Log OTL, wirus Tok-Cirrhatus

[marcino1104]

Witam!
Proszę o sprawdzenie logów, komputer zainfekowany wirusem Tok-Cirrhatus przynajmniej ten dojrzałem.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - [2001-10-26 18:30:00 | 000,003,584 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\System32\regedt32.exe -- (.EsetTrialReset)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a902puo6)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=110824&tt=4412_1&babsrc=SP_ss&mntrId=c82ae538000000000000001c2538fc82
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3220468
IE - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\SearchScopes\{C53B107D-62B8-466F-9AA6-0979A5A9A64F}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=4B09CD03-E859-4CE5-924F-64C4DFD2CDF2&apn_sauid=EBD9837E-8E5A-4E71-8A52-C2CCFFF89B84
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110824&tt=4412_1&babsrc=HP_ss&mntrId=c82ae538000000000000001c2538fc82"
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
[2012-11-02 10:36:23 | 000,000,000 | ---D | M] (uTorrentControl_v2) -- C:\Documents and Settings\Miś\Dane aplikacji\Mozilla\Firefox\Profiles\mwg754d6.default\extensions\{7473b6bd-4691-4744-a82b-7854eb3d70b6}
[2012-10-23 17:38:01 | 000,002,299 | ---- | M] () -- C:\Documents and Settings\Miś\Dane aplikacji\Mozilla\Firefox\Profiles\mwg754d6.default\searchplugins\askcom.xml
[2012-11-02 10:31:45 | 000,002,536 | ---- | M] () -- C:\Documents and Settings\Miś\Dane aplikacji\Mozilla\Firefox\Profiles\mwg754d6.default\searchplugins\browsemngr.xml
[2012-02-29 19:03:30 | 000,003,974 | ---- | M] () -- C:\Documents and Settings\Miś\Dane aplikacji\Mozilla\Firefox\Profiles\mwg754d6.default\searchplugins\sweetim.xml
[2012-10-29 20:29:18 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
CHR - Extension: YouTube = C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: Szukaj w Google = C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: AdBlock = C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom\2.5.47_0\
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.1.0.10441_0\
CHR - Extension: Gmail = C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
O3 - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-1123561945-1563985344-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
O4 - HKU\S-1-5-21-1123561945-1563985344-682003330-1003..\Run: [Tok-Cirrhatus] File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
[2012-11-02 21:45:45 | 000,442,368 | R--- | C] (On2.com) -- C:\WINDOWS\System32\vp6vfw.dll
[2012-11-02 11:09:20 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
[2012-11-02 10:36:25 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\CRE
[2012-11-02 10:36:06 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
[2012-11-02 10:36:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Conduit
[2012-11-02 10:36:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Temp
[2012-11-02 10:31:41 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager
[2012-10-23 17:37:54 | 000,000,000 | ---D | C] -- C:\Program Files\Ask.com
[2012-10-23 17:27:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Ask

:Files
C:\Documents and Settings\Miś\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\WINDOWS\tasks\*.*
C:\WINDOWS\System32\sistem.sys
C:\Documents and Settings\Miś\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\Ask
C:\Documents and Settings\All Users\Dane aplikacji\Browser Manager
C:\Documents and Settings\All Users\Dane aplikacji\DriverGenius
C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
C:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
C:\Documents and Settings\Miś\Dane aplikacji\OpenCandy

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[marcino1104]

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników -> Z rozpędu opcja delete.. brak internetu, modem przestał współpracować zapewne usunięte pliki sterowników. Jak przywrócić je z kwarantanny ?

-- 11 lis 2012, 22:29 --

przywróciłem te pliki poprzez zmianę nazwy z .dta na .sys dla odpowiednich plików. Przywróciłem wszystkie 8 ale to nie pomogło w odzyskaniu sprawności..Na modemie nie świecą się lampki, i wyskakuje komunikat o nie zainstalowanej karcie graficznej. System również nie odczytuje płyt, przy próbie odczytu dysku wyskakuje komunikat "system windows nie moze odczytac tego typu dysku".. Jak przywrócić te funkcje?

[kominekl]

19:14:03.0796 3540 C:\WINDOWS\system32\DRIVERS\alcan5wn.sys - copied to quarantine
19:14:03.0796 3540 HKLM\SYSTEM\ControlSet001\services\alcan5wn - will be deleted on reboot
19:14:03.0796 3540 HKLM\SYSTEM\ControlSet002\services\alcan5wn - will be deleted on reboot
19:14:03.0796 3540 C:\WINDOWS\system32\DRIVERS\alcan5wn.sys - will be deleted on reboot
19:14:03.0796 3540 alcan5wn ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:14:03.0828 3540 C:\WINDOWS\system32\DRIVERS\alcaudsl.sys - copied to quarantine
19:14:03.0828 3540 HKLM\SYSTEM\ControlSet001\services\alcaudsl - will be deleted on reboot
19:14:03.0828 3540 HKLM\SYSTEM\ControlSet002\services\alcaudsl - will be deleted on reboot
19:14:03.0828 3540 C:\WINDOWS\system32\DRIVERS\alcaudsl.sys - will be deleted on reboot
19:14:03.0828 3540 alcaudsl ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:14:04.0562 3540 C:\WINDOWS\system32\DRIVERS\torususb.sys - copied to quarantine
19:14:04.0562 3540 HKLM\SYSTEM\ControlSet001\services\TaurusUsb - will be deleted on reboot
19:14:04.0562 3540 HKLM\SYSTEM\ControlSet002\services\TaurusUsb - will be deleted on reboot
19:14:04.0562 3540 C:\WINDOWS\system32\DRIVERS\torususb.sys - will be deleted on reboot
19:14:04.0562 3540 TaurusUsb ( UnsignedFile.Multi.Generic ) - User select action: Delete

