Powrót do stanu używalności po infekcji - desktop.ini

maciora14 · 5 Lipca 2013

Witam,

kilka dni temu złapałem wirusa (trojana?) który zainfekował mi plik systemowy services.exe, oraz wyrzucał mi plik desktop.ini przy starcie systemu. Próbowałem go usunąć Trojan removerem (wersja 6.8.6) , po czym antywirus (Bitdefender 2011 z aktualną bazą wirusów) wykrył mi wirusa na instalatorze. Po "oczyszczeniu" pliku services,exe zrobiłem 2 skany komputera - Deep Scan i Full Scan, wykryto u mnie 14 zainfekowanych plików z których wszystkie usunąłem, następnie użyłem Combofixa(zwykle przy infekcji plikami typu autorun na pendrivach i dyskach pomagał, o zagrożeniach dowiedziałem się dopiero czytając wasz temat) oraz Registry First Aid. Po dokonaniu tych czynności ponownie przeskanowałem system , znaleziono 1 wirusa na pliku Browser Defender.dll (o ile dobrze pamiętam, ponieważ usunąłem cały ten program).Po usunięciu tego pliku i ponownym przepuszczeniu komputera przez oba rodzaje skanów nie wykryto infekcji. Teraz chciałbym sprawdzić "czystość" mojego komputera , zwłaszcza że w moim komputerze , po wejściu na stację dysków cd/dvd nadal widnieje tam plik desktop.ini

Proszę o pomoc.

Jeżeli trzeba dodatkowych informacji proszę powiedzieć jakie to mają być - w razie możliwości od razu dołączę do tematu.

ps. pliku z Gmera nie mogłem dodać, nie wiem czym to spowodowane,

wklejam zawartość niżej:

GMER 2.1.19163

Rootkit scan 2013-07-05 17:27:53

Windows 6.1.7601 Service Pack 1 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 SAMSUNG_ rev.2AC1 465.76GB

Running: ddcn4omp.exe; Driver: C:\Users\sklep\AppData\Local\Temp\fxldypow.sys

---- User code sections - GMER 2.1 ----

.text C:\Program Files (x86)\ArgusMonitor\ArgusMonitor.exe[2180] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Program Files (x86)\ArgusMonitor\ArgusMonitor.exe[2180] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[4244] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[4244] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

? C:\Windows\system32\mssprxy.dll [4244] entry point in ".rdata" section 0000000070da71e6

