Hello4 i Blank Window2 - infekcja

[Uchida]

Witam

Mam problem a mianowicie od niedawna pojawiają się okna o nazwie hello4 lub blank window2. Uniemożliwia to strasznie prace na komputerze. Od czasu kiedy okna się pojawiają bardzo często pojawia się Blue Screen na którym pisze"Stop:c000xx cd Unkown Hard Error" gdzie xx to za każdym razem inne cyfry. Skanowałem komputer Nodem32 jednak nie wykrył tego wirusa. Nie wiem jak temu zaradzić, proszę o pomoc.

Extras.Txt

GMER.txt

OTL.Txt

[Landuss]

W logach jest infekcja oraz rootkit w MBR i nim zajmiemy się najpierw.

 

1. Uruchom narzędzie Kaspersky TDSSKiller i kiedy wykryje rootkita TDL kliknij w opcje Cure.

 

2. Pokazujesz log z Kasperskyego oraz nowy log z Gmer.

[Uchida]

Mam nadzieje że zrobiłem co trzeba. Skan w gmer o wiele mniej zajmuje miejsca niż wcześniej, nie wiem czy nie zrobiłem czegoś źle.

gmer.txt

TDSSKillerLog2.txt

[Landuss]

Skan z Gmera jest mniejszy bo i rootkit usunięty prawidłowo. Teraz można brać się za pozostałe infekcje.

 

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\WINDOWS\tasks\At*.job
C:\WINDOWS\Temp\cqadqr
C:\WINDOWS\TEMP\kmmero
C:\WINDOWS\system32\Googleinc
C:\WINDOWS\Fonts\KBY3rHO1.com
C:\WINDOWS\System32\KBY3rHO1.com
C:\Program Files\Common Files\ApnStub.exe
C:\Documents and Settings\Asia\Dane aplikacji\winvdia.exe
C:\Documents and Settings\Asia\Dane aplikacji\nvidia.exe
C:\Documents and Settings\Asia\Dane aplikacji\regsrv64.exe
C:\Documents and Settings\Asia\Dane aplikacji\Bdqgqh  .exe
C:\Documents and Settings\Asia\Dane aplikacji\Bdqgqh.exe
C:\Documents and Settings\Asia\Dane aplikacji\service.exe
C:\Documents and Settings\Asia\Dane aplikacji\service
C:\Documents and Settings\Asia\Dane aplikacji\cftmon.exe
C:\Documents and Settings\All Users\Dane aplikacji\KBY3rHO1.exe
C:\Documents and Settings\Asia\Dane aplikacji\web2net.exe
C:\Documents and Settings\Asia\Dane aplikacji\web2net .exe
C:\Documents and Settings\All Users\Dane aplikacji\Qs3G0S82.dat
C:\Documents and Settings\Asia\Dane aplikacji\B21.exe
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\KBY3rHO1.exe
C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\KBY3rHO1.exe
C:\Documents and Settings\Asia\Dane aplikacji\375.exe
C:\Documents and Settings\Asia\Dane aplikacji\gK1jG8fLKiht
C:\Documents and Settings\Asia\Dane aplikacji\Ft8F6Gi00fk0
C:\Documents and Settings\Asia\Dane aplikacji\k0jhEMErf801
C:\Documents and Settings\Asia\Dane aplikacji\dFheftIfFEh8
C:\Documents and Settings\Asia\Dane aplikacji\E767d0kH81KJ
C:\Documents and Settings\Asia\Dane aplikacji\liflJr6LLH07
C:\Documents and Settings\Asia\Dane aplikacji\data.dat
C:\Documents and Settings\Asia\Dane aplikacji\dFged6ifFEh8
C:\Documents and Settings\Asia\Dane aplikacji\EgG6rht6jEgr
C:\Documents and Settings\Asia\Dane aplikacji\dlEdM6Fggk7f
C:\Documents and Settings\Asia\Dane aplikacji\J7lJ8khiift6
C:\Documents and Settings\Asia\Dane aplikacji\EG76gKrIIFyI
C:\Documents and Settings\Asia\Dane aplikacji\Mf7yFgFd6if1
C:\Documents and Settings\Asia\Dane aplikacji\Eg767KrII1yi
C:\Documents and Settings\Asia\Dane aplikacji\F6HFDGie0dke
C:\Documents and Settings\Asia\Dane aplikacji\dh1dg0766Ai6
C:\Documents and Settings\Asia\Dane aplikacji\hK6rkdEtt6ft
C:\Documents and Settings\Asia\Dane aplikacji\khrkIldjj7dK
 
