Logi OTL, infekcja, niedziałający ESET

[tentato]

Logi z OLT: Dostępne tylko dla zarejestrowanych użytkowników

Win 7 64bit.

Witam, proszę o pomoc: Od kilku spadła wydajność systemu, dzisiaj zniknął ESET.
Nie mam możliwośći zainstalowania ESET'a ponownie, pomimo jego poprawnego odinstalowania, wywala błąd dostępu do pliku /brak uprawnień/.

[djarta]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O27:64bit: - HKLM IFEO\mbam.exe: Debugger - dqvxoea.exe File not found
O27:64bit: - HKLM IFEO\mbamgui.exe: Debugger - ndtcrvg.exe File not found
O27:64bit: - HKLM IFEO\rstrui.exe: Debugger - vxddmxels.exe File not found
O27 - HKLM IFEO\mbam.exe: Debugger - dqvxoea.exe File not found
O27 - HKLM IFEO\mbamgui.exe: Debugger - ndtcrvg.exe File not found
O27 - HKLM IFEO\rstrui.exe: Debugger - vxddmxels.exe File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O7 - HKU\S-1-5-21-2832182-2529317273-379697349-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: TaskbarNoNotification = 1
O7 - HKU\S-1-5-21-2832182-2529317273-379697349-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O4 - HKU\S-1-5-21-2832182-2529317273-379697349-1000..\Run: [GoogleUpd] "C:\ProgramData\GoogleUpd\ntibcpsaq.exe" File not found
O4 - HKU\S-1-5-21-2832182-2529317273-379697349-1000..\Run: [WmiPrv] C:\Users\tom\AppData\Roaming\Adobe\WmiPrv\WmiPrvSE.exe (Microsoft)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O4 - HKLM..\Run: [IR_SERVER] C:\PROGRA~2\Realtek\REALTE~1\IR_SERVER.exe File not found
FF - prefs.js..browser.search.defaultthis.engineName: "2Shared Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2447621&SearchSource=3&q={searchTerms}"

:Files
C:\Windows\tasks\*.job
C:\ProgramData\GoogleUpd
C:\Users\tom\AppData\Roaming\Adobe\WmiPrv
C:\Users\tom\AppData\Local\PUTTY.RND
C:\Users\tom\AppData\Roaming\winscp.rnd
C:\Windows\SysWow64\RTKISDBT.dll
C:\Users\tom\AppData\Roaming\wincrt

:Commands
[emptyflash]
[emptyjava]
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2.

SRV:64bit: - File not found [Auto | Stopped] -- C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe -- (ekrn)

ESET jest uszkodzony.
Do tego celu użyj ESET Uninstaller - Dostępne tylko dla zarejestrowanych użytkowników
Potem zainstaluj ponownie ESET'a.

3.

O4 - HKU\S-1-5-21-2832182-2529317273-379697349-1000..\Run: [Ukqmedia] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)

Nie mam pojęcia co to jest i kto tak zrobił. Wiesz może coś o tym?

[tentato]

Raport po restarcie OLT: Dostępne tylko dla zarejestrowanych użytkowników

Logi OLT po ponownym skanowaniu: Dostępne tylko dla zarejestrowanych użytkowników

-- 02 mar 2014, 11:47 --

O4 - HKU\S-1-5-21-2832182-2529317273-379697349-1000..\Run: [Ukqmedia] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)

Nie mam pojęcia co to jest i kto tak zrobił. Wiesz może coś o tym?

Znalazłem to : Dostępne tylko dla zarejestrowanych użytkowników
Ale co i dlaczego tak - nie wiem...

[djarta]

Znalazłem to : Dostępne tylko dla zarejestrowanych użytkowników
Ale co i dlaczego tak - nie wiem...