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 0000000077d0f991 7 bytes {MOV EDX, 0xb83e28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5 0000000077d0fbd5 7 bytes {MOV EDX, 0xb83e68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5 0000000077d0fc05 7 bytes {MOV EDX, 0xb83da8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5 0000000077d0fc1d 7 bytes {MOV EDX, 0xb83d28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5 0000000077d0fc35 7 bytes {MOV EDX, 0xb83f28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5 0000000077d0fc65 7 bytes {MOV EDX, 0xb83f68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5 0000000077d0fce5 7 bytes {MOV EDX, 0xb83ee8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5 0000000077d0fcfd 7 bytes {MOV EDX, 0xb83ea8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5 0000000077d0fd49 7 bytes {MOV EDX, 0xb83c68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5 0000000077d0fe41 7 bytes {MOV EDX, 0xb83ca8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5 0000000077d10099 7 bytes {MOV EDX, 0xb83c28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5 0000000077d110a5 7 bytes {MOV EDX, 0xb83de8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5 0000000077d1111d 7 bytes {MOV EDX, 0xb83d68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile + 5 0000000077d11321 7 bytes {MOV EDX, 0xb83ce8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[3404] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 0000000077d0f991 7 bytes {MOV EDX, 0xda1e28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5 0000000077d0fbd5 7 bytes {MOV EDX, 0xda1e68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5 0000000077d0fc05 7 bytes {MOV EDX, 0xda1da8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5 0000000077d0fc1d 7 bytes {MOV EDX, 0xda1d28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5 0000000077d0fc35 7 bytes {MOV EDX, 0xda1f28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5 0000000077d0fc65 7 bytes {MOV EDX, 0xda1f68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5 0000000077d0fce5 7 bytes {MOV EDX, 0xda1ee8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5 0000000077d0fcfd 7 bytes {MOV EDX, 0xda1ea8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5 0000000077d0fd49 7 bytes {MOV EDX, 0xda1c68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5 0000000077d0fe41 7 bytes {MOV EDX, 0xda1ca8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5 0000000077d10099 7 bytes {MOV EDX, 0xda1c28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5 0000000077d110a5 7 bytes {MOV EDX, 0xda1de8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5 0000000077d1111d 7 bytes {MOV EDX, 0xda1d68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile + 5 0000000077d11321 7 bytes {MOV EDX, 0xda1ce8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[2828] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 0000000077d0f991 7 bytes {MOV EDX, 0x140628; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5 0000000077d0fbd5 7 bytes {MOV EDX, 0x140668; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5 0000000077d0fc05 7 bytes {MOV EDX, 0x1405a8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5 0000000077d0fc1d 7 bytes {MOV EDX, 0x140528; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5 0000000077d0fc35 7 bytes {MOV EDX, 0x140728; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5 0000000077d0fc65 7 bytes {MOV EDX, 0x140768; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5 0000000077d0fce5 7 bytes {MOV EDX, 0x1406e8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5 0000000077d0fcfd 7 bytes {MOV EDX, 0x1406a8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5 0000000077d0fd49 7 bytes {MOV EDX, 0x140468; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5 0000000077d0fe41 7 bytes {MOV EDX, 0x1404a8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5 0000000077d10099 7 bytes {MOV EDX, 0x140428; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5 0000000077d110a5 7 bytes {MOV EDX, 0x1405e8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5 0000000077d1111d 7 bytes {MOV EDX, 0x140568; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile + 5 0000000077d11321 7 bytes {MOV EDX, 0x1404e8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5400] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe[5964] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe[5964] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 0000000077d0f991 7 bytes {MOV EDX, 0x106ae28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5 0000000077d0fbd5 7 bytes {MOV EDX, 0x106ae68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5 0000000077d0fc05 7 bytes {MOV EDX, 0x106ada8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5 0000000077d0fc1d 7 bytes {MOV EDX, 0x106ad28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5 0000000077d0fc35 7 bytes {MOV EDX, 0x106af28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5 0000000077d0fc65 7 bytes {MOV EDX, 0x106af68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5 0000000077d0fce5 7 bytes {MOV EDX, 0x106aee8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5 0000000077d0fcfd 7 bytes {MOV EDX, 0x106aea8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5 0000000077d0fd49 7 bytes {MOV EDX, 0x106ac68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5 0000000077d0fe41 7 bytes {MOV EDX, 0x106aca8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5 0000000077d10099 7 bytes {MOV EDX, 0x106ac28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5 0000000077d110a5 7 bytes {MOV EDX, 0x106ade8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5 0000000077d1111d 7 bytes {MOV EDX, 0x106ad68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile + 5 0000000077d11321 7 bytes {MOV EDX, 0x106ace8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5504] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 0000000077d0f991 7 bytes {MOV EDX, 0xc78a28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5 0000000077d0fbd5 7 bytes {MOV EDX, 0xc78a68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5 0000000077d0fc05 7 bytes {MOV EDX, 0xc789a8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5 0000000077d0fc1d 7 bytes {MOV EDX, 0xc78928; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5 0000000077d0fc35 7 bytes {MOV EDX, 0xc78b28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5 0000000077d0fc65 7 bytes {MOV EDX, 0xc78b68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5 0000000077d0fce5 7 bytes {MOV EDX, 0xc78ae8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5 0000000077d0fcfd 7 bytes {MOV EDX, 0xc78aa8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5 0000000077d0fd49 7 bytes {MOV EDX, 0xc78868; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5 0000000077d0fe41 7 bytes {MOV EDX, 0xc788a8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5 0000000077d10099 7 bytes {MOV EDX, 0xc78828; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5 0000000077d110a5 7 bytes {MOV EDX, 0xc789e8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5 0000000077d1111d 7 bytes {MOV EDX, 0xc78968; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile + 5 0000000077d11321 7 bytes {MOV EDX, 0xc788e8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[5604] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationThread + 5 0000000077d0f991 7 bytes {MOV EDX, 0x605e28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadToken + 5 0000000077d0fbd5 7 bytes {MOV EDX, 0x605e68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcess + 5 0000000077d0fc05 7 bytes {MOV EDX, 0x605da8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtSetInformationFile + 5 0000000077d0fc1d 7 bytes {MOV EDX, 0x605d28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtMapViewOfSection + 5 0000000077d0fc35 7 bytes {MOV EDX, 0x605f28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtUnmapViewOfSection + 5 0000000077d0fc65 7 bytes {MOV EDX, 0x605f68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenThreadTokenEx + 5 0000000077d0fce5 7 bytes {MOV EDX, 0x605ee8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessTokenEx + 5 0000000077d0fcfd 7 bytes {MOV EDX, 0x605ea8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenFile + 5 0000000077d0fd49 7 bytes {MOV EDX, 0x605c68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtQueryAttributesFile + 5 0000000077d0fe41 7 bytes {MOV EDX, 0x605ca8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtCreateFile + 5 0000000077d10099 7 bytes {MOV EDX, 0x605c28; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenProcessToken + 5 0000000077d110a5 7 bytes {MOV EDX, 0x605de8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtOpenThread + 5 0000000077d1111d 7 bytes {MOV EDX, 0x605d68; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\SysWOW64\ntdll.dll!NtQueryFullAttributesFile + 5 0000000077d11321 7 bytes {MOV EDX, 0x605ce8; JMP RDX}