:Services
AMService
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system\csrss.exe"=-
"C:\Windows\Temp\45232.exe"=-
"C:\DOCUME~1\Asia\USTAWI~1\Temp\test.exe"=-
"C:\Documents and Settings\Asia\Dane aplikacji\cftmon.exe"=-
 
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = "http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bc2ad139000000000000001d7dd4b31a&tlver=1.4.19.19&affID=17160"
IE - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://www.fullarticles.net"
FF - prefs.js..keyword.URL: "http://search.speedbit.com/searchresults.asp?src=default&q="
FF - prefs.js..browser.startup.homepage: "http://www.fullarticles.net"
[2011-06-15 23:15:01 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2010-12-02 19:31:31 | 000,000,000 | ---D | M] (Best Security Tips Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\{da30eff8-ccc6-4162-a20d-67402a26a215}
[2011-06-15 23:15:02 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\engine@conduit.com
[2011-05-27 02:37:55 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-09-10 22:08:19 | 000,000,000 | ---D | M] (vshare Add-On) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\do9tsd9k.Domyślny użytkownik\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}
[2010-01-25 01:47:15 | 000,000,000 | ---D | M] (Vuze Remote Toolbar) -- C:\Documents and Settings\Asia\Dane aplikacji\Mozilla\Firefox\Profiles\olulnl1z.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2011-05-26 17:45:17 | 000,000,000 | ---D | M] (Babylon) -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@babylon.com
[2008-08-27 21:30:31 | 000,024,684 | ---- | M] (MyWebSearch.com) -- C:\Program Files\mozilla firefox\plugins\NPMyWebS.dll
[2011-05-26 17:45:17 | 000,002,423 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
CHR - plugin: Ask Toolbar Plugin Stub (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPAskSBr.dll
CHR - plugin: My Global Search Plugin Stub (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPMyGlSh.dll
CHR - plugin: My Web Search Plugin Stub (Enabled) = C:\Program Files\Mozilla Firefox\plugins\NPMyWebS.dll
CHR - Extension: Babylon Chrome OCR = C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.0_0\
O2 - BHO: (no name) - {96372AB6-15EB-4316-B497-71C741BC548C} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {35065594-9169-4A34-B167-FC4865038E53} - No CLSID value found.
O3 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\..\Toolbar\WebBrowser: (no name) - {35065594-9169-4A34-B167-FC4865038E53} - No CLSID value found.
O3 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\..\Toolbar\WebBrowser: (no name) - {37B85A29-692B-4205-9CAD-2626E4993404} - No CLSID value found.
O3 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Alcmtr] ALCMTR.EXE File not found
O4 - HKLM..\Run: [GoogleIncPlugin] C:\WINDOWS\system32\Googleinc\cftmon.exe (BolshevikMorristownDecaturLachesis EllenCameron OsborneFeeneyDacca)
O4 - HKLM..\Run: [RTHDCPL] RTHDCPL.EXE File not found
O4 - HKLM..\Run: [test] sysstem.exe File not found
O4 - HKLM..\Run: [Windows System Devices Manager] c:\windows\csrss.exe File not found
O4 - HKU\.DEFAULT..\Run: [AMService] C:\WINDOWS\Temp\cqadqr\setup.exe ()
O4 - HKU\S-1-5-18..\Run: [AMService] C:\WINDOWS\Temp\cqadqr\setup.exe ()
O4 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001..\Run: [Eeqgqk] C:\Documents and Settings\Asia\Dane aplikacji\Eeqgqk.exe (Harrisburg SemitePeugeotAntoineMickyPermianPrometheusMoliere Timon Liberia)
O4 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001..\Run: [GoogleIncPlugin] C:\WINDOWS\system32\Googleinc\cftmon.exe (BolshevikMorristownDecaturLachesis EllenCameron OsborneFeeneyDacca)
O4 - HKU\S-1-5-21-1715567821-1409082233-1801674531-1001..\Run: [Windows System Devices Manager] c:\windows\csrss.exe File not found
O8 - Extra context menu item: &Search - "http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000 File not found"
 
:Commands
[emptyflash]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Z panelu usuwania programów odinstaluj zbędne sponsoringi - Conduit Engine oraz SnagIt Toolbar

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz AD-Remover z opcji Scan.

 

 

.

[Uchida]

Oto skany.

