84 wpisy w MBAM

[kitek]

Cześć ponownie.

Miałem co prawda zainstalować na tym kompie tylko dźwięk, ale widzę, że są tu "inne problemy". Komunikaty przy starcie o plikach typu temp?.exe + komp ciągle "coś robi". Brak antywira i nieaktualne programy = postanowiłem przeskanować Antimalwarebytes i efekty w załączniku. Postaram się jeszcze dołączyć Gmera ale nie wiem czy on kiedyś zakończy swoje działanie .

Z góry dziękuję za rady.

OTL.Txt

Extras.Txt

MBAM-log-2013-03-03 (00-46-57).txt

[picasso]

W przeważającej części MBAM wykrył komponety bardzo archaicznej infekcji z pendrive, a na wszystkich dyskach są pliki autorun.inf uruchamiające tę infekcje. Będę to usuwać zbiorowo razem z rzeczami, których MBAM nie wykrył. Omijam wynik z "Santa Claus in trouble ...again!", to wygląda na fałszywy alarm. Zaś katalogi System Volume Information (Przywracania systemu) zostaną opróżnione potem inną metodą.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
F3 - HKU\S-1-5-21-1123561945-839522115-682003330-1003 WinNT: Load - (D:\WINDOWS\svchost.exe) - D:\WINDOWS\svchost.exe ()
 
:Files
autorun.inf /alldrives
copy.exe /alldrives
host.exe /alldrives
D:\WINDOWS\xcopy.exe
D:\WINDOWS\System32\temp1.exe
D:\WINDOWS\system32\temp2.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\xcopy.exe
C:\WINDOWS\pss\smgr32.exeStartup
C:\WINDOWS\system32\temp1.exe
C:\WINDOWS\system32\temp2.exe
C:\WINDOWS\Temp
D:\Documents and Settings\All Users\Dane aplikacji\Babylon
D:\Documents and Settings\Patryk.S-569FB0E3755C4\Dane aplikacji\Babylon
D:\Documents and Settings\Patryk.S-569FB0E3755C4\Dane aplikacji\OpenCandy
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
""="@SYS:DoesNotExist"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. W skrypcie wprowadzam blokadę na uruchamianie plików autorun.inf (odpowiednik opcji Computer Vaccination w Panda USB Vaccine)

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + USBFix z opcji Listing.

 

 

 

.

[kitek]

Proszę bardzo.

OTL.Txt

UsbFix Listing 1 S-569FB0E3755C4.txt

[picasso]

Usuwanie przeprowadzone pomyślnie.

 

1. Usuń wszystkie Kosze z dysków i szczątki po uruchamianiu checkdiska. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\RECYCLER
D:\Recycled
D:\RECYCLER
D:\FOUND.000
D:\FOUND.001
E:\Recycled

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Odinstaluj stare produkty Adobe + Java, zaktualizuj Internet Explorer: KLIK. Wg raportu obecnie są w systemie:

 

Internet Explorer (Version = 7.0.5730.13)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216023FF}" = Java™ 6 Update 23
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin (wtyczka dla Firefox/Opera)

 

5. Brak tu oprogramowania zabezpieczającego. Nadrób.

 

6. Kolejna sprawa: spisy elementów sugerują dwa systemy. Aktualnie był obrabiany system na D oraz tylko częściowo pliki na C (widoczne w skanach). System na C nie został jednak sprawdzony, musi zostać uruchomiony odrębnie i nowe logi zrobione z jego poziomu.

 

 

 

.

[kitek]

Dziękuję jak nie wiem co. Już wszystko wykonane, podaję więc logi z drugiego systemu.

iexplore.exe po kilku minutach zużywa praktycznie 100% mocy procesora.

OTL.Txt

Extras.Txt

[picasso]

Jest tu co sprzątać:

 

1. Przez Dodaj/Usuń programy odinstaluj adware Ask Toolbar, DAEMON Tools Toolbar, SpeedBit Video Accelerator, SpeedBit Video Downloader, Winamp Toolbar. Niektóre wyglądają na szczątki.