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075d11465 2 bytes [D1, 75]

.text C:\Users\sklep\AppData\Local\Google\Chrome\Application\chrome.exe[1064] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 0000000075d114bb 2 bytes [D1, 75]

.text ... * 2

---- Threads - GMER 2.1 ----

Thread [2088:2260] 0000000077b2aec0

Thread [2088:2264] 000007fefbd82ab8

Thread [2088:2728] 000007fef6d46460

Thread [2088:2732] 0000000180010da0

Thread [2088:2736] 0000000180010da0

Thread [2088:2740] 000000018000fd30

Thread [2088:1256] 00000000034d2870

Thread [2088:1236] 00000000034d19f0

Thread [2088:1228] 00000000034d19f0

Thread [2088:1240] 00000000034d19f0

Thread [2088:1212] 00000000034d19f0

Thread [2088:1944] 000007fefceba850

Thread [2088:3936] 0000000077b2fbc0

Thread C:\Windows\System32\svchost.exe [3296:3776] 000007fef9099688

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@d87533c1e9fd 0xE8 0xCF 0x3C 0x74 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@9c4a7b0b8678 0x56 0x72 0xB2 0x11 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@001f5d8d69e4 0x3D 0xEC 0x6D 0x3B ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@a8f2748ed83f 0xA3 0x58 0xAE 0x99 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@0017b0ababd5 0x24 0xA6 0x3E 0x33 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@001167fa9e7a 0x08 0x44 0x8C 0x22 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@9c4a7b9c5e8d 0x62 0xBF 0xE9 0x84 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Parameters\Keys\c44619e00c05@78471da36e41 0xB0 0xD6 0xA3 0x20 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x1E 0xCD 0x8B 0x45 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@d87533c1e9fd 0xE8 0xCF 0x3C 0x74 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@9c4a7b0b8678 0x56 0x72 0xB2 0x11 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@001f5d8d69e4 0x3D 0xEC 0x6D 0x3B ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@a8f2748ed83f 0xA3 0x58 0xAE 0x99 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@0017b0ababd5 0x24 0xA6 0x3E 0x33 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@001167fa9e7a 0x08 0x44 0x8C 0x22 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@9c4a7b9c5e8d 0x62 0xBF 0xE9 0x84 ...

Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Parameters\Keys\c44619e00c05@78471da36e41 0xB0 0xD6 0xA3 0x20 ...

Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0x00 0x00 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet002\services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x1E 0xCD 0x8B 0x45 ...

