Infekcja svchost64.exe

[wiecaga]

Witam.

Mam następujący problem. Mój system został zainfekowany przez svchost64.exe. Komunikatów konkretnych nie ma, ale błędy jakie się pojawiają to chroniczne przerywanie działania przeglądarki Google Chrome, a zużycie procesora (Procesor CPU) utrzymuje się na stałym poziomie 100%. Wykonałam skan używając do tego programu OTL, oto logi:

OTL.Txt

Extras.Txt

Z góry dziękuję za pomoc

[picasso]

Istotnie, mamy tu infekcję, która bazuje na "podrabianiu" innych prawidłowych obiektów.

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV:64bit: - [2012/06/27 05:10:27 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\rwinq.exe -- (rwinq)
SRV - [2012/06/27 19:17:28 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\rwinq.exe -- (rwinq)
IE - HKCU\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - No CLSID value found
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9852&q={searchTerms}"
IE - HKLM\..\SearchScopes\{E1955163-95BD-4D14-A481-3DE04E67A5BC}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}"
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://search.my-tools-app.com/?babsrc=home&s=web&as=0&isid=9852&q={searchTerms}"
IE - HKCU\..\SearchScopes\{CC3D30EF-7582-467E-B464-5F4750E75B7D}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253"
IE - HKCU\..\SearchScopes\{E1955163-95BD-4D14-A481-3DE04E67A5BC}: "URL" = "http://www.searchqu.com/web?src=ieb&q={searchTerms}"
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Agata\AppData\Roaming\Gadu-Gadu 10\_userdata\ggbho.2.dll File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {687578B9-7132-4A7A-80E4-30EE31099E03} - No CLSID value found.
O4 - HKLM..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" File not found
O4 - HKCU..\Run: [hxikvsl] C:\Users\Agata\AppData\Local\fmtbdc.exe File not found
O4 - HKCU..\Run: [Microsoft Windows System] C:\Users\Agata\P-7-78-8964-9648-3874\windll.exe File not found
O4 - HKCU..\Run: [Windows Explorer] C:\Users\Agata\AppData\Roaming\explorer.exe (WZOxSo Hxxjx JSmaG)
O4 - HKCU..\Run: [Windows Primary Login] C:\Users\Public\R-344233-5553-2-32\update32.exe (YHo4zX RyTOJi DHh5ffh)
F3:64bit: - HKCU WinNT: Load - (C:\Users\Agata\LOCALS~1\Temp\msauaewvv.exe) -  File not found
F3 - HKCU WinNT: Load - (C:\Users\Agata\LOCALS~1\Temp\msauaewvv.exe) -  File not found
O18 - Protocol\Filter\text/html {4C962D98-7E08-4df4-BC99-060644D7CA60} - C:\Users\Agata\AppData\LocalLow\Microńoft\redir.dll File not found
 
:Files
C:\Users\Agata\AppData\Roaming\*.exe
C:\Users\Agata\AppData\LocalLow\Microńoft
C:\Users\Agata\P-7-78-8964-9648-3874
C:\Users\Public\R-344233-5553-2-32
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany. W katalogu C:\_OTL powstanie log z wynikami usuwania.

 

2. Odinstaluj adware i zbędniki:

- Przez Panel sterowania: Get Styles (KLIK). Możesz przy okazji też odinstalowąć zbędny Akamai NetSession Interface Service i te ekspresowe skanery McAfee i Norton.

- W menedżerze dodatków Firefox: Get Styles, Searchqu Toolbar, uTorrentControl2 Community Toolbar

- W menedżerze rozszerzeń Google Chrome: LiveVDO

 

3. Uruchom AdwCleaner i wykorzystaj opcję Delete. Wynikowo powstanie log na dysku C.

 

4. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras) oraz log z Farbar Service Scanner (wszystkie opcje zaznaczone). Dołącz log z usuwania OTL z punktu 1 i AdwCleaner z punktu 3.

 

 

 

.

[wiecaga]

Więc tak.

Zrobiłam wszystko krok po kroku, lecz niestety nie udało mi się znaleźć menedżera dodatków Firefox i menedżera rozszerzeń Google Chrome.

Oto logi, które wygenerowałam:

 

(niestety nie udało mi się inaczej przesłać loga z punku 1, jak tylko za pomocą serwera)

 

All processes killed

========== OTL ==========

Service rwinq stopped successfully!

Service rwinq deleted successfully!

