć przed odłączeniem sieci wydawało mi się, że internet nieco zaczął zamulać po wykryciu przeze mnie zagrożenia. Może szybka reakcja z mojej strony coś tu pomogła... ale pewnie jakieś pozostałości po robaku są. Poniżej załączam wymagane logi. Nie uruchamiałem jeszcze ponownie komputera - być może ma to jakieś znaczenie.

 

Edit: No niestety ma znaczenie, trojan wyskoczył w procesach pod inną nazwą a konkretnie remgupinsacf.exe i zaczął uruchamiać kolejne procesy svchost które zaczęły obciążać cpu w 100% ale jakoś udało sie je zamknąć, w msconfig odznaczyłem proces w zakładce uruchamianie. Dołączam logi z otl po restarcie systemu. Proszę o poradę.

OTL.Txt

Extras.Txt

gmer.txt

Extras_new.Txt

OTL_new.Txt

[picasso]

Edit: No niestety ma znaczenie, trojan wyskoczył w procesach pod inną nazwą a konkretnie remgupinsacf.exe i zaczął uruchamiać kolejne procesy svchost które zaczęły obciążać cpu w 100% ale jakoś udało sie je zamknąć, w msconfig odznaczyłem proces w zakładce uruchamianie.

 

Aktualnie w starcie nic nie widać. Skoro wyłączyłeś via msconfig, to dodaj skan na to miejsce, bo OTL domyślnie tego nie pokazuje. Uruchom SystemLook i do okna wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig /s

 

Klik w Look.

 

 

Po usunięciu owego pliku i odłączeniu internetu przeskanowałem dysk Kasperskym Virus Removal Tool, który nic nie wykrył. W miedzyczasie z autostartu w pasku start znikł wpis "unist_tutaj był szereg cyfr i liter".

 

Ten unist* w autostarcie to skrót Kasperskiego.

 

 

 

.

[luke555]

Aktualnie wirus chyba nie jest aktywny (nie ma żadnych oznak), po wyłączeniu procesu via msconfig i usunięciu pliku z którego niby się odpalał. Od razu daje log z mbam - tutaj zastanawiający jest ten wpis regedit32 w rejestrze, ccleaner daje komunikat związany z tym wpisem skanując rejestr - brakujace oprogramowanie startowe. Czy nie jest to czasem związane z tym wirusem? W autostarcie też jest ten niby regedit32, wczesniej tego nie widziałem...

SystemLook.txt

MBAM-log-2013-01-16 (22-30-07).txt

[picasso]

Czyli kosmetyka:

 

1. Przez Panel sterowania odinstaluj zbędnego śmiecia Logitech Desktop Messenger. To jest system powiadomień aktualizacyjnych i ofert, brak związku z pracą sprzętu i sterownikami Logitech SetPoint. Ten obiekt zarejestrował w systemie autostart i masę protokołów:

 

 

 

MOD - [2012-09-30 09:23:32 | 000,147,493 | ---- | M] () -- C:\Program Files\Logitech\Desktop Messenger\8876480\7.2.0.137-8876480SL\Program\bwfiles.dll

MOD - [2012-09-30 09:23:32 | 000,114,688 | ---- | M] () -- C:\Program Files\Logitech\Desktop Messenger\8876480\7.2.0.137-8876480SL\Program\BWScriptExt.dll

MOD - [2012-09-30 09:23:32 | 000,061,496 | ---- | M] () -- C:\Program Files\Logitech\Desktop Messenger\8876480\7.2.0.137-8876480SL\Program\clntutil.dll

MOD - [2012-09-30 09:23:31 | 000,536,617 | ---- | M] () -- C:\Program Files\Logitech\Desktop Messenger\8876480\7.2.0.137-8876480SL\Program\BWDocMapExt.dll

 

O4 - HKU\S-1-5-21-114417037-3862488296-44768721-1006..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech)

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe (Logitech)

 

O18 - Protocol\Handler\offline-8876480 {8DA14AC9-B358-471D-B82F-246DE100170C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw+0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw+0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw-0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw00 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw00s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw-0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw10 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw10s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw20 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw20s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw30 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw30s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw40 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw40s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw50 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw50s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw60 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw60s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw70 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw70s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw80 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw80s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw90 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bw90s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwa0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwa0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwb0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwb0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwc0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwc0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwd0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwd0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwe0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwe0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwf0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwf0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwg0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwg0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwh0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwh0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwi0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwi0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwj0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwj0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwk0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwk0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwl0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwl0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwm0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwm0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwn0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwn0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwo0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwo0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwp0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwp0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwq0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwq0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwr0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwr0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bws0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bws0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwt0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwt0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwu0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwu0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwv0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwv0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bww0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bww0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwx0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwx0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwy0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwy0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwz0 {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

