AVG wykrywa wirusy - proszę o sprawdzenie logów

Post02 lip 2012, 16:50

Witam, ostatnio AVG wykrywał wirusy w explorer.exe i serwerik.exe albo coś w tym stylu
Nie wiem skąd mam ten serwerik.exe, ale nie moge go usunac bo co chwila sie pojawia...

Druga sprawa to jest to że jak włączm kompa to wyskakuje mi jakiś CMD, i tylko wyłapałem słówko explorer.exe...
też tego nie miałem i nagle sie pojawil

LOGI Z OTL.exe :
OTL.exe - Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS.exe - Dostępne tylko dla zarejestrowanych użytkowników

Post02 lip 2012, 17:24

SRV - [2012-06-19 17:32:30 | 003,048,136 | ---- | M] (Skype Technologies S.A.) [Auto | Running] -- C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - [2012-06-05 topic19656.html15:17:44 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012-02-10 06:10:00 | 002,348,352 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
O4 - HKLM..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)
O4 - HKLM..\Run: [H2O] C:\Program Files\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe ()
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)

To zbędne wpisy w autostarcie. Wejdź w START -> URUCHOM- > Msconfig -> Usługi -> odznacz usługę -> NVIDIA Display Driver Service (NVSVC), Skype Update i Skype Click To Call.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1801674531-1682526488-725345543-1004\..\SearchScopes,DefaultScope = {CCC7A320-B3CA-4199-B1A6-9F516DD69829}
IE - HKU\S-1-5-21-1801674531-1682526488-725345543-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1801674531-1682526488-725345543-1004\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&lng={language}&nt=1
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
O4 - HKLM..\Run: [HKLM] C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1801674531-1682526488-725345543-1004..\Run: [1Scar۞Face Crypter] C:\Documents and Settings\Bartek\Dane aplikacji\serwerek.exe ()
O4 - HKU\S-1-5-21-1801674531-1682526488-725345543-1004..\Run: [HKCU] C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-1801674531-1682526488-725345543-1004..\Run: [Svchost] C:\DOCUME~1\Bartek\USTAWI~1\Temp\serwerek.exe File not found
O7 - HKU\S-1-5-21-1801674531-1682526488-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\WINDOWS\system32\install\explorer.exe (Microsoft Corporation)
O15 - HKU\S-1-5-21-1801674531-1682526488-725345543-1004\..Trusted Ranges: Range1 ([*] in Lokalny intranet)
O15 - HKU\S-1-5-21-1801674531-1682526488-725345543-1004\..Trusted Ranges: Range1 ([file] in Lokalny intranet)
O16 - DPF: {41564D57-9980-0010-8000-00AA00389B71} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
@Alternate Data Stream - 109 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:05EE1EEF

:Files
C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Microsoft Office.lnk
C:\DOCUME~1\Bartek\USTAWI~1\Temp
C:\Documents and Settings\Bartek\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Bartek\Dane aplikacji\EurekaLog

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ANIWZCS2Service"=-
"H2O"=-
"NvCplDaemon"=-
"NvMediaCenter"=-
"nwiz"=-
"SoundMan"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz log z Combofix -> http://www.hotfix.pl/articles.php?article_id=41 + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

Post02 lip 2012, 17:37

co do msconfig to nie mam NVIDIA Display Driver Service (NVSVC) i Skype Click to Call...

Kill proces OTL.exe - Dostępne tylko dla zarejestrowanych użytkowników

Nowy Extras.exe - za 10min
Nowy Otl.exe - za 10 min
Combofix.exe - (bedzie za 10min
TDSSKiller.exe - 10min

Post02 lip 2012, 17:42

za 10min

Tylko zrób to w takiej kolejności, jak napisałem. Ponadto dorzuć jeszcze log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post02 lip 2012, 18:17

Tylko jak mozesz to chcialbym wywalic serwerek.exe ale juz sie chyba pozbylismy, i chetnie bym sie jakis botow itp pozbyl, bo kiedys posciagalem, myslalem ze dobre, a to wszystko jedno gowno, ktore tylko kompa zasmieca

Combofix log - Dostępne tylko dla zarejestrowanych użytkowników
TDSSKiller(byla nowsza wersja to update zrobilem) -

Kod: Zaznacz cały

18:05:07.0484 2268   TDSS rootkit removing tool 2.7.22.0 Mar 21 2012 17:40:00
18:05:11.0968 2268   Perform update action was selected
18:05:11.0968 2488   Deinitialize success

TDSSKiller nowy - Dostępne tylko dla zarejestrowanych użytkowników
OTL.exe - Dostępne tylko dla zarejestrowanych użytkowników
Nie było extras, ale nie znam sie....