C:\Windows\SysNative\rwinq.exe moved successfully.

Error: No service named rwinq was found to stop!

Service\Driver key rwinq not found.

C:\Windows\SysWOW64\rwinq.exe moved successfully.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{687578b9-7132-4a7a-80e4-30ee31099e03} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{687578b9-7132-4a7a-80e4-30ee31099e03}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E1955163-95BD-4D14-A481-3DE04E67A5BC}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1955163-95BD-4D14-A481-3DE04E67A5BC}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CC3D30EF-7582-467E-B464-5F4750E75B7D}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC3D30EF-7582-467E-B464-5F4750E75B7D}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{E1955163-95BD-4D14-A481-3DE04E67A5BC}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1955163-95BD-4D14-A481-3DE04E67A5BC}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{687578B9-7132-4A7A-80E4-30EE31099E03} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{687578B9-7132-4A7A-80E4-30EE31099E03}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\WinampAgent deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\hxikvsl deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Microsoft Windows System deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Explorer deleted successfully.

C:\Users\Agata\AppData\Roaming\explorer.exe moved successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Primary Login deleted successfully.

C:\Users\Public\R-344233-5553-2-32\update32.exe moved successfully.

64bit-Registry delete failed. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\Agata\LOCALS~1\Temp\msauaewvv.exe scheduled to be deleted on reboot.

Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\Agata\LOCALS~1\Temp\msauaewvv.exe deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{4C962D98-7E08-4df4-BC99-060644D7CA60}\ deleted successfully.

========== FILES ==========

C:\Users\Agata\AppData\Roaming\svchost64.exe moved successfully.

C:\Users\Agata\AppData\LocalLow\Microńoft folder moved successfully.

C:\Users\Agata\P-7-78-8964-9648-3874 folder moved successfully.

C:\Users\Public\R-344233-5553-2-32 folder moved successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\\"DefaultScope"|"{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Agata

->Temp folder emptied: 32625473 bytes

->Temporary Internet Files folder emptied: 34231787 bytes

->Java cache emptied: 5288701 bytes

->FireFox cache emptied: 90277272 bytes

->Google Chrome cache emptied: 283408995 bytes

->Flash cache emptied: 288811 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

->Flash cache emptied: 56502 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: LocalService

 

User: NetworkService

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 310097023 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 36045935 bytes

RecycleBin emptied: 508939869 bytes

 

Total Files Cleaned = 1,241.00 mb

 

 

OTL by OldTimer - Version 3.2.53.1 log created on 07102012_170342

 

Files\Folders moved on Reboot...

File\Folder C:\Users\Agata\AppData\Local\Temp\OICE_A4233992-B59B-48EC-BE33-AD69E92A3AFC.0\8E33285F. not found!

File\Folder C:\Users\Agata\AppData\Local\Temp\etilqs_KQvj7jFl6dgyexWZ2ZmF not found!

File move failed. C:\Users\Agata\AppData\Local\Temp\FXSAPIDebugLogFile.txt scheduled to be moved on reboot.

 

PendingFileRenameOperations files...

File C:\Users\Agata\AppData\Local\Temp\OICE_A4233992-B59B-48EC-BE33-AD69E92A3AFC.0\8E33285F. not found!

File C:\Users\Agata\AppData\Local\Temp\etilqs_KQvj7jFl6dgyexWZ2ZmF not found!

[2010/01/16 18:55:18 | 000,000,000 | ---- | M] () C:\Users\Agata\AppData\Local\Temp\FXSAPIDebugLogFile.txt : Unable to obtain MD5

 

Registry entries deleted on Reboot...

64bit-Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\Load:C:\Users\Agata\LOCALS~1\Temp\msauaewvv.exe deleted successfully.

FSS.txt

OTL.Txt

AdwCleanerS1.txt

[picasso]

Tylko jeden log z AdwCleaner potrzebny, ten z czyszczenia. Odcinam nadwyżkę.

 

 

(niestety nie udało mi się inaczej przesłać loga z punku 1, jak tylko za pomocą serwera)

 

Zasady działu i Pomoc forum (na spodzie forum link) objaśniają, iż w załącznikach jest akceptowany tylko format *.TXT. Tu jest *.LOG. Toteż jedno z dwóch: albo ręczna zmiana nazwy pliku, albo wklejenie zawartości loga wprost do posta (jest krótki i tak być może). I tak też zrobiłam, bo pobieranie z Sendspace to zbyt duże korowody (i jeszcze mieszkam w Holandii, często wywala mi "brak wolnych slotów", ze względu na niepolską lokalizację), a ja muszę mieć szybki wgląd do materiałów.