O18 - Protocol\Handler\bwz0s {8da14ac9-b358-471d-b82f-246de100170c} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll (BackWeb Technologies Inc. )

 

 

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\remgupinsacf]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-114417037-3862488296-44768721-1006\..\Toolbar\WebBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} "http://download.eset.com/special/eos/OnlineScanner.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
 
:Files
C:\Documents and Settings\Agent\Dane aplikacji\Thinstall
C:\Documents and Settings\Agent\Ustawienia lokalne\Dane aplikacji\Sun\Java\Deployment\cache\6.0\9\2acfbec9-74f20619
netsh firewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

Od razu daje log z mbam - tutaj zastanawiający jest ten wpis regedit32 w rejestrze, ccleaner daje komunikat związany z tym wpisem skanując rejestr - brakujace oprogramowanie startowe. Czy nie jest to czasem związane z tym wirusem? W autostarcie też jest ten niby regedit32, wczesniej tego nie widziałem...

 

Ten wpis Regedit32 jest pusty i wydaje się pochodzić od zupełnie innego obiektu. Wszystko co wykrył MBAM usuwam skryptem OTL. Ale należy zaznaczyć, że katalog Thinstall pochodzi od Office 2003 rzekomo portable i jest to fałszywy alarm MBAM na komponentach wirtualizowanych metodą Thinstall. Dla porządku dysku jednak go usuwam, bo element zbędny.

 

 

 

.

[luke555]

Daje logi z wykonania skryptu i skan z OTL. W msconfig zniknęły oczywiście te 2 dziwne wpisy.

OTL.Txt

01172013_151935.txt

[picasso]

Wszystko zrobione, nic więcej tu nie widzę, czyli kończymy:

 

1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK. Wg raportu obecnie w systemie są wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"{26A24AE4-039D-4CA4-87B4-2F83217009FF}" = Java 7 Update 9
"{91CA0415-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Small Business Edition 2003
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 15.0.1 (x86 pl)" = Mozilla Firefox 15.0.1 (x86 pl)

 

3. I nie masz żadnego oprogramowania zabezpieczającego z osłoną rezydentną. Nadrób to.

 

 

Czyszczenia folderów Przywracania nie zadaję, wg OTL Extras Przywracanie jest off.

 

 

 

.

[luke555]

Czyszczenia folderów Przywracania nie zadaję, wg OTL Extras Przywracanie jest off.

 

Zgadza się. W takim razie bardzo dziękuje za pomoc.

[luke555]

Nie sądziłem, że tak szybko tu wróce... i to przez niemal to samo. Nie mając pewności 100% czy poprzednio wirus nabyłem ze strony audiostrereo dalej przeszukając strony związane zgłośnikami, tym razem już a Avastem przekonałem się że jednak nie warto było... swoją drogą przeszło to jak przez sito, inna sprawa że chyba ostatnio jakaś plaga z tymi wirami, bo strona sama w sobie jak każda inna, pewnie coś dorwało się do serwera i rozsyła Niby coś blokowował ale niestety na nic to wszystko. Dokładnie tak samo sie wszystko odbyło, po kilkunatu sekundach wykryłem że jest coś nie tak, następnie usunąłem proces, od razu zajrzałem do msconfig a tam w autostarcie niemal identyczne procesy jak poprzednio regedit i jakiś ciąg liter i cyfr w drugim - odznaczyłem. Do tego jeszcze avast skanujac recznie cos usunął. Narazie jest ok.. ale znowu te pozostałości trzeba usunąć. Proszę o pomoc w tym i radzę nie ryzykować nikomu wchodzić na wyżej wymienioną stronę.

 

 

P.S. Co do aktualizacji to flash player w wersji 10 u mnie lepiej działa - szybciej i dlatego taki jest, ale może zupdatuje jeżeli to konieczne.

Extras.Txt

OTL.Txt

gmer.txt

SystemLook.txt

[picasso]

W raportach nie widzę oznak tej infekcji, tylko te wpisy wyłączone w msconfig. Czyli małe doczyszczanie:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\qefiklixubib]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Regedit32]
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Do oceny wystarczy tylko log z wynikami usuwania. Nowy skan OTL zbędny.

 

 

 

.

Edytowane 18 Lutego 2013 przez picasso
18.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso