Niezidentyfikowane infekcje (wiele) - trojany, spamboty, keyloggery etc.

[Uzda]

Dobry wieczór.

 

Komputer (laptop Asus) jest mojej siostry. Zakupiła go pół roku temu i wszystko było ok. Ostatnio skończył Jej Avast!, i jak to dziewcze (17 lat) "olała" przypomnienia o końcu ważności. Suma sumarum została "goła" w sieci.

 

Komputer od razu po starcie (trwa top ok 10 minut, w tym komputer "zalicza" 10-15 zmian ekranu na czarny obraz - każda po ok 20 sekund "zwiechy".

Windows Problem Stopper pokazuje 49 infekcji.

Proszę o pomoc, gdyż bardzo nie chciałbym formatować dysku. Traktuję to jako ostateczność.

SYSTEM: Windows 7 Home Premium 64 bit.

 

Security Check:

 

 

Results of screen317's Security Check version 0.99.31

Windows 7 x64 (UAC is disabled!)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

Windows Security Center service is not running! This report may not be accurate!

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 27

Java version out of date!

Adobe Flash Player 10.0.32.18 Flash Player out of Date!

Mozilla Firefox (6.0.2)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Trend Micro Titanium TiMiniService.exe

Trend Micro Titanium TiResumeSrv.exe

``````````End of Log````````````

 

 

Logi z OTL w załączniku..... uprzejmie proszę o pomoc

OTL.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[Landuss]

Infekcja tutaj jest i to w stanie aktywnym. Przechodzisz do usuwania.

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions]
"mscoree.dll"=dword:00000001
"mscorwks.dll"=dword:00000001
"mso.dll"=dword:00000001
"msjava.dll"=dword:00000001
"msci_uno.dll"=dword:00000001
"jvm.dll"=dword:00000001
"jvm_g.dll"=dword:00000001
"javai.dll"=dword:00000001
"vb40032.dll"=dword:00000001
"vbe6.dll"=dword:00000001
"ums.dll"=dword:00000001
"main123w.dll"=dword:00000001
"udtapi.dll"=dword:00000001
"mscorsvr.dll"=dword:00000001
"eMigrationmmc.dll"=dword:00000001
"eProcedureMMC.dll"=dword:00000001
"eQueryMMC.dll"=dword:00000001
"EncryptPatchVer.dll"=dword:00000001
"Cleanup.dll"=dword:00000001
"divx.dll"=dword:00000001
"divxdec.ax"=dword:00000001
"fullsoft.dll"=dword:00000001
"NSWSTE.dll"=dword:00000001
"ASSTE.dll"=dword:00000001
"NPMLIC.dll"=dword:00000001
"PMSTE.dll"=dword:00000001
"AVSTE.dll"=dword:00000001
"NAVOPTRF.dll"=dword:00000001
"DRMINST.dll"=dword:00000001
"TFDTCTT8.dll"=dword:00000001
"DJSMAR00.dll"=dword:00000001
"xlmlEN.dll"=dword:00000001
"ISSTE.dll"=dword:00000001
"symlcnet.dll"=dword:00000001
"ppw32hlp.dll"=dword:00000001
"Apitrap.dll"=dword:00000001
"Vegas60k.dll"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEInstal.exe]
"ExecuteOptions"=dword:00000000
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DllNXOptions]
"mscoree.dll"=dword:00000001
"mscorwks.dll"=dword:00000001
"mso.dll"=dword:00000001
"msjava.dll"=dword:00000001
"msci_uno.dll"=dword:00000001
"jvm.dll"=dword:00000001
"jvm_g.dll"=dword:00000001
"javai.dll"=dword:00000001
"vb40032.dll"=dword:00000001
"vbe6.dll"=dword:00000001
"ums.dll"=dword:00000001
"main123w.dll"=dword:00000001
"udtapi.dll"=dword:00000001
"mscorsvr.dll"=dword:00000001
"eMigrationmmc.dll"=dword:00000001
"eProcedureMMC.dll"=dword:00000001
"eQueryMMC.dll"=dword:00000001
"EncryptPatchVer.dll"=dword:00000001
"Cleanup.dll"=dword:00000001
"divx.dll"=dword:00000001
"divxdec.ax"=dword:00000001
"fullsoft.dll"=dword:00000001
"NSWSTE.dll"=dword:00000001
"ASSTE.dll"=dword:00000001
"NPMLIC.dll"=dword:00000001
"PMSTE.dll"=dword:00000001
"AVSTE.dll"=dword:00000001
"NAVOPTRF.dll"=dword:00000001
"DRMINST.dll"=dword:00000001
"TFDTCTT8.dll"=dword:00000001
"DJSMAR00.dll"=dword:00000001
"xlmlEN.dll"=dword:00000001
"ISSTE.dll"=dword:00000001
"symlcnet.dll"=dword:00000001
"ppw32hlp.dll"=dword:00000001
"Apitrap.dll"=dword:00000001
"Vegas60k.dll"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IEInstal.exe]
"ExecuteOptions"=dword:00000000

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal

 

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files

C:\Users\Martyna\AppData\Local\Temp*.html
 
:OTL