 

 

Zrobiłam wszystko krok po kroku, lecz niestety nie udało mi się znaleźć menedżera dodatków Firefox i menedżera rozszerzeń Google Chrome.

 

Otwierasz Firefox > w menu głównym opcja Dodatki. Otwierasz Google Chrome > Opcje > Rozszerzenia.

 

 

 

---

Skrypt pomyślnie wykonany. Tylko, że ... infekcja się zrekonstruowała pod postacią nowej pary usług:

 

SRV:64bit: - [2012/07/10 17:04:29 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\awina.exe -- (awina)
SRV - [2012/07/10 17:08:04 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\awina.exe -- (awina)

 

Podejmę się jeszcze jednej próby usunięcia tego i zobaczymy czy wróci pod postacią nowej losowej pary.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV:64bit: - [2012/07/10 17:04:29 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\awina.exe -- (awina)
SRV - [2012/07/10 17:08:04 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\awina.exe -- (awina)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Tak jak poprzednio: system zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Powtarzasz zaległą sprawę z deinstalacją wskazanych śmieci w w/w menedżerach Firefox i Google Chrome.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (bez Extras). Zrób skan w Kaspersky TDSSKiller. Jeśli coś on wykryje, nic nie usuwaj tylko dobierz akcję Skip, na dysku C powstanie log i ten doczep tutaj. Wklej też do posta log z wynikami usuwania OTL z punktu 1.

 

 

 

.

[wiecaga]

No więc oto wyniki moich działań:

07112012_084431.txt

OTL.Txt

Edytowane 13 Lipca 2012 przez picasso
TDSSKiller nic nie wykrył. Zbędny log usuwam. //picasso

[picasso]

Czy Ty na pewno wykonałaś te deinstalacje, bo jest bez zmian:

 

2. Odinstaluj adware i zbędniki:

- W menedżerze dodatków Firefox: Get Styles, Searchqu Toolbar, uTorrentControl2 Community Toolbar

- W menedżerze rozszerzeń Google Chrome: LiveVDO

 

Ale to nie jest na razie istotne. Nie jest dobrze. Infekcja wróciła ze zdwojoną siłą. Rozmnożenie obiektów. Kolejne instrukcje, punkty 2 do 4 zrobione z poziomu Trybu awaryjnego Windows (nie wchodź w normalny, dopóki nie ukończysz zadań).

 

1. Pobierz i zainstaluj program Malwarebytes Anti-Malware.

 

2. Przejdź w Tryb awaryjny.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
SRV:64bit: - [2012/07/11 08:44:34 | 000,044,544 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\zproty.exe -- (zproty)
SRV - [2012/07/11 08:46:57 | 000,000,000 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysWOW64\zproty.exe -- (zproty)
O4 - HKCU..\Run: [Windows Explorer] C:\Users\Agata\AppData\Roaming\explorer.exe (CPlmei8y GiIQxIKE3 KKknf)
F3:64bit: - HKCU WinNT: Load - (C:\Users\Agata\AppData\Roaming\ODBC.exe) - C:\Users\Agata\AppData\Roaming\ODBC.exe (AzF0Oiw Pc0 S2kPHVtTk)
F3 - HKCU WinNT: Load - (C:\Users\Agata\AppData\Roaming\ODBC.exe) - C:\Users\Agata\AppData\Roaming\ODBC.exe (AzF0Oiw Pc0 S2kPHVtTk)
F3:64bit: - HKCU WinNT: Run - (C:\Users\Agata\AppData\Roaming\ODBC.exe) - C:\Users\Agata\AppData\Roaming\ODBC.exe (AzF0Oiw Pc0 S2kPHVtTk)
F3 - HKCU WinNT: Run - (C:\Users\Agata\AppData\Roaming\ODBC.exe) - C:\Users\Agata\AppData\Roaming\ODBC.exe (AzF0Oiw Pc0 S2kPHVtTk)
O20 - HKCU Winlogon: Shell - (C:\Users\Agata\AppData\Roaming\ODBC.exe) - C:\Users\Agata\AppData\Roaming\ODBC.exe (AzF0Oiw Pc0 S2kPHVtTk)
 
:Files
C:\Users\Agata\AppData\Roaming\*.exe
C:\Users\Agata\AppData\Roaming\*.dll

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Po tej akcji przez SHIFT+DEL skasuj katalog kwarantanny C:\_OTL.

