Wyskakujące błędy mdwhuzmxv.vbs i spoolsv32.jar przy starcie

[mianod]

Otóż jak włączam pc to wyskakują mi onka z wiadomościa że nie potrafi odnaleźc pliku

"C:\Users\marco\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mdwhuzmxv.vbs"

oraz drugie okno z jakimś nie umiejącym otworzyć pliku spoolsv32.jar

 

skany umieszczam w załącznikach

 

Dodam że wirusy prawdopodobnie pojawiły sie przez sciąganie botów do tibi z lewych stron pisze tutaj ponieważ chciałbym uniknąć formatowania komputera

Addition.txt

FRST.txt

[picasso]

Na temat raportów:

- Tu nadal są obowiązkowe logi z OTL i GMER. Podaje się więc trzy komplety logów.

- Ponadto, używałeś ComboFix. Na ten temat: KLIK. Nie przedstawiłeś wyników jego pracy, które muszą być ocenione (mówią o tym zasady działu). Nie widzę na dysku raportu ComboFix, a powinien być w tym miejscu: C:\ComboFix.txt.

 

Te okna są związane z wpisami infekcji, a ów spoolsv32.jar to logger wprowadzany lewymi paczkami Tibia. Widać na dysku całą kolekcję pobranych materiałów: IPChanger i boty. Błędy prawdopodobnie stąd, że użyłeś ComboFix, który niedokładnie to naruszył. ComboFix prawdopodobnie zrobił też więcej naruszeń, bo jest tu też adware, które wygląda jak niepoprawnie odinstalowane. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1715567821-573735546-725345543-1004\...\Run: [spoolsv32] - "C:\WINDOWS\system32\javaw.exe" -jar "C:\Documents and Settings\Bossik\Dane aplikacji\Win32\spoolsv32.jar"
Startup: C:\Documents and Settings\Bossik\Menu Start\Programy\Autostart\mdwhuzmxv.vbs ()
SearchScopes: HKLM - DefaultScope {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms}
SearchScopes: HKLM - {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms}
SearchScopes: HKCU - DefaultScope {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9C65001D7DC06731&affID=124687&tsp=4998
SearchScopes: HKCU - {721061fb-eb79-4568-a03c-3ce26d68dae9} URL = http://www.firetab.org/?type=ds3se&p={searchTerms}
FF HKLM\...\Firefox\Extensions: [dnshelp@dnshelp.com] - C:\Documents and Settings\Bossik\Dane aplikacji\Helper
FF Extension: Helper - C:\Documents and Settings\Bossik\Dane aplikacji\Helper [2013-09-08]
FF Plugin: @tools.dpliveupdate.com/DealPlyLive Update;version=3 - C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd)
FF Plugin: @tools.dpliveupdate.com/DealPlyLive Update;version=9 - C:\Program Files\DealPlyLive\Update\1.3.23.0\npGoogleUpdate3.dll (DealPly Technologies Ltd)
Task: C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineCore.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe
Task: C:\WINDOWS\Tasks\DealPlyLiveUpdateTaskMachineUA.job => C:\Program Files\DealPlyLive\Update\DealPlyLive.exe
Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\Bossik\DANEAP~1\BABSOL~1\Shared\BabMaint.exe
S2 dealplylive; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe [148000 2013-08-26] (DealPly Technologies Ltd)
S3 dealplylivem; C:\Program Files\DealPlyLive\Update\DealPlyLive.exe [148000 2013-08-26] (DealPly Technologies Ltd)
S2 AddonsHelper; C:\Documents and Settings\Bossik\Ustawienia lokalne\Temp\OCS\Downloads\9f8cc62c3640bf6eb115b4c78bb22a3f\8a2438a7aa1e858526caff1f4deab159\AddonsHelper.exe [X]
S3 catchme; \??\C:\DOCUME~1\Bossik\USTAWI~1\Temp\catchme.sys [X]
S3 EagleNT; \??\C:\WINDOWS\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{1a3e09be-1e45-494b-9174-d7385b45bbf5} => ""=""
C:\Documents and Settings\Bossik\b38L10pB.UK4
C:\Documents and Settings\Bossik\b49S56oS
C:\Documents and Settings\Bossik\i15Z28qV
C:\Documents and Settings\Bossik\y12L73sE
C:\Documents and Settings\Bossik\y82T13fS
C:\Documents and Settings\Bossik\Dane aplikacji\Win32