 

2. Firefox zaśmiecony, ale nie warto czyścić, bo to archaiczny dziurawy Firefox 3.6.12. Jeli chcesz zachować zakładki + hasła (i nic poza tym), zrzuć je do kopii zapasowej za pomocą MozBackup. Następnie: odinstaluj Firefox oraz obiekty go wtyczkujące (stara Java i wszystkie Adobe), przy deinstalacji Firefox potwierdź usuwanie danych użytkownika, a resztę wykończy punkt 3:

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
netsh winsock reset /C
C:\Program Files\SearchPredict
C:\Documents and Settings\Patryk\A_Drunken_Mouse_Cursor_58137.exe
C:\Documents and Settings\Patryk\M2 MultiversionHack by banjo1 v3.90.exe
C:\Documents and Settings\Patryk\M2 MultiversionHack by banjo1 v3.87.exe
C:\Documents and Settings\Patryk\fishing_beta_0.1.3i(1).exe
C:\Documents and Settings\Patryk\FishBOT.exe
C:\Documents and Settings\Patryk\fishbot ver.1.3.exe
C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
C:\Documents and Settings\All Users\Dane aplikacji\fssg
C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Patryk\Dane aplikacji\F-Secure
C:\Documents and Settings\Patryk\Dane aplikacji\Mozilla
C:\Documents and Settings\Patryk\Dane aplikacji\OpenCandy
C:\Documents and Settings\Patryk\Dane aplikacji\Toolbar4
C:\Documents and Settings\Patryk\Ustawienia lokalne\Dane aplikacji\Google
 
:Reg
[-HKEY_CURRENT_USER\Software\Google]
[-HKEY_CURRENT_USER\Software\Mozilla]
[-HKEY_CURRENT_USER\Software\SpeedBit]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Google]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla]
[-HKEY_LOCAL_MACHINE\SOFTWARE\mozilla.org]
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SpeedBit]
 
:OTL
IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\InprocServer32 File not found
IE - HKU\S-1-5-21-789336058-1214440339-1417001333-1003\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - SOFTWARE\Classes\CLSID\{57BCA5FA-5DBB-45a2-B558-1755C3F6253B}\InprocServer32 File not found
IE - HKU\S-1-5-21-789336058-1214440339-1417001333-1003\..\SearchScopes\{E73DE7CC-1F20-4bc9-BF41-3ED837DAE266}: "URL" = "http://home.speedbit.com/search.aspx?aff=206&q={searchTerms}"
IE - HKU\S-1-5-21-789336058-1214440339-1417001333-1003\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}"
O2 - BHO: (SearchPredictObj Class) - {389943B0-C3A2-4E69-82CB-8596A84CB3DC} - C:\Program Files\SearchPredict\SearchPredict.dll (Speedbit Ltd.)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [sniffer] C:\WINDOWS\Temp\_ex-08.exe File not found
O4 - HKU\S-1-5-21-789336058-1214440339-1417001333-1003..\Run: [Gadu-Gadu 10] "C:\Program Files\Gadu-Gadu 10\gg.exe" File not found
F3 - HKU\S-1-5-21-789336058-1214440339-1417001333-1003 WinNT: Load - (C:\WINDOWS\svchost.exe) -  File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} "http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab" (Reg Error: Key error.)
DRV - File not found [File_System | On_Demand | Stopped] -- Device\NaiAvFilter102.sys -- (NaiAvFilter102)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDRm.sys -- (InCDRm)
DRV - File not found [Kernel | System | Stopped] -- system32\drivers\InCDPass.sys -- (InCDPass)
DRV - File not found [File_System | Disabled | Stopped] -- system32\drivers\InCDFs.sys -- (InCDFs)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleNT.sys -- (EagleNT)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[kitek]

Zrobione.

03052013_212719.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Wszystko wykonane, tylko drobne poprawki i kończymy:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-789336058-1214440339-1417001333-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
O3 - HKU\S-1-5-21-789336058-1214440339-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {2E608F70-C430-4BC5-96F6-608E02EBA5B2} - No CLSID value found.
O4 - HKU\S-1-5-21-789336058-1214440339-1417001333-1003..\RunOnce: [shockwave Updater] C:\WINDOWS\system32\Adobe\SHOCKW~1\SWHELP~1.EXE -Update -1103471 -"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; AskTbSB/5.9.1.14019)" -"http://www8.agame.com/games/shockwave/m/my_3d_farm/my_3d_farm_girlsgogames_pl.htm" File not found
O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Dane aplikacji\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html File not found
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} "http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Patryk\USTAWI~1\Temp\sony_ssm.sys -- (sony_ssm.sys)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Klik w Wykonaj skrypt.

 

2. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[kitek]

Bardzo serdecznie Ci dziękuję za poświęcony czas i pozdrawiam.