---- EOF - GMER 2.1 ----

EDIT: dodatkowo wydaje mi się że powoli zmniejsza mi się wolne miejsce na dysku twardym.

ComboFix.txt

Extras.Txt

OTL.Txt

picasso · 5 Lipca 2013

Poprawiłam formatowanie posta.

następnie użyłem Combofixa(zwykle przy infekcji plikami typu autorun na pendrivach i dyskach pomagał, o zagrożeniach dowiedziałem się dopiero czytając wasz temat)

Nie wszystko co usunął ComboFi było szkodliwe. C:\Programdata\PCDr to katalog PC-Doctor for Windows / My Dell.

ps. pliku z Gmera nie mogłem dodać, nie wiem czym to spowodowane

Objaśnia to Pomoc forum (link na spodzie strony). Załączniki akceptują tylko rozszerzenie *.TXT, a to jest *.LOG. Na przyszłość: albo ręczna zmiana nazwy pliku albo zapis do nowego pliku TXT. Zresztą w opisie skanu GMER wyraźnie napisałam, by użyć funkcję Kopiuj i zapisać do nowego pliku, nie byłoby problemu.

Teraz chciałbym sprawdzić "czystość" mojego komputera , zwłaszcza że w moim komputerze , po wejściu na stację dysków cd/dvd nadal widnieje tam plik desktop.ini

Ale pliki desktop.ini to pliki systemu, infekcja tworzy podrobione pliki w szczególnych lokalizacjach: KLIK.

Wymagane poprawki na szczątki infekcji i adware oraz weryfikacja pod kątem uszkodzeń stworzonych przez infekcję. Przeprowadź następujące działania:

1. Uruchom GrantPerms x64 i w oknie wklej:

C:\Windows\Installer\{f5ce5a49-3400-f769-2a0a-d3cdcda7ac68}
C:\Windows\SysWow64\%APPDATA%

Klik w Unlock.

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files

C:\Windows\Installer\{f5ce5a49-3400-f769-2a0a-d3cdcda7ac68}

C:\Windows\SysWow64\%APPDATA%

C:\Windows\SysWow64\searchplugins

C:\Windows\SysWow64\Extensions

C:\ProgramData\Babylon

C:\Users\sklep\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I

C:\Users\sklep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserDefender

C:\Users\sklep\AppData\Roaming\BabSolution

C:\Users\sklep\AppData\Roaming\Babylon

C:\Users\sklep\AppData\Roaming\Ibgiag

C:\Users\sklep\AppData\Roaming\Ogtyas

C:\Users\sklep\AppData\Roaming\xx

C:\Users\sklep\AppData\Local\Temp*.html

C:\Program Files\Common Files\LinkInstaller.exe

C:\Program Files (x86)\Mozilla Firefox

:OTL

IE - HKLM\..\URLSearchHook: {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found

IE - HKU\S-1-5-21-1081826087-927070240-1253586494-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp

IE - HKU\S-1-5-21-1081826087-927070240-1253586494-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=d631ea06-80cd-11e1-828a-b8ac6f6801ce&q={searchTerms}

IE - HKU\S-1-5-21-1081826087-927070240-1253586494-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&babsrc=SP_ss_din2g&mntrId=E87D70F1A1806B20&affID=119357&tt=300613_dlt&tsp=4930

IE - HKU\S-1-5-21-1081826087-927070240-1253586494-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={9B65132C-C686-4C42-B490-528FB123DC57}&mid=cb145c32e9d347d0af5969e5298ce83d-8c477c8b85f8bedd375345dbef8fcb6a319417e5&lang=pl&ds=st011&pr=sa&d=2012-06-16 18:30:52&v=11.1.0.7&sap=dsp&q={searchTerms}

O3 - HKLM\..\Toolbar: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.

O3 - HKLM\..\Toolbar: (StartSearchToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\StartSearch plugin\ssBarLcher.dll File not found

O3 - HKLM\..\Toolbar: (no name) - {c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} - No CLSID value found.