 

4. Wykonaj pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. Co znajdzie, usuń.

 

5. Przejdź w Tryb normalny.

 

6. Wygeneruj nowy log OTL z opcji Skanuj (Extras). Dołącz raport z Malwarebytes.

 

 

 

.

[wiecaga]

Jeśli chodzi o te rozszerzenia do Google Chrome i Firefoxa to niestety ale szukam tego bez przerwy i nie ma tego. Ja nawet juz dawno Firefoxa nie mam zainstalowanego.

 

A jeśli chodzi o moje działania, które miałam zrobić to wyszło tak:

mbam-log-2012-07-11 (21-42-34).txt

OTL.Txt

[picasso]

Jeśli chodzi o te rozszerzenia do Google Chrome i Firefoxa to niestety ale szukam tego bez przerwy i nie ma tego. Ja nawet juz dawno Firefoxa nie mam zainstalowanego.

 

Brak zainstalowanego Firefox wyjaśnia niemożność wykonania akcji w Firefox, i to oznacza że będę wywalać cały katalog po Firefox z dysku. Ale Google Chrome jest na liście zainstalowanych. Pokaż mi zrzut ekranu z klik w ikonkę konfiguracji > Opcje > Rozszerzenia.

 

Wydaje się, że sprawa infekcji rozwiązana. W nowym logu z OTL nie widać żadnej rekonstrukcji usług, są tylko martwe wpisy po infekcji. Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Mozilla]
 
[-HKEY_CURRENT_USER\Software\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\mozilla.org]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\MozillaPlugins]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > z prawokliku na plik wybierz opcję Scal

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL

O4 - HKCU..\Run: [ODBC] C:\Users\Agata\AppData\Roaming\ODBC.exe File not found
F3:64bit: - HKCU WinNT: Load - (C:\Users\Agata\AppData\Roaming\ODBC.exe) -  File not found
F3 - HKCU WinNT: Load - (C:\Users\Agata\AppData\Roaming\ODBC.exe) -  File not found
F3:64bit: - HKCU WinNT: Run - (C:\Users\Agata\AppData\Roaming\ODBC.exe) -  File not found
F3 - HKCU WinNT: Run - (C:\Users\Agata\AppData\Roaming\ODBC.exe) -  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: ODBC = C:\Users\Agata\AppData\Roaming\ODBC.exe
 
:Files
C:\Users\Agata\AppData\Roaming\mozilla
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

3. Zrób nowy log OTL z opcji Skanuj (bez Extras). Dołącz log z usuwania OTL z punktu 2 oraz zrzut ekranu z Google Chrome który wzmiankowałam.

 

 

 

.

[wiecaga]

07132012_191646.txt

OTL.Txt

[picasso]

Rzeczywiście w rozszerzeniach Google Chrome tego nie ma, czyli to niewidzialny odpadek i będę usuwać. Skan w OTL = jest dobrze, tylko jeden wpis infekcji (już pusty) ominęłam ze zmęczeniam, zaś wszystko od Firefox zniknęło. Idziemy dalej:

 

1. Zamknij Google Chrome. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
CHR - Extension: LiveVDO plugin = C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp\1.3_0\
CHR - Extension: Koji NISHIDA = C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\acganlmcjehnfmehkmlimgkaloifodlf\2_0\
O4 - HKLM..\Run: [ODBC] C:\Users\Agata\AppData\Roaming\ODBC.exe File not found
 
:Files
C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbiamblgmkgbcgbcgejjgebalncpmhnp
C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Extensions\acganlmcjehnfmehkmlimgkaloifodlf

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Bez restartu pójdzie.

 

2. Porządki po narzędziach: w OTL uruchom Sprzątanie + w AdwCleaner Uninstall.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Podstawowe aktualizacje do wykonania: KLIK. Wykaz z Twojej listy zainstalowanych:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java™ 6 Update 33
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.2)
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX ----> odinstaluj całkowicie, to wersja pod IE
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin ----> odinstaluj całkowicie, to wersja pod Firefox
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.4.4 (Basic)

 

Potwierdź czy wszystko działa sprawnie.

 

 

.

[wiecaga]

Wszystko w jak najlepszym porządku!! Dziękuję bardzo za pomoc