Ależ ja wiem z czym związany jest ten plik oraz za co on odpowiada w systemie.
Chodzi mi o uruchomienie go podczas startu oraz nazwę tego uruchamiania Ukqmedia

Dodatkowo te ,,coś" ma moduł:
MOD - [2014/02/05 13:04:39 | 000,799,232 | ---- | M] () -- C:\Users\tom\AppData\Local\Ukqmedia\ssleay32.dll

Uruchom Dostępne tylko dla zarejestrowanych użytkowników i do okna wklej:

:file
C:\Windows\SysWow64\regsvr32.exe

:filefind
Ukqmedia
regsvr32
ssleay32

:regfind
Ukqmedia
regsvr32
ssleay32

:dir
C:\Users\tom\AppData\Local\Ukqmedia

Klik w Look i przedstaw wynikowy raport.

2.

C:\Users\tom\AppData\Local\Ukqmedia\ssleay32.dll
C:\Windows\SysWow64\regsvr32.exe

Sprawdź ten pliki na --> Dostępne tylko dla zarejestrowanych użytkowników albo na Dostępne tylko dla zarejestrowanych użytkowników
Powiedz co wykryły skanery.

[tentato]

Log SysytemLook'a: Dostępne tylko dla zarejestrowanych użytkowników
Eset po zainstalowaniu znalazł to : Dostępne tylko dla zarejestrowanych użytkowników

C:\Users\tom\AppData\Local\Ukqmedia\ssleay32.dll
C:\Windows\SysWow64\regsvr32.exe

Sprawdź ten pliki na --> JOTTI/ albo na VIRUSTOTAL
Powiedz co wykryły skanery.

Oba pliki: 0/23 i 0/50 wykrytych.

[djarta]

Czyli ESET Nam wszystko wyjaśnił.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

:Files
C:\Users\tom\AppData\Local\Ukqmedia
C:\Program Files\Calibre2

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Ukqmedia"=-
[-HKEY_CURRENT_USER\Software\Ukqmedia]
[HKEY_USERS\S-1-5-21-2832182-2529317273-379697349-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Ukqmedia"=-
[-HKEY_USERS\S-1-5-21-2832182-2529317273-379697349-1000\Software\Ukqmedia]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Ukqmedia"=-
[HKEY_USERS\S-1-5-21-2832182-2529317273-379697349-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Ukqmedia"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Ukqmedia"=-
[HKEY_USERS\S-1-5-21-2832182-2529317273-379697349-1000\Software\Microsoft\Windows\CurrentVersion\Run]
"Ukqmedia"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\494CCA735A732EB5E91614718216B7B3]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F5AB605A36C74D5B8664337022054620]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

2. Zrób ponownie szukanie SystemLookiem. Taki sam skrypt jak w poprzednim poście.

[tentato]

Raport po restarcie OLT: Dostępne tylko dla zarejestrowanych użytkowników
Log po skanowaniu OLT : Dostępne tylko dla zarejestrowanych użytkowników
SystemLook log : Dostępne tylko dla zarejestrowanych użytkowników

ESET coś tam jeszcze złapał: Eset scan log : Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Czyli w systemie dalej coś siedzi.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL

:Files
C:\ProgramData\Microsoft\BingDesktop\BingCore
C:\Users\All Users\Microsoft\BingDesktop\BingCore
C:\Users\tom\AppData\Roaming\Adobe

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\494CCA735A732EB5E91614718216B7B3]
"92B6D5B2843740449B295B754B1D0F55"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\494CCA735A732EB5E91614718216B7B3]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F5AB605A36C74D5B8664337022054620]
"F57678BE182576745AB4133971492CD3"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F5AB605A36C74D5B8664337022054620]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths]
"url1"=-
[HKEY_USERS\S-1-5-21-2832182-2529317273-379697349-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths]
"url1"=-

:Commands
[Reboot]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Pokaż raport.

2. Zrób skan alternatywnym narzędziem antywirusowym Dostępne tylko dla zarejestrowanych użytkowników. Domyślnie Kaspersky robi skan ekspresowy, w konfiguracji zaznacz skan pełny dysku C:\.

[tentato]

Log OLT : Dostępne tylko dla zarejestrowanych użytkowników
Pełny skan KVRT trwa...
2:38 minut - 68%

[djarta]

Napisz co wykryje KVRT.

[tentato]

KVRT znalazł to : Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

KVRT wykryl tylko pliki w kwarantannie OTL.
ESET cos jeszcze znajduje?