SRV:64bit: - File not found [On_Demand | Stopped] -- C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe coreFrameworkHost.exe -- (Amsp)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found
O4 - HKU\S-1-5-21-1233692623-3085803055-2895229394-1001..\Run: [inspector] C:\Users\Martyna\AppData\Roaming\Protector-yng.exe ()
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[Uzda]

Hmmm. Nie mogę wykonać fix.exe---> SCAN, gdyż po klinięciu dwukrotnym myszą, jak i użycia opcji "scal" wyskakuje mi okienko "Windows Problems Scan" i nic więcej się nie dzieje.

[gruby]

Prawoklik następnie otwórz za pomocą Edytor rejestru .

Też tak miałem i zrobiłem tak jak ci napisałem powyżej.

PS.

Fix.REG a nie exe

[Uzda]

Oczywiście - dziękuję "gruby".

 

W załączniku nowe logi.

 

Czekam na dalsze instrukcje, ale n a"pierwszy rzut beretem" widać, że jest lepiej...

OTL2.TxtPobieranie informacji ...

[Landuss]

Ale FIX.REG się zupełnie nie wykonał. Wyłącz wszelkie programy zabezpieczające na czas wykonywania. Proszę to powtórzyć jeszcze raz i wkleić nowy log z OTL.

[Uzda]

Nie wiem co jest. Robię wszystko dokładnie z instrukcją i po kliknięciu prawym + opcja "scal" wyskakuje komunikat: "System Windows nie może odnaleźć pliku "C:\FIX.REG". Upewnij się, żw wpisana nazwa jest poprawna i spróbuj ponownie".

 

Nie za bardzo wiem jak to zrobić, gdyż tak jak wspomniałem robię wszystko zgodnie z powyższymi instrukcjami.

Czy to jest wina mojej niewiedzy albo czegoś, co robię źle, czy to te wirusy blokują dodanie wpisu?

 

 

EDIT: Aktualne logi poniżej - może się przydadzą...

EDIT2: Link do screen`a z komunikatem Windowsa: http://imageshack.us...eztytuuqix.png/

 

EDIT3: Przy próbie uruchomienia regedit.exe również pojawia się komunikat, że Windows nie może znaleźć pliku C:\Windows\regedit.exe. Czyżby coś nie tak było z rejestrem?

EDIT4: Próbowałem uruchomić "regedt32.exe" z katalogu Windows\System32 - brak reakcji na próbę uruchomienia - nic się nie dzieje po double-clck`u myszką. Próba uruchomienia regedit.exe z katalogu Windows skutkuje komunikatem jak w EDIT 3.

 

Dobra nie będę już grzebał, bo jeszcze coś zepsuje i będzie gorzej niż jest. Już grzecznie czekam na pomoc

 

EDIT 5 : Ciekawostka: Przy próbie uruchomienia Menadżera zadań, także brak reakcji ze strony kompa

OTL3.TxtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

[Landuss]

Perzyznam, że dziwne to jest. Spróbuj to zrobić w trybie awaryjnym.

[Uzda]

To samo :/

 

To w ogóle wygląda tak jakby nie było rejestru (regedit jako programu/aplikacji) ale np jak wejdę na piechotę w katalogi to jest np. regedit.exe ale jak kliknę to... to co pisałem wyżej:/

 

Czy są jeszcze jakieś inne wyjścia prócz formatowania?

[gruby]

Landuss a co sądzisz aby otworzył plik poprzez tryb awaryjny z obsługą wiersza poleceń może w jego przypadku okazało by się skuteczne?

w jego przypadku w cmd musiałby wpisać

F:/fix/fix.reg

[Uzda]

Obydwa przypadki kończą się tym samym komunikatem co wcześniej. Tyle, że w drugim komunikatem z czcionką z cmd . Próbowałem też uruchomić za pomocą opcji "ostatnie działające ustawienia" - to samo... ech powoli zaczynam tracić wiarę i czuję, że zbliża się nieunikniony formacik

[Landuss]

Format to tylko ostateczność, ale na razie odsuń tą myśl na bok. Pobierz narzędzie RegBack, umieść w katalogu C:\Windows, przejdź w Tryb awaryjny i uruchom program klikając bezpośrednio jego plik w C:\Windows. Wynikową kopię rejestru zapakuj do ZIP i wyślij na jakiś serwis hostingowy podając tu link.

[Uzda]

O żesz Ty! Ale questa mi dałeś . Dam znać jak zrobię (jeśli mi się to w ogóle uda)...\

 

Ok wykowanłem wszystko zgodnie z instrukcją w linku do Regbak. Obydwa punkty. Rejestr się resnął (chyba) i komputer się automatycznie zrestartował. Co dalej? bo chyba się zgubiłem. Gdzie mogę znaleźć wynikową kopię rejestru?

[Landuss]

Program zapewne pytał się gdzie zapisać plik rejestru dlatego to ty sam powinieneś sobie odpowiedzieć. Zapewne jest gdzieś w katalogu narzędzia

[Uzda]

Good Morning

 

Zrobiłem wszystko jeszcze raz:

 

Link do "zzipowanego" Backupa: http://w216.wrzuta.p...bHzB6/backupreg

[Landuss]