Reinstaluj sterownik modemu (SpeedTouch bodajże).

19:14:03.0968 3540 C:\WINDOWS\system32\Ati2evxx.exe - copied to quarantine
19:14:03.0968 3540 HKLM\SYSTEM\ControlSet001\services\Ati HotKey Poller - will be deleted on reboot
19:14:03.0968 3540 HKLM\SYSTEM\ControlSet002\services\Ati HotKey Poller - will be deleted on reboot
19:14:03.0968 3540 C:\WINDOWS\system32\Ati2evxx.exe - will be deleted on reboot
19:14:03.0968 3540 Ati HotKey Poller ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:14:04.0031 3540 C:\WINDOWS\system32\ati2sgag.exe - copied to quarantine
19:14:04.0031 3540 HKLM\SYSTEM\ControlSet001\services\ATI Smart - will be deleted on reboot
19:14:04.0031 3540 HKLM\SYSTEM\ControlSet002\services\ATI Smart - will be deleted on reboot
19:14:04.0031 3540 C:\WINDOWS\system32\ati2sgag.exe - will be deleted on reboot
19:14:04.0031 3540 ATI Smart ( UnsignedFile.Multi.Generic ) - User select action: Delete
19:14:04.0312 3540 C:\WINDOWS\system32\DRIVERS\ati2mtag.sys - copied to quarantine
19:14:04.0312 3540 HKLM\SYSTEM\ControlSet001\services\ati2mtag - will be deleted on reboot
19:14:04.0312 3540 HKLM\SYSTEM\ControlSet002\services\ati2mtag - will be deleted on reboot
19:14:04.0328 3540 C:\WINDOWS\system32\DRIVERS\ati2mtag.sys - will be deleted on reboot
19:14:04.0328 3540 ati2mtag ( UnsignedFile.Multi.Generic ) - User select action: Delete

Reinstaluj sterowniki karty graficznej.

19:14:04.0375 3540 C:\WINDOWS\system32\drivers\StarOpen.sys - copied to quarantine
19:14:04.0375 3540 HKLM\SYSTEM\ControlSet001\services\StarOpen - will be deleted on reboot
19:14:04.0375 3540 HKLM\SYSTEM\ControlSet002\services\StarOpen - will be deleted on reboot
19:14:04.0375 3540 C:\WINDOWS\system32\drivers\StarOpen.sys - will be deleted on reboot
19:14:04.0375 3540 StarOpen ( UnsignedFile.Multi.Generic ) - User select action: Delete

Oprogramowanie emulujące.

19:14:04.0484 3540 C:\WINDOWS\system32\DRIVERS\stmatm.sys - copied to quarantine
19:14:04.0484 3540 HKLM\SYSTEM\ControlSet001\services\Stmatm - will be deleted on reboot
19:14:04.0484 3540 HKLM\SYSTEM\ControlSet002\services\Stmatm - will be deleted on reboot
19:14:04.0484 3540 C:\WINDOWS\system32\DRIVERS\stmatm.sys - will be deleted on reboot
19:14:04.0484 3540 Stmatm ( UnsignedFile.Multi.Generic ) - User select action: Delete

Reinstaluj oprogramowanie ZTE.

Logi.

Następnie podajesz nowe logi z OTL.

[marcino1104]

Przepraszam,że tak długo.. Nie mój komputer i nie miałem kiedy.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dodam, że problem z płytami pozostał, czyta jedynie niektóre CD.. Przed operacją usuwania TDSSKillerem było ok..

[kominekl]

Przepraszam,że tak długo.. Nie mój komputer i nie miałem kiedy.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dodam, że problem z płytami pozostał, czyta jedynie niektóre CD.. Przed operacją usuwania TDSSKillerem było ok..

Sprawdź stan punktów przywracania? Czy nie ma przypadkiem punktu sprzed działania TDSSKiller`em.

[marcino1104]

Niestety brak punktów przywracania.

[kominekl]

Niestety brak punktów przywracania.

W porządku. Odepnij stację dysków i zmuś system do jej ponownej instalacji (dodatkowo dokonaj resetu BIOS`a), czyli podepnij ponownie.