Eset nod nie może usunąć wszystkich zainfekowanych plików

[migo]

Robiłem skanowanie eset'em i nie może usunąć wszystkich zainfekowanych plików.
Wrzucam skan hijack this i olt


Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam

[kominekl]

HijackThis.

W HijackThis zafixuj:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIconLaunch.exe "C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe" 60
O4 - HKLM\..\Run: [NUSB3MON] "C:\Program Files (x86)\Renesas Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe"
O4 - HKLM\..\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices
O4 - HKLM\..\Run: [Sweetpacks Communicator] C:\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe
O4 - HKLM\..\Run: [Live Update 5] C:\Program Files (x86)\MSI\Live Update 5\BootStartLiveupdate.exe /reminder
O4 - HKCU\..\Run: [Google Update] "C:\Users\Krzysiek\AppData\Local\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun

"BabylonToolbar" = Babylon toolbar
"HijackThis" = HijackThis 2.0.2
"Searchqu Toolbar" = Searchqu Toolbar
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}" = Internet Explorer Toolbar 4.6 by SweetPacks

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE:64bit: - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{8C2916A9-B348-44F0-9655-C333B835AD16}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes,DefaultScope = {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes\{8C2916A9-B348-44F0-9655-C333B835AD16}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-4038590485-3226219316-777878244-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_4_402_287.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Krzysiek\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Krzysiek\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: SweetIM for Facebook = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Krzysiek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [Driver Genius] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-4038590485-3226219316-777878244-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Wyślij &do programu OneNote - res://C:\PROGRA~2\MICROS~1\Office14\ONBttnIE.dll/105 File not found
O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll) - File not found
O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll) - File not found

:Files
C:\Users\Krzysiek\AppData\Local\Google\Update
C:\Users\Krzysiek\Desktop\HiJackThis
C:\Windows\tasks\*.*
C:\Users\Krzysiek\Desktop\HiJackThis.zip
C:\Users\Krzysiek\AppData\Roaming\EurekaLog

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[migo]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


To chyba wszystko ? Aż tak źle z moim lapkiem ?

[kominekl]

"HijackThis" = HijackThis 2.0.2
"Driver Genius Professional Edition_is1" = Driver Genius Professional Edition

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4 - HKU\S-1-5-21-4038590485-3226219316-777878244-1001..\Run: [Google Update] "C:\Users\Krzysiek\AppData\Local\Google\Update\GoogleUpdate.exe" /c File not found

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns.

[migo]

Driver Genius Professional Edition - ten program mi się przydaje, szkoda go usuwać jeżeli posiadam płatna licencje.

TO był jakiś poważny syf na moim lapku ?

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


Pozdrawiam

-- 22 paź 2012, 21:25 --

Driver Genius Professional Edition - ten program mi się przydaje, szkoda go usuwać jeżeli posiadam płatna licencje.

TO był jakiś poważny syf na moim lapku ?

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników


Pozdrawiam

[kominekl]

TO był jakiś poważny syf na moim lapku ?

Nie.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ETDWare
IgfxTray
itype
Persistence
RTHDVCPL

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Microsoft Windows

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

DAEMON Tools Lite

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

cphs
EvtEng
IAStorDataMgrSvc
Intel(R) Capability Licensing Service Interface
LMS
Micro Star SCM
Microsoft SharePoint Workspace Audit Service
npggsvc
nvsvc
nvUpdatusService
ose
osppsvc
RegSrvc
SetupARService
SkypeUpdate
UNS
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Wszystko.

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Wszystko.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Files
C:\Users\Krzysiek\Desktop\Autoruns
C:\Users\Krzysiek\Desktop\log3.7z

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[migo]

ETDWare - po co skoro to sterownik od touchpada ?
RTHDVCPL - po co skoto to sterownik od dzwięku ?
DAEMON Tools Lite- po co skoro ten program jest mi potrzebny ?


HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects nie mogę nic usunąć

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects - nie mogę nic usunąć

Task Scheduler - 3 rzeczy nie mogę usunąć

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls - nie mogę usunąć
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls - nie mogę usunąć
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify - nie mogę usunąć

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors - nie mogę usunąć

Usunąłem co mogłem , pewnie widać to w logach. Mam pytanie czy przypadkiem nie usunąłem jakiegoś pliku sopcast albo wtyczki w chormie sopcast'a bo mi nie działa .

Nie wiem czy to wszystko logi bo sie już pogubiłem jak czegoś brakuje pisz

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam

[kominekl]

RTHDVCPL - po co skoto to sterownik od dzwięku ?
DAEMON Tools Lite- po co skoro ten program jest mi potrzebny ?

Te dwa w autostarcie zbędne.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects nie mogę nic usunąć

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects - nie mogę nic usunąć

Task Scheduler - 3 rzeczy nie mogę usunąć

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls - nie mogę usunąć
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls - nie mogę usunąć
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify - nie mogę usunąć

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors - nie mogę usunąć

Musi być z Uruchom, jako Administrator.

Reasumacja.

Popraw, a następnie podaj nowe logi z OTL.

[migo]

Ale program jest odpalony jako Administrator (nie mam innych użytkowników)

A co z sopcastem ?

[kominekl]

Ale program jest odpalony jako Administrator (nie mam innych użytkowników)

A co z sopcastem ?

Naciśnij PPM -> Uruchom jako Administrator.

[migo]

Tak czy siak nie mogę usunąć. To mamy większy problem.

Ponawiam pytanie co z sopcastem oraz mam kolejny problem nie działają wszystkie funkcje touchpada, chyba trochę przesadziliśmy z usuwaniem ;d

Czkekam na odpowiedź

[kominekl]

Ponawiam pytanie co z sopcastem oraz mam kolejny problem nie działają wszystkie funkcje touchpada, chyba trochę przesadziliśmy z usuwaniem ;d

Nie przesadziliśmy. Włóż do autostartu -> ETDWare. Co do SC to po prostu go reinstaluj.

[migo]

Jak mam go włożyć do autostartu ( wiem śmiesznie pytanie) xD ?

[kominekl]

Jak mam go włożyć do autostartu ( wiem śmiesznie pytanie) xD ?

W Menu Start -> Wszystkie Programy -> znajduje się tam folder Autostart.

[migo]

Uruchom jako administrator nic nie daje, dalej nie mogę usunąć tych pierdół.