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware Browsers Protector, Bundled software uninstaller, DealPly, Delta Chrome Toolbar, Delta toolbar, LiveVDO plugin 1.3, Lollipop oraz zbędny Akamai NetSession Interface. Ręcznie skasuj z dysku wszystkie dodatki do Tibia pobierane ostatnio.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Zrób nowe skany: FRST (bez Addition) oraz zaległe raporty OTL i GMER. Dołącz także pliki: fixlog.txt, ComboFix.txt (o ile go znajdziesz) oraz log z AdwCleaner.

 

 

 

.

[mianod]

Zrobiłem tak jak napisałeś tutaj masz pliki zaległe i bieżące

GMER dodam zaraz bo strasznie dlugo sie robi juz ponad godznie nie wiem dlaczego :/

ComboFix.txt

Fixlog.txt

AdwCleanerS0.txt

AdwCleanerR0.txt

Extras.Txt

FRST.txt

OTL.Txt

GMER.txt

[picasso]

mianod, proszę nie "Refreshuj", ja przetwarzam tematy w miarę moich możliwości czasowych i mocy przerobowych. Nie każdy temat jest taki sam. Log z GMER robiłeś w złych warunkach, przy czynnym sterowniku emulacji SPTD:

 

R0 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [466008 2013-08-26] (Duplex Secure Ltd.)

U3 a3p0hzxi; C:\WINDOWS\system32\Drivers\a3p0hzxi.sys [0 ] (Microsoft Corporation)

 

Nie wykonałeś tego kroku: KLIK. Ale zostaw już ten wątek. Dostarczony log z ComboFix: to nie było czyste uruchomienie, przetwarzano jakiś kuriozalny skrypt w programie, kto ten skrypt podawał? I tak jak mówiłam: ComboFix naruszył komponenty loggera Tibia oraz uszkodził adware, stąd więcej roboty z usuwaniem szczątków.

 

Zadania wykonane. Kolejna seria:

 

1. W związku z uruchomieniem GMER zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Poprawka na odpadki oraz usunięcie komponentów botów, które nadal widzę na dysku. Mówiłam o usunięciu wszystkich ostatnio pobranych (loggery Tibia nie wleciały z powietrza). Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1715567821-573735546-725345543-1004\...\Run: [Akamai NetSession Interface] - "C:\Documents and Settings\Bossik\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe"
HKLM\...\Run: [winampstart] - "C:\Program Files\winamp\winamp.exe
SearchScopes: HKLM - DefaultScope value is missing.
C:\Documents and Settings\All Users\Menu Start\Programy\XenoBot
C:\Documents and Settings\All Users\Menu Start\Programy\WindBot
C:\Documents and Settings\Bossik\Dane aplikacji\MSDrvCfg
C:\Documents and Settings\Bossik\Moje dokumenty\XenoBot.rar
C:\Documents and Settings\Bossik\Moje dokumenty\XenoBot
C:\Documents and Settings\All Users\Pulpit\Injector.exe.lnk
C:\Documents and Settings\Bossik\Pulpit\ipchanger.lnk
C:\Documents and Settings\Bossik\Ustawienia lokalne\Dane aplikacji\OTLand
C:\Program Files\WindBot

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Odinstaluj w poprawny sposób ComboFix. Był poprzednio uruchamiany z katalogu Pobieranie, nie widzę go na dysku, więc pobierz ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej:

 

"C:\Documents and Settings\Bossik\Pulpit\ComboFix.exe" /uninstall

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

 

.

[mianod]

Nie pamiętam dokładnie skąd pobrałem skrypt do ComboFix, nie potrafię tego znaleźć w historii przeglądarki, ale jak tylko znajdę to dodam.

