Bardzo zainfekowany komputer i pozostałości po skanowaniu

[bpm]

Dobry wieczór,

 

tym razem proszę o analizę pozostałości po skanowaniu za pomocą MBAM, który znalazł mnóstwo infekcji. Przeskanowałem system (Windows XP) również za pomocą TDSSKiller oraz Gmer. Avast nieaktualny do kasacji.

 

Bardzo proszę o analizę logów:

 

OTL

Extras

MBAM

Gmer

[picasso]

Skan z OTL bardzo dziwny, "wykreskowanie":

 

========== Services (SafeList) ==========
 
SRV -   --  -- 
 
 
========== Driver Services (SafeList) ==========
 
DRV -   --  -- 

 

Lwia część wyników MBAM (Trojan.Dropper) to robak Brontok. MBAM nie usunął jednak wszystkich składników Brontok, na dysku są różne obiekty + modyfikowany plik HOSTS. Poza tym, w katalogu Dominika są jakieś kuriozalne pliki, tzn. wszystkie ważą zero bajtów:

 

[2011-05-30 15:31:37 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\bvnbn.bmp
[2011-02-11 20:11:49 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 312.jpg
[2011-02-11 20:11:34 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 311.jpg
[2011-02-11 20:11:19 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 310.jpg
[2011-02-11 20:11:03 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 309.jpg
[2011-02-11 20:10:46 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 308.jpg
[2011-02-11 20:10:33 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 307.jpg
[2011-02-11 20:10:16 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 306.jpg
[2011-02-11 20:09:59 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 305.jpg
[2011-02-11 20:09:45 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 304.jpg
[2011-02-11 20:09:33 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 303.jpg
[2011-02-11 20:09:23 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 302.jpg
[2011-02-11 20:09:06 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 300.jpg
[2011-02-11 20:08:52 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 299.jpg
[2011-02-11 20:08:40 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 298.jpg
[2011-02-11 20:08:29 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 297.jpg
[2011-02-11 20:08:12 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 296.jpg
[2011-02-11 20:08:04 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 275.jpg
[2011-02-11 20:07:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 274.jpg
[2011-02-11 20:07:40 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 014.jpg
[2011-02-11 20:07:30 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 013.jpg
[2011-02-11 20:07:19 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 012.jpg
[2011-02-11 20:07:06 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 011.jpg
[2011-02-11 20:06:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 010.jpg
[2011-02-11 20:06:41 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 009.jpg
[2011-02-11 20:06:30 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 008.jpg
[2011-02-11 20:06:17 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 007.jpg
[2011-02-11 20:06:04 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 006.jpg
[2011-02-11 20:05:53 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 005.jpg
[2011-02-11 20:05:42 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Idol 004.jpg
[2011-01-30 13:34:40 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\tede_i_jego_glook_prawie.htm
[2011-01-23 20:40:18 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\SDC11715.JPG
[2011-01-23 20:34:01 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\SDC11719.JPG
[2011-01-19 15:39:14 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0011.jpg
[2011-01-19 15:39:12 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0010.jpg
[2011-01-19 15:38:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0009.jpg
[2011-01-19 15:38:52 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0008.jpg
[2011-01-19 15:38:50 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0005.jpg
[2011-01-19 15:38:48 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0006.jpg
[2011-01-19 15:38:12 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\skanuj0007.jpg
[2010-03-28 18:57:06 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Ula Stzczynska88.bmp
[2010-03-21 13:01:26 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\IMGP0222.JPG
[2010-03-07 13:42:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\drugi etap.rar
[2010-02-01 20:55:10 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Obraz 020.jpg
[2010-01-22 20:14:53 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC09820.JPG
[2010-01-16 19:35:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\PhotoScape.lnk
[2010-01-02 18:15:33 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\ludek.bmp
[2009-12-31 16:22:21 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\ol.jpg
[2009-12-26 11:12:52 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\bez tytułu.bmp
[2009-12-24 13:27:21 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Zdjęcie0455.jpg
[2009-11-30 17:29:08 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\Zdjęcie0304.jpg
[2009-11-24 16:19:00 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\fd.jpg
[2009-11-24 15:45:17 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04706.JPG
[2009-11-24 15:44:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04705.JPG
[2009-11-24 15:44:25 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04698.JPG
[2009-11-24 15:44:03 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04694.JPG
[2009-11-24 15:43:49 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04693.JPG
[2009-11-24 15:43:11 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04685.JPG
[2009-11-24 15:42:54 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04683.JPG
[2009-11-24 15:42:36 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04681.JPG
[2009-11-24 15:42:18 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04679.JPG
[2009-11-24 15:42:04 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04678.JPG
[2009-11-24 15:41:49 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\DSC04677.JPG
[2009-09-07 15:03:37 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Dominika\the_sims3pl(pobieralnia.pl)

 

 

1. Zresetuj plik HOSTS do postaci domyślnej: KB972034.

 

2. Przez SHIFT+DEL skasuj z folderu C:\Documents and Settings\Dominika wszystkie zerobajtowe obiekty.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Documents and Settings\Dominika\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\Dominika\Dane aplikacji\mediabarbs
C:\Documents and Settings\Dominika\Dane aplikacji\wincorebsband
C:\Program Files\mozilla firefox
netsh firewall reset /C
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
 
:OTL
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1957994488-1767777339-839522115-1004\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} "http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-5/myWebFaceInitialSetup1.0.1.3.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Reg Error: Key error. (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} Reg Error: Key error. (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. W Google Chrome ustawione strony startowe search.bearshare.net. Wymaż to w ustawieniach.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

 

 

 

 

 

.

[bpm]

Wszystko wykonane zgodnie z zaleceniami. Przedstawiam nowy log:

 

OTL

[picasso]

1. W Google Chrome są nadal strony startowe:

 

========== Chrome  ==========
 
CHR - homepage: "http://search.bearshare.net"
CHR - homepage: "http://search.bearshare.net"

 

Jeśli nie widzisz tego w opcjach, przy zamkniętym Google Chrome otwórz plik preferencji:

 

C:\Documents and Settings\Dominika\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Znajdź dwie frazy homepage i zastąp adresy.

 

2. Odinstaluj Norton Security Scan, V9 Homepage Uninstaller. Przez SHIFT+DEL skasuj z dysku:

 

[2013-01-23 22:11:22 | 000,012,393 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.old
[2013-02-06 14:37:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software

 

3. W OTL uruchom Sprzątanie.

 

4. Wyczyść foldery Przywracania systemu.

 

5. Aktualizacje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216019FF}" = Java™ 6 Update 30
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.2 - Polish
"{D5A6D02F-3CBB-4FBF-8F65-C3A6D721E8A4}" = OpenOffice.org 3.2
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wytyczka dla Firefox/Opera)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5

 

 

 

.

[bpm]

1. W Google Chrome są nadal strony startowe:

 

========== Chrome  ==========

 

CHR - homepage: "http://search.bearshare.net"

CHR - homepage: "http://search.bearshare.net"

 

Jeśli nie widzisz tego w opcjach, przy zamkniętym Google Chrome otwórz plik preferencji:

 

C:\Documents and Settings\Dominika\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences

 

Znajdź dwie frazy homepage i zastąp adresy.

 

Tak dokładnie nie było tego widać z poziomu przeglądarki. Poprawiłem to zgodnie z powyższymi zaleceniami. Reszta również wykonana według zaleceń.

 

Dziękuję bardzo serdecznie za pomoc.