0i763f66bz.exe - co to jest?

[IwanPL]

Witam mam problem bo własnie odkąd zauważyłem w procesach ten plik komputer zaczął mi mulić szczególnie internet próbowałem to usunąć niestety ciagle dostaje "ODMOWA DOSTĘPU" - bardzo proszę o pomoc być może to nie jest jedyny powód że ogólnie zaczęło mulić ale tak mi się wydaje

[greh]

• Pobierz OTL z tego linku:
  - Dostępne tylko dla zarejestrowanych użytkowników
  
• Uruchom narzędzie dwuklikiem i ustaw jak na tym obrazku: Dostępne tylko dla zarejestrowanych użytkowników
• Uruchom skan przyciskiem Skanuj/Scan.
• Po zakończonym skanie wklej obydwa raporty na jedną z tych stron: Dostępne tylko dla zarejestrowanych użytkowników, Dostępne tylko dla zarejestrowanych użytkowników lub Dostępne tylko dla zarejestrowanych użytkowników,
  a tutaj wstaw linki do obydwu wklejek.

[IwanPL]

OTL. txt Dostępne tylko dla zarejestrowanych użytkowników

Extras.txt Dostępne tylko dla zarejestrowanych użytkowników


//Tak, teraz jest dobrze.
//greh

[seba86mu]

Przenoszę do działu Bezpieczeństwo celem diagnozy pod kątem infekcji.

[IwanPL]

a to niewiedziałem ze to może być infekcja tylko nadal nie wiem co mam robić

[greh]

http://wklej.org/id/789219/


dobrze jest?

Brak extras.txt

[IwanPL]

teraz pojawił mi się kolejny problem brak dzwięku np proboję odtworzyć Winamp i



-- 12 lip 2012, 21:23 --




zeskanowalem programem antimalware i znalazlo taki trojan jak go usune i ponownie zeskanuje znow to samo sie pojawia

[kominekl]

"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{E2E7A0E8-77C4-495F-8FA3-63DAEDAA2DB3}" = F-Secure PSC Prerequisites
"ESET Online Scanner" = ESET Online Scanner v3
"IObit Malware Fighter_is1" = IObit Malware Fighter
"LiveVDO plugin" = LiveVDO plugin 1.3
"SkanerOnline" = Skaner on-line mks_vir
"V9Software" = V9 HomeTool
"vShare.tv plugin" = vShare.tv plugin 1.3

Odinstaluj to oprogramowanie, oraz stare zabezpieczenia Star Force poprzez pobranie -> Dostępne tylko dla zarejestrowanych użytkowników -> wypakowanie -> uruchomienie pliku sfdrvrem.exe.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

SRV - File not found [On_Demand | Stopped] -- C:\Program Files\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (EagleNT)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331001684_454099
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{A63C6D0E-A52D-41DE-BBE9-58CA774DEC01}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = pl.v9.com/idg/idg_1331001684_454099
IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..\SearchScopes,DefaultScope = {A63C6D0E-A52D-41DE-BBE9-58CA774DEC01}
IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..\SearchScopes\{A63C6D0E-A52D-41DE-BBE9-58CA774DEC01}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-606747145-1958367476-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = local
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.2.0
FF - prefs.js..keyword.URL: "http://search.skipity.com/?source=ab&q="
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2011-11-17 20:25:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\askcom.xml
[2012-04-04 12:35:47 | 000,002,306 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\askcomsearch.xml
[2012-03-08 22:50:16 | 000,002,710 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\skipity-search.xml
[2012-03-27 21:57:18 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\startsear.xml
[2011-08-22 21:48:41 | 000,001,565 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\web-search.xml
[2012-07-09 04:15:28 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2011-10-27 15:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2012-03-06 04:41:24 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKU\S-1-5-21-606747145-1958367476-725345543-1003..\Run: [0i763f66bz] C:\Documents and Settings\Paweł\0i763f66bz.exe ()
O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - Reg Error: Value error. File not found
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - Reg Error: Value error. File not found
O15 - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..Trusted Domains: onet.pl ([sport] https in Zaufane witryny)
O15 - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..Trusted Domains: onet.pl ([wiadomosci] http in Zaufane witryny)
O15 - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..Trusted Domains: onet.pl ([wiadomosci] https in Zaufane witryny)
O15 - HKU\S-1-5-21-606747145-1958367476-725345543-1003\..Trusted Domains: onet.pl ([www] https in Zaufane witryny)
@Alternate Data Stream - 65 bytes -> C:\Documents and Settings\All Users\Pulpit:$ES_DESCRIPTOR_MVPUV1PKSVXJKX69UK1CWPP0DTVNYKM1UVXPJCEPP4DMJ3K1XYE7LRJEM53EPPJCFPLP45168LPSB5PL0EM6REGXHCTVVVVVVVVVVVVV
@Alternate Data Stream - 65 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\Sports Interactive:$ES_DESCRIPTOR_MVPUV1PKSVXJKX69UK1CWPP0DTVNYKM1UVXPJCEPP4DMJ3K1XYE7LRJEM53EPPJCFPLP45168LPSB5PL0EM6REGXHCTVVVVVVVVVVVVV
@Alternate Data Stream - 100 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2