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-21-1081826087-927070240-1253586494-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-21-1081826087-927070240-1253586494-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"bProtector Start Page"=-

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

"bProtectorDefaultScope"=-

:Commands

[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

3. Odinstaluj szczątki adware (o ile zdołasz):

- Przez Panel sterowania: BrowserDefender, Conduit Engine, Delta Chrome Toolbar, Softonic-Polska Toolbar, vShare Plugin.

- W Google Chrome: W zarządzaniu wyszukiwarkami ustaw Google jako domyślną, po tym skasuj z listy wyszukiwarkę adware Babylon.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dodatkowo jeszcze sprawdzanie czy ComboFix podstawił prawidłową wersję pliku services.exe. Uruchom SystemLook x64, w oknie wklej co poniżej i klik w Look:

:filefind

services.exe

Dołącz log utworzony przez AdwCleaner.

.

maciora14 · 5 Lipca 2013

pliki usuwałem z : "dysku cd" - zawartość była dokładnie taka sama jak w przypadku pliku uruchamiającego się jako Autostart. Stamtąd plik usunąłem według porad z google.

Ten post będę edytował po zrobieniu poszczególnych czynności więc proszę o nie usuwanie go chciałbym również dowiedzieć się co to była za infekcja (jeśli można spytać)

picasso · 5 Lipca 2013

chciałbym również dowiedzieć się co to była za infekcja (jeśli można spytać)

Rootkit ZeroAccess (alias Sirefef).

pliki usuwałem z : "dysku cd" - zawartość była dokładnie taka sama jak w przypadku pliku uruchamiającego się jako Autostart. Stamtąd plik usunąłem według porad z google.

Ale ja nie rozumiem do czego zmierzasz.

- "Dysk CD" nie ma nic wspólnego z tą infekcją, a jeśli na nim był plik desktop.ini, to był to plik przypadkowo skopiowany z Windows i to nie jest plik infekcji.

- Pliki desktop.ini w folderach Autostart są prawidłowe: KLIK. I jeśli je usuwałeś, należy je odtworzyć wg kroków z linka.

- Infekcja ZeroAccess tworzy pliki desktop.ini (które notabene wcale nie są takimi, tylko nazwą takowe symulują) tylko w określonej ścieżce Assembly. Poza tą lokalizacją pliki desktop.ini są plikami Windows.

.

maciora14 · 5 Lipca 2013

EDIT: Usunąłem wszystkie poza softonic-polska toolbar - informacja przy "chęci" odinstalowania: Could Not Open Install.log file.

Dołączam LOG z ADW Cleaner:

# AdwCleaner v2.304 - Log utworzony 05/07/2013 o 18:26:34

# Aktualizacja 03/07/2013 przez Xplode

# System operacyjny : Windows 7 Home Premium Service Pack 1 (64 bits)

# Użytkownik : sklep - M14

# Tryb uruchomienia : Normalny

# Ścieżka : C:\Users\sklep\Downloads\AdwCleaner.exe

# Opcja [usuń]

***** [usługi] *****

***** [Pliki / Foldery] *****

Folder Usunięto : C:\Program Files (x86)\Common Files\DVDVideoSoft\TB

Folder Usunięto : C:\Program Files (x86)\Conduit

Folder Usunięto : C:\Program Files (x86)\ConduitEngine

Folder Usunięto : C:\Program Files (x86)\Softonic-Polska

Folder Usunięto : C:\Program Files (x86)\Trymedia

Folder Usunięto : C:\Users\sklep\AppData\Local\OpenCandy

Folder Usunięto : C:\Users\sklep\AppData\Local\PackageAware

Folder Usunięto : C:\Users\sklep\AppData\LocalLow\Conduit

Folder Usunięto : C:\Users\sklep\AppData\LocalLow\ConduitEngine

Folder Usunięto : C:\Users\sklep\AppData\LocalLow\PriceGong

Folder Usunięto : C:\Users\sklep\AppData\LocalLow\Softonic-Polska

Folder Usunięto : C:\Users\sklep\AppData\Roaming\dvdvideosoftiehelpers

Folder Usunięto : C:\Windows\SysWOW64\Save

Plik Usunięto : C:\Users\sklep\AppData\Local\Google\Chrome\User Data\Default\bProtector Web Data