Autoruns.arn - Dostępne tylko dla zarejestrowanych użytkowników

-- 02 lip 2012, 18:17 --

już

Post02 lip 2012, 19:52

Nie było extras, ale nie znam sie....

W OTL nie zaznaczyłeś w części Rejestr - Skan Dodatkowy opcji -> Użyj Filtrowania.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało) kolejno wpisy -> Adobe ARM, NvCplDaemon, SunJavaUpdateSched, Książka adresowa 6, Microsoft Outlook Express 6, 0, Adobe PDF Link Helper, Java(tm) Plug-In 2 SSV Helper, Java(tm) Plug-In SSV Helper, Skype Browser Helper, Windows Messenger, AppMgmt, Nero BackItUp Scheduler 4.0 , NVSvc, nvUpdatusService, Skype C2C Service, SkypeUpdate, catchme, Changer, i2omgmt, lbrtfdc, mbr, PCIDump, PDCOMP, PDFRAME, PDRELI, PDRFRAME i WDICA.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam -> "c:\documents and settings\Bartek\Pulpit\ComboFix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\Bartek\USTAWI~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)

:Files
C:\Documents and Settings\Bartek\Pulpit\TDSSKiller.exe
C:\DOCUME~1\Bartek\USTAWI~1\Temp
RECYCLER /alldrives
C:\Qoobox
C:\WINDOWS\erdnt
C:\Documents and Settings\Bartek\Dane aplikacji\cepd17

:Reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post02 lip 2012, 21:17

okey, edytuje ten post, do 22:00 będzie

-- 02 lip 2012, 21:08 --

PoSkrypcie - Dostępne tylko dla zarejestrowanych użytkowników

OTL.exe - Dostępne tylko dla zarejestrowanych użytkowników
Extras.exe - Dostępne tylko dla zarejestrowanych użytkowników

-- 02 lip 2012, 21:17 --

a i nie wiem czemu, ale jak wlacza mi sie XP to pisze "Zapraszamy" widzę kursor, ale chwilkę trzeba poczekać i dopiero się otwiera pulpit itp. i przez jakąś 1sek, widać tylko mocno granatowy paek, bez cieni... taki paintowy ;d i dopiero sie ikony otwieraja itp...

Post02 lip 2012, 21:53

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
RECYCLER /alldrives
C:\Documents and Settings\Bartek\Pulpit\Autoruns

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java(TM) 6 Update 31

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

a i nie wiem czemu, ale jak wlacza mi sie XP to pisze "Zapraszamy" widzę kursor, ale chwilkę trzeba poczekać i dopiero się otwiera pulpit itp. i przez jakąś 1sek, widać tylko mocno granatowy paek, bez cieni... taki paintowy ;d i dopiero sie ikony otwieraja itp...

Myślę, że winny jest antywirus. Odinstaluj AVG tym -> Dostępne tylko dla zarejestrowanych użytkowników.

Post02 lip 2012, 22:02

OTL po usuwaniu - Dostępne tylko dla zarejestrowanych użytkowników
jakiego antywira teraz zainstalować?

Post02 lip 2012, 22:06

jakiego antywira teraz zainstalować?

Wystarczy chociażby Avast -> Dostępne tylko dla zarejestrowanych użytkowników.

Post02 lip 2012, 22:11

ale on podobno zbyt czujny jest i usuwa pliki systemowe
chodz jezeli tak uwazasz to tak zrobie ;p
edit:
bardzo dziękuje, czuje poprawę, ponieważ nie laguje mi się juz jak wchodze w m.in mój komputer

)

Post02 lip 2012, 22:11

ale on podobno zbyt czujny jest i usuwa pliki systemowe
chodz jezeli tak uwazasz to tak zrobie ;p

Nie ma tragedii

.

bardzo dziękuje, czuje poprawę, ponieważ nie laguje mi się juz jak wchodze w mój komputer )

Cieszę się

.