:Files
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Paweł\0i763f66bz.exe
C:\WINDOWS\System32\drivers\3b593bed95ba128d.sys
C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\All Users\Dane aplikacji\f-secure
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\{2D559015-4C05-4AE5-8C8B-7E13E1EAB09D}
C:\Documents and Settings\All Users\Dane aplikacji\{DE8EABB5-1C85-4410-A68D-79BD8A4518F4}
C:\Documents and Settings\Paweł\Dane aplikacji\EurekaLog
C:\Documents and Settings\Paweł\Dane aplikacji\QuickStoresToolbar

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL -> http://hotfix.pl/articles.php?article_id=143.

Optymalizacja.

Jeśli jej pragniesz to dodaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[IwanPL]

robie 1 punkt imam problem z otwarciem pliku sfdrvrem.exe. wyskakuję mi niby pokazuje ze administratorem nie jestem a wchodzę w konta użytkowników i jest napisane ze jestem to już nie wiem...

OTL - Dostępne tylko dla zarejestrowanych użytkowników
ADWCleaner - Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller - Dostępne tylko dla zarejestrowanych użytkowników

Nowe Logi:

OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników


Optymalizacja log

Kod: Zaznacz cały

http://speedy.sh/umQBZ/AutoRuns.rar

[greh]

Możesz przycinać te obrazki w Paincie? Po grzyba nam 90% białej przestrzeni na forum?

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon
NvMediaCenter
nwiz
Regedit32
RTHDCPL
WinFast Schedule

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Książka adresowa 6
Microsoft Outlook Express 6

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

0i763f66bz
DAEMON Tools Lite

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

0

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Adobe PDF Link Helper
BywifiBHO
Groove GFS Browser Helper
Java(tm) Plug-In 2 SSV Helper
Java(tm) Plug-In SSV Helper
Skype Browser Helper
Spybot-S&D IE Protection
Windows Live ID Sign-in Helper

HKCU\Software\Microsoft\Internet Explorer\Extensions

Bywifi: Video Downloader

HKLM\Software\Microsoft\Internet Explorer\Extensions

Bywifi: Video Downloader

HKLM\System\CurrentControlSet\Services

F-Secure Gatekeeper
FSDFWD
FSMA
FSORSPClient
getPlusHelper
IMFservice
npggsvc
NVSvc
nvUpdatusService
PCSUService
Skype C2C Service
SkypeUpdate
VideoAcceleratorService
wlidsvc

HKLM\System\CurrentControlSet\Services

Changer
i2omgmt
lbrtfdc
PCIDump
PDCOMP
PDFRAME
PDRELI
PDRFRAME
WDICA

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32

msacm.vorbis

Oprogramowanie.

Odinstaluj oprogramowanie, o które prosiłem. Nie nadaje się ono. Zrób to koniecznie teraz. Dopiero potem w trybie awaryjnym uruchom plik -> sfdrvrem.exe.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

[2012-05-20 08:09:17 | 000,000,000 | ---D | M] (Greasemonkey) -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
[2011-11-17 20:25:44 | 000,002,333 | ---- | M] () -- C:\Documents and Settings\Paweł\Dane aplikacji\Mozilla\Firefox\Profiles\tvh3fm3a.default\searchplugins\askcom.xml
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe File not found
O4 - HKU\S-1-5-21-606747145-1958367476-725345543-1003..\Run: [0i763f66bz] C:\Documents and Settings\Paweł\0i763f66bz.exe ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

:Services
getPlusHelper

:Files
C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars
D:\Mozilla pobrane\tdsskiller
C:\Program Files\IObit\IObit Malware Fighter
C:\Program Files\SpeedBit Video Accelerator
C:\Program Files\Bywifi
C:\Program Files\Przyspiesz Komputer
C:\Program Files\Spybot - Search & Destroy
C:\TDSSKiller_Quarantine
C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
C:\WINDOWS\System32\drivers\3b593bed95ba128d.sys

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[IwanPL]

chciałbym dopytać bo chce dobrze zrozumieć w autoruns mam odznaczyć to co podales reszte co zostanie zaznaczona usunąć czy to co odznacze mam usunąć i jeszcze powiedz prosze mi jak uruchomić w trybie awaryjnym

[greh]

W czasie uruchamiania komputera wciskaj F8 aż do pojawienia się boot menu.
Tam wybierz tryb awaryjny. Nie wystrasz się, że coś się stało z monitorem, może być ogromna jak na dzisiejsze realia rozdzielczość.

[kominekl]

chciałbym dopytać bo chce dobrze zrozumieć w autoruns mam odznaczyć to co podales reszte co zostanie zaznaczona usunąć czy to co odznacze mam usunąć

To, co odznaczysz masz usunąć.

jak uruchomić w trybie awaryjnym

greh wytłumaczył .