Plik Usunięto : C:\Users\sklep\AppData\Local\Google\Chrome\User Data\Default\bprotectorpreferences

Plik Usunięto : C:\Users\sklep\AppData\Local\Temp\Uninstall.exe

***** [Rejestr] *****

Klucz Usunięto : HKCU\Software\AppDataLow\Software\Conduit

Klucz Usunięto : HKCU\Software\AppDataLow\Software\conduitEngine

Klucz Usunięto : HKCU\Software\AppDataLow\Software\PriceGong

Klucz Usunięto : HKCU\Software\AppDataLow\Software\Softonic-Polska

Klucz Usunięto : HKCU\Software\AppDataLow\Toolbar

Klucz Usunięto : HKCU\Software\BabSolution

Klucz Usunięto : HKCU\Software\DataMngr_Toolbar

Klucz Usunięto : HKCU\Software\IGearSettings

Klucz Usunięto : HKCU\Software\InstallCore

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}

Klucz Usunięto : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A1B48071-416D-474E-A13B-BE5456E7FC31}

Klucz Usunięto : HKCU\Software\Softonic

Klucz Usunięto : HKCU\Software\StartSearch

Klucz Usunięto : HKCU\Software\YahooPartnerToolbar

Klucz Usunięto : HKCU\Software\Zugo

Klucz Usunięto : HKCU\Software\eed98de16dea49

Klucz Usunięto : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Conduit.Engine

Klucz Usunięto : HKLM\SOFTWARE\Classes\Prod.cap

Klucz Usunięto : HKLM\SOFTWARE\Classes\Toolbar.CT2530240

Klucz Usunięto : HKLM\Software\Conduit

Klucz Usunięto : HKLM\Software\conduitEngine

Klucz Usunięto : HKLM\Software\DataMngr

Klucz Usunięto : HKLM\Software\dlQUE

Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{394FA302-EA5C-4F7D-899E-662D28317CAC}

Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3B7599DF-3D5D-4EF5-BF51-9C2EDA788E83}

Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}

Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}

Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}

Klucz Usunięto : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}

Klucz Usunięto : HKLM\Software\Softonic-Polska

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{394FA302-EA5C-4F7D-899E-662D28317CAC}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{A1B48071-416D-474E-A13B-BE5456E7FC31}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\eed98de16dea49

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{6D958BE1-0AE5-4762-9BF3-1B4B77454FDE}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D22CAA1A-A2B0-4BE9-A569-77E852ABCAF6}

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine

Klucz Usunięto : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Softonic-Polska Toolbar

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{1231839B-064E-4788-B865-465A1B5266FD}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{20ED5AF7-D9C4-409E-9EB3-D2A44A77FB6D}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{2DAC2231-CC35-482B-97C5-CED1D4185080}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{3F1CD84C-04A3-4EA0-9EA1-7D134FD66C82}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{3F83A9CA-B5F0-44EC-9357-35BB3E84B07F}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{47E520EA-CAD2-4F51-8F30-613B3A1C33EB}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{57C91446-8D81-4156-A70E-624551442DE9}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{70AFB7B2-9FB5-4A70-905B-0E9576142E1D}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{7AD65FD1-79E0-406D-B03C-DD7C14726D69}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{97DD820D-2E20-40AD-B01E-6730B2FCE630}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{B177446D-54A4-4869-BABC-8566110B4BE0}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{D9D1DFC5-502D-43E4-B1BB-4D0B7841489A}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{E0B07188-A528-4F9E-B2F7-C7FDE8680AE4}

Klucz Usunięto : HKLM\SOFTWARE\Classes\Interface\{F05B12E1-ADE8-4485-B45B-898748B53C37}

***** [Przeglądarki Internetowe] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Rejestr w porządku.

-\\ Google Chrome v28.0.1500.71

Plik : C:\Users\sklep\AppData\Local\Google\Chrome\User Data\Default\Preferences

Usunięto [l.2154] : homepage = "hxxp://search.babylon.com/?babsrc=HP_ss_din2g&mntrId=E87D70F1A1806B20&affID=119357&t[...]