Tak się teraz przyjrzałem i tu też jest debuger na regedit nalożony więc może być w tym rzecz. Zmieniam zalecenia. Spróbuj inaczej. Wklej do OTL taki skrypt:

 

:OTL
O27 - HKLM IFEO\regedit.exe: Debugger - C:\Users\Martyna\AppData\Roaming\Protector-yng.exe reg File not found
O27:64bit: - HKLM IFEO\regedit.exe: Debugger - C:\Users\Martyna\AppData\Roaming\Protector-yng.exe reg File not found
 
:Commands
[reboot]

 

Kliknij w Wykonaj skrypt i zatwierdź restart.

 

Następnie spróbuj wykonać FIX.REG, który zaleciłem ze scaleniem w poście 2. JEśli się powiedzie zaprezentujesz nowy log z OTL.

[Uzda]

Hallelluyah! jak mawiają starożytni Rosjanie . W końcu coś się ruszyło.

Wiem, że może jeszcze długa droga, ale kocham Cię chłopie

 

Skrypt poszedł, komp się resnął.

Odpaliłem fixa z drugiego posta - pomyślnie zostało dodane do rejestru

Wykonałem Skan OTL

Poniżej log...

OTL.TxtPobieranie informacji ...

[Landuss]

Gdybym wcześniej skojarzył fakty i zauważył to co przeoczyłem to już dawno by się to wykonało Została tylko poprawka drobna do wykonania.

 

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Martyna\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O4:64bit: - HKLM..\Run: [intelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O27:64bit: - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation)
O27:64bit: - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation)
O27 - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation)
 
:Commands
[reboot]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera i pokaż nowy log z OTL.

[Uzda]

As you wish

OTL4.TxtPobieranie informacji ...

Extras4.TxtPobieranie informacji ...

[Landuss]

Wpisy siedzą jak przylepione:

 

O27:[b]64bit:[/b] - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation)

O27:64bit: - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysNative\svchost.exe (Microsoft Corporation)

O27 - HKLM IFEO\avastSvc.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation)

O27 - HKLM IFEO\avastUI.exe: Debugger - C:\Windows\SysWow64\svchost.exe (Microsoft Corporation)

 

Kolejny skrypt o takiej zawartości:

 

:Processes
killallprocesses
 
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastSvc.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastUI.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastSvc.exe]
[-HKEY_LOCAL_MACHINE\\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastUI.exe]
 
:Commands
[reboot]

 

Nowy log z OTL do oceny (bez ekstras)

[Uzda]

Hmm... Nie wiem, czy się nie narażę, ale po wykonaniu skryptu i restarcie pokazał mi się ten plik tekstowy (1. załącznik). Zwróć uwagę na 2 ostatnie wiersze. Coś chyba nie może tego usunąć do końca?! (zmieniłem rozszerzenie z .log na .txt)

 

2. załącznik = nowy log

03232012_202456.txtPobieranie informacji ...

OTL5.TxtPobieranie informacji ...

[Landuss]

Nic się nie zmieniło. To też mnie trochę dziwi bo z tymi wpisami nie powinno być żadnego problemu. Wykonaj to ręcznie.

 

Wciśnij kombinację klawisza z flagą Windows + R i wpisz regedit, wejdź do poniższych kluczy:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

 

... i w obydwu skasuj avastSvc.exe oraz avastUI.exe

 

Jeśli wykonasz oczywiście do oceny dajesz log.

[Uzda]

Nie da rady. "Błąd przy usuwaniu..."

 

Spróbuję w awaryjnym....

 

W awaryjnym poszło. jak skasowałem z jednego (z pierwszej ścieżki) to z drugiej od razu zniknęło.

Robie log (nie resetowałem kompa)....

 

 

LOG w załączniku

OTL6.TxtPobieranie informacji ...

[Landuss]

Teraz jest czysto i nie ma już się do czego przyczepić. Można kończyć sprawę. Podsumuj tylko czy wszystko jest z systemem jak należy.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj poniższe oprogramowanie do najnowszych wersji:

 

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin

"Mozilla Firefox 6.0.2 (x86 pl)" = Mozilla Firefox 6.0.2 (x86 pl)

 

Szczegóły aktualizacyjne: KLIK

[Uzda]

Chyba jednak nam się to przedłuży do jutra, bo muszę na 22 do pracy lecieć. Przepraszam.

Jak tylko się jutro ogarnę, zajmę się tym i mam nadzieję, że skończymy temat. Dobranoc