OTL.Txt

Ad-Report-SCAN1.txt

[Landuss]

Sytuacja coraz lepsza ale to jeszcze nie koniec. Sponsoringów widzę nie usunąłeś więc idą na usuwanie teraz przez OTL. Montuj kolejny skrypt do OTL:

 

:Files
C:\Program Files\ConduitEngine
C:\Program Files\MyGlobalSearch
C:\WINDOWS\system32\f3PSSavr.scr
C:\gry\TechSmith\Snagit 9\SnagitBHO.dll
C:\gry\TechSmith\Snagit 9\SnagitIEAddin.dll
C:\Program Files\Internet Explorer\Msimg32.dll
C:\Documents and Settings\Asia\Dane aplikacji\Edg1yFHEEhjE
C:\Documents and Settings\Asia\Dane aplikacji\l6dlJr67Lhe7
C:\Documents and Settings\Asia\Dane aplikacji\regsrv64 .exe
C:\Documents and Settings\Asia\Dane aplikacji\PriceGong
C:\Documents and Settings\Asia\Dane aplikacji\Eeqgqk .exe
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Asia\Ustawienia lokalne\Dane aplikacji\ConduitEngine
 
:Reg
[-HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00C6482D-C502-44C8-8409-FCE54AD9C208}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\Software\Classes\TypeLib\{39CAFD20-BAFF-454D-A94C-7115710AE6E3}]
[-HKEY_LOCAL_MACHINE\Software\Classes\BHO.HelperObject]
[-HKEY_LOCAL_MACHINE\Software\Classes\BHO.HelperObject.1]
[-HKEY_LOCAL_MACHINE\Software\Classes\Conduit.Engine]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT1055551]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2504091]
[-HKEY_LOCAL_MACHINE\Software\Classes\Toolbar.CT2790392]
[-HKEY_LOCAL_MACHINE\Software\Classes\AppID\BHO.dll]
[-HKEY_LOCAL_MACHINE\Software\Classes\AppID\{59AEAD8A-6822-4794-AF2E-8CC27312E26E}]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_LOCAL_MACHINE\Software\conduitEngine]
[-HKEY_LOCAL_MACHINE\Software\MyGlobalSearch]
[-HKEY_CURRENT_USER\Software\conduitEngine]
[-HKEY_CURRENT_USER\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\Toolbar]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{66711601-36FD-4D94-A9E2-5FF8D001E93B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45DD-9B68-D6A12C30E5D7}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07B18EAB-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4D7B-9389-0F166788785A}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37B85A2B-692B-4205-9CAD-2626E4993404}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3E720452-B472-4954-B7AA-33069EB53906}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98D9753D-D73B-42D5-8C85-4469CDA897AB}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9FF05104-B030-46FC-94B8-81276E4E27DF}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E79DFBCA-5697-4FBD-94E5-5B2A9C7C1612}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{66711601-36FD-4D94-A9E2-5FF8D001E93B}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\6e56fc51-dda7-4b41-9bd1-0ca574588106]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\41ab7c43-6626-4eeb-880a-72ecf9036d38]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\37989cdc-8c2e-4069-93ed-598038015e86]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\post platform]
"FunWebProducts"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}"=-
 
:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: GoogleIncPlugin = C:\WINDOWS\system32\Googleinc\cftmon.exe
 
:Commands
[emptytemp]

 

Do obejrzenia dajesz nowe logi z OTL i Ad- Remover.

 

[Uchida]

Zrobione.

Ad-Report-SCAN2.txt

OTL.Txt

[Landuss]

Infekcja została usunięta i problemy powinny zniknąć. Wykonaj jeszcze tylko czynności końcowe.

 

1. Wklej do OTL skrypt kosmetyczny:

 

:Files
C:\gry\TechSmith\Snagit 9\SnagitIEAddin.dll
C:\Documents and Settings\Asia\Dane aplikacji\BabylonToolbar
C:\Documents and Settings\All Users\Dane aplikacji\Qs3G0S82.dat
 
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{06CD7211-BCA4-4113-BBB3-CA411E958A74}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{35065594-9169-4a34-B167-FC4865038E53}]

Kliknij w Wykonaj skrypt. Logów nie pokazujesz. Używasz opcji Sprzątanie z OTL.

 

2. System nie ma pliku hosts:

 

Hosts file not found

Otwórz systemowy Notatnik i wklej do niego:

 

127.0.0.1 localhost

Plik zapisz jako hosts (bez żadnego rozszerzenia) np. na pulpit a następnie przenieś do lokalizacji C:\Windows\system32\drivers\etc

 

3. Wykonaj aktualizacje oprogramowania:

 

"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java 6 Update 26

"Mozilla Firefox (3.6.22)" = Mozilla Firefox (3.6.22)

"{AC76BA86-7AD7-1033-7B44-A94000000001}" = Adobe Reader 9.4.6

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

Szczegóły aktualizacyjne rozpsane w tym temacie: KLIK.

 

4. Opróżnij folder Przywracania systemu: KLIK.

 

 

.

[Uchida]

okej, dzięki za pomoc.