-\\ Opera v11.64.1403.0

Plik : C:\Users\sklep\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Plik w porządku.

*************************

AdwCleaner[s1].txt - [7761 octets] - [05/07/2013 18:26:34]

########## EOF - C:\AdwCleaner[s1].txt - [7821 octets] ##########

EDIT2: Naprawiłem także plik desktop.ini , usunięty wcześniej przeze mnie z ProgramData według wskazówek. Mam tylko nadzieję że nie będzie wyskakiwał jako "notatnikowe okno" po restarcie systemu. Moje dodatkowe pytanie brzmi - kiedy mogę z powrotem zainstalować Daemon Tools? Czy zamiast Daemona powinienem używać innego programu tego typu?

czekam na dalsze instrukcje

picasso · 5 Lipca 2013

Przekleiłam treść do ostatniego posta dla zachowania kolejności wywodów. Proszę logi umieszczaj w formie załączników, nawet jeśli są takiej długości jak AdwCleaner, bo znów problemy z formatowaniem.

No i przecież nie zrobiłeś wszystkiego. Gdzie reszta logów?

Moje dodatkowe pytanie brzmi - kiedy mogę z powrotem zainstalować Daemon Tools? Czy zamiast Daemona powinienem używać innego programu tego typu?

To już na końcu, gdy wszystko zostanie zrobione.

Naprawiłem także plik desktop.ini , usunięty wcześniej przeze mnie z ProgramData według wskazówek. Mam tylko nadzieję że nie będzie wyskakiwał jako "notatnikowe okno" po restarcie systemu.

Nie będzie, jeśli plik na pewno dostał atrybuty HS = ukryty systemowy. Notatnik otwiera się przy starcie, jeśli plik desktop.ini nie jest ukryty tym sposobem.

.

maciora14 · 5 Lipca 2013

brakujące logi w załączniku

czy jeszcze coś zostało do zrobienia?

OTL.Txt

SystemLook.txt

07052013_181041 log OTL2.txt

FSS.txt

picasso · 6 Lipca 2013

Akcje wykonane, ale wymagane jeszcze poprawki oraz naprawa szkód. ZeroAccess usunął ikonę Centrum Akcji:

Action Center:
============
 

Action Center Notification Icon =====> Unable to open HKLM\...\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A} key. The key does not exist.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects\{F56F6FDD-AA9D-4618-A949-C1B91AF43B1A}]
"AutoStart"=""
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN]
"Local Page"="C:\\Windows\\System32\\blank.htm"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MAIN]
"Local Page"="C:\\Windows\\SysWOW64\\blank.htm"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\\Windows\\System32\\blank.htm"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7534B776-20BC-4738-B9BA-9ABEA98A9A76}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{7534B776-20BC-4738-B9BA-9ABEA98A9A76}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MenuExt\Free YouTube to MP3 Converter]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\Free YouTube to MP3 Converter]

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. W Google Chrome ostała się odpadkowa wtyczka LiveVDO plug-in. Zresetuj cache wtyczek. Otwórz Google Chrome, w pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Zamknij Google Chrome.

3. Plik HOSTS nie ma zawartości idealnie zgodnej z Windows 7 (pewnie skutek resetu ComboFix). Zastosuj narzędzie Fix-it: KB972034.

4. Zresetuj system. Zrób nowy log z OTL na warunkach: tylko opcję Rejestr ustaw na Użyj filtrowania, wszystkie inne opcje na Brak + szukanie plików na Żadne i klik w Skanuj. Dodaj też nowy log z Farbar Service Scanner.

Naprawiłem także plik desktop.ini , usunięty wcześniej przeze mnie z ProgramData według wskazówek.

Mam pytanie: czy na pewno tylko plik w ProgramData ruszałeś? Co z C:\Users\sklep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup?