Wykonałem wszystkie instrukcje był błąd z PIO, już go nie ma. Poniżej dodaje log z FRST

FRST.txt

[picasso]

Nie musisz szukać skąd pobrany skrypt, już wiem wszystko. Ze skryptem ComboFix mi chodziło o to jakim sposobem wymyślono przetwarzanie tego (czy sam tworzyłeś, czy skądś pobrany). To był oczywiście błąd, każdy skrypt jest unikatowy (zrobiony na podstawie wyglądu konkretnego systemu), nie może być stosowany na innych systemach, bo nie pasuje i nie naprawi innego problemu. Tu przypadkowo nic się nie stało, ale mogło gdyby skrypt zawierał coś szczególnego.

 

Akcje pomyślnie przeprowadzone. Kolejna porcja czynności:

 

1. Drobne poprawki. Otwórz Notatnik i wklej w nim:

 

S2 DokanMounter; C:\Program Files\SpeedyDrive\mounter.exe [X]
S2 Dokan; \??\C:\WINDOWS\system32\drivers\dokan.sys [X]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Przez SHIFT+DEL skasuj pozostałe używane narzędzia i logi, w tym te foldery:

 

C:\AdwCleaner

C:\FRST

C:\WINDOWS\erdnt

 

3. Dla pewności zrób pełny skan za pomocą Malwarebytes Anti-Malware. Przy końcu instalacji odznacz opcję trial. Dostarcz raport z wykryciami, o ile będą, w przeciwnym wypadku log zbędny.

 

 

 

.

[mianod]

Wykryło 2 błędy. Niestety nie przeczytałem dokładnie i nie odznaczyłem wersji trial :/ ale myślę że nic się nie stało.

Dodać skan z FRST, czy jest on już zbędny?

MBAM-log-2014-02-22 (14-20-34).txt

[picasso]

Przepraszam, nie zauważyłam, że do deinstalacji był jeszcze jeden śmieć adware AppsHat Mobile Apps. Spróbuj go po prostu odinstalować. Jeśli nie będzie się dało, zastosuj MBAM do jego usunięcia i przez SHIFT+DEL wykończ cały folder C:\Documents and Settings\Bossik\Ustawienia lokalne\Dane aplikacji\AppsHat Mobile Apps.

 

 

Niestety nie przeczytałem dokładnie i nie odznaczyłem wersji trial :/ ale myślę że nic się nie stało.

Nic się nie stało. Ten trial i tak wygaśnie w końcu.

 

 

 

.

[mianod]

usunąłem już nie wykryło żadnych błędów. Mogę teraz już normalnie funkcjonować z komputera bez obawy że utracę poufne dane do kont?

[picasso]

Na tyle na ile widać to z raportów i wyników końcowych, wszystko zostało usunięte. Na zakończenie:

 

1. Prewencyjnie pozmieniaj hasła gier.

 

2. Zaktualizuj wyliczone poniżej programy: KLIK / KLIK.

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE

Adobe Flash Player 11 Plugin (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera

Adobe Reader X (10.1.8) - Polish (Version: 10.1.8 - Adobe Systems Incorporated)

Gadu-Gadu 10 (Version: - GG Network S.A.)

Java™ 6 Update 20 (Version: 6.0.200 - Sun Microsystems, Inc.)

Java™ 6 Update 29 (Version: 6.0.290 - Sun Microsystems, Inc.)

OpenOffice.org 3.0 (Version: 3.0.9358 - OpenOffice.org)

OpenOffice.org 3.2 (Version: 3.2.9502 - OpenOffice.org)

 

W podsumowaniu: wyrzuć wszystkie stare Java 6 (najnowszą Java 7 już posiadasz) oraz OpenOffice.org, następnie zainstaluj najnowszy OpenOffice.org, by mógł korzystać z Java 7. A reszta do aktualizacji.

 

 

 

.

[mianod]

dziękuje bardzo za pomoc postaram się, coś wpłacić na konto bankowe