.

maciora14 · 6 Lipca 2013

tak , tylko tam , bo bardzo irytowało mnie włączanie się pliku przy starcie systemu (otwarcie notatnika), chyba że Combofix coś usunął, log dodawałem wcześniej, chociaż jak teraz wchodzę w wyżej podaną przez ciebie ścieżkę nie widzę tam tego pliku

Zadania wykonane, dołączam LOGi w załączniku. Nie jestem pewien ale odczuwam lekkie spowolnienie przeglądarki (przy wyłączonej Operze , na Google Chrome przy 2 zakładkach) a mianowicie rysunki (takie jak np. przy pisaniu tego posta) ładowały się ok. 6 sekund

OTL.Txt

FSS.txt

picasso · 6 Lipca 2013

Wszystko pomyślnie zrobione. Tylko drobnostka, martwe wpisy menu kontekstowego IE się nie upłynniły. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O8:64bit: - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\sklep\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\sklep\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm File not found

Klik w Wykonaj skrypt.

chyba że Combofix coś usunął, log dodawałem wcześniej, chociaż jak teraz wchodzę w wyżej podaną przez ciebie ścieżkę nie widzę tam tego pliku

Nie, ComboFix nie usuwał plików desktop.ini z omawianej lokalizacji. Czy masz odznaczoną opcję Ukryj chronione pliki systemu operacyjnegop? Tylko w takim stadium widoku widać ten rodzaj plików.

Nie jestem pewien ale odczuwam lekkie spowolnienie przeglądarki (przy wyłączonej Operze , na Google Chrome przy 2 zakładkach) a mianowicie rysunki (takie jak np. przy pisaniu tego posta) ładowały się ok. 6 sekund

Może to sprawka BitDefender 2011. I ten antywirus nie taki świeżutki, edycja sprzed 3 lat.

.

maciora14 · 6 Lipca 2013

teraz widzę plik desktop.ini w lokalizacji o którą pytałaś

dołączam log z OTL (przepraszam że w treści, jest bardzo krótki)

========== OTL ==========

64bit-Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube to MP3 Converter\ deleted successfully.

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Free YouTube to MP3 Converter\ not found.

OTL by OldTimer - Version 3.2.69.0 log created on 07062013_134628

czy coś jeszcze zostało do zrobienia? kiedy mogę zainstalować wirtualny dysk? jakiego programu użyć?

picasso · 6 Lipca 2013

Na zakończenie:

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie, resztę dokasuj ręcznie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Prewencyjnie zmień hasła logowania w serwisach.

4. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK / KLIK,

========== HKEY_LOCAL_MACHINE Uninstall List ========== 

64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F86416017FF}" = Java 6 Update 17 (64-bit)

"Microsoft SQL Server 10" = Microsoft SQL Server 2008 (64-bit)
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{24D753CA-6AE9-4E30-8F5F-EFC93E08BF3D}" = Skype™ 4.0

"{26A24AE4-039D-4CA4-87B4-2F83216021FF}" = Java 6 Update 24

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.2 - Polish

"Gadu-Gadu 10" = Gadu-Gadu 10

"Opera 11.64.1403" = Opera 11.64

5. I polecam jednak tego starego BitDefendera się pozbyć. System zgłasza niekompatybilny z systemem 64-bit sterownik:

Error - 2013-07-05 09:49:56 | Computer Name = m14 | Source = Application Popup | ID = 1060

Description = Ładowanie sterownika \SystemRoot\SysWow64\DRIVERS\bdfsfltr.sys zostało

zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania

w celu uzyskania zgodnej wersji sterownika.

vs.

DRV - [2010-07-27 12:35:02 | 000,327,368 | ---- | M] (BitDefender) [File_System | Boot | Stopped] -- C:\Windows\SysWOW64\drivers\bdfsfltr.sys -- (bdfsfltr)

kiedy mogę zainstalować wirtualny dysk? jakiego programu użyć?

Jaki? Ten co poprzednio. To co Ci pasuje.

.

Zaloguj się

Powrót do stanu używalności po infekcji - desktop.ini

Rekomendowane odpowiedzi

maciora14

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciora14

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciora14

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciora14

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciora14

Odnośnik do komentarza

picasso

Odnośnik do komentarza

maciora14

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność