Nowy wirus ze Skype'a

[roman89]

Witajcie też mam jakiś problem z tymi wirusami pomoże ktoś wklejam logi z Hijackthis
jesli jest różnica miedzy OTL to moge zrobic i take dajcie znać

Dostępne tylko dla zarejestrowanych użytkowników

pOZDRAWIAM

-- 14 paź 2012, 14:56 --

Dostępne tylko dla zarejestrowanych użytkowników - Exstras

Dostępne tylko dla zarejestrowanych użytkowników OTL

wklejam też logi z OTL
Pomóżcie

[kominekl]

roman89

Każdy użytkownik ma mieć odrębny temat. Pamiętaj na przyszłość, wyodrębnimy ten temat sami tym razem.

HijackThis.

Różnica jest taka, że on jest już przestarzały. Natomiast obecne zafixuj w nim:

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Package\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Package\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe
O4 - HKLM\..\Run: [AmIcoSinglun] C:\Program Files\AmIcoSingLun\AmIcoSinglun.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [UpdateLBPShortCut] "C:\Program Files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.0"
O4 - HKLM\..\Run: [UpdateP2GoShortCut] "C:\Program Files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0"
O4 - HKLM\..\Run: [UpdatePPShortCut] "C:\Program Files\CyberLink\PowerProducer\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\PowerProducer" update "Software\CyberLink\PowerProducer\4.0"
O4 - HKLM\..\Run: [UpdatePSTShortCut] "C:\Program Files\CyberLink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter"
O4 - HKLM\..\Run: [Windows Mobile Device Center] %windir%\WindowsMobile\wmdc.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ADSMTray] C:\Program Files\ASUS\ASUS Data Security Manager\ADSMTray.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AFBAgent - ASUSTeK Computer Inc. - C:\Windows\system32\FBAgent.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Windows\System32\nvSCPAPISvr.exe

"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"ASUS_Screensaver" = ASUS_Screensaver

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[roman89]

Dostępne tylko dla zarejestrowanych użytkowników - z usówania
Dostępne tylko dla zarejestrowanych użytkowników -z TDSSKiller

Nie wiedziałem że tak trzeba będe pamiętał o tym żeby robic osobne tematy

-- 15 paź 2012, 00:06 --

Dostępne tylko dla zarejestrowanych użytkowników - Extras
Dostępne tylko dla zarejestrowanych użytkowników - OTL może się przyda

wrzucam bo mi komp dalej chodzi mi wolno: 80% pracy procesora a nic nierobie a procesy jak wyłączam to same sie spowrotem uruchamiają

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (arsxpkfo)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AmUStor.SYS -- (AmUStor)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3678546386-90893482-1198141425-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3678546386-90893482-1198141425-1000\..\SearchScopes,DefaultScope = {7DA84163-0A47-428C-A496-75D8C18B54DE}
IE - HKU\S-1-5-21-3678546386-90893482-1198141425-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3678546386-90893482-1198141425-1000\..\SearchScopes\{7DA84163-0A47-428C-A496-75D8C18B54DE}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
IE - HKU\S-1-5-21-3678546386-90893482-1198141425-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[roman89]

Dostępne tylko dla zarejestrowanych użytkowników - usuwania

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników -OTL

Dostępne tylko dla zarejestrowanych użytkowników -Extras

[kominekl]

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

Adobe LM Service
AFBAgent
ATKGFNEXSrv
MozillaMaintenance
nvsvc
Stereo Service
WinDefend
WMPNetworkSvc

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Providers

Wszystko.

HKCU\Control Panel\Desktop\Scrnsave.exe

Wszystko.

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Wszystko.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (a4gcnpjk)

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[roman89]

Dostępne tylko dla zarejestrowanych użytkowników - usuwanie

Dostępne tylko dla zarejestrowanych użytkowników
mam tam kilka ścieżek podświetlonych na czerwono to oznacza że to wirusy?

Dostępne tylko dla zarejestrowanych użytkowników - extras

Dostępne tylko dla zarejestrowanych użytkowników - OTL

[kominekl]

mam tam kilka ścieżek podświetlonych na czerwono to oznacza że to wirusy?

Nie.

ESET.

On nie działa. Wywal go tym -> Dostępne tylko dla zarejestrowanych użytkowników i podaj nowe logi z OTL.

[roman89]

Dostępne tylko dla zarejestrowanych użytkowników otl

Dostępne tylko dla zarejestrowanych użytkowników EX

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (axv9rayr)
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Internet Explorer (Version = 8.0.7601.17514)

Zaktualizuj IE do najnowszej wersji (nawet, jeśli Go nie używasz)- > Dostępne tylko dla zarejestrowanych użytkowników.

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java(TM) 6 Update 29

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1033-7B44-A92000000001}" = Adobe Reader 9.2

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[roman89]

Dostępne tylko dla zarejestrowanych użytkowników -nic nie wykrył skan

Dostępne tylko dla zarejestrowanych użytkowników - usuwanie

ciągle w menadżerze zadań mam otwartych 9 - 10 procesów svchost.exe i nawet jeden z nich jest na pierwszym miejscu i pobiera ok 100 000 K pamieci

to chyba źle ?

[kominekl]

to chyba źle ?

Taka ilość jest normalna .

[roman89]

czyli teraz już wszytko wporządku ?

a tak jeszcze chciałbym zapytać jak się nauczyć\, aby odczytywać te logi z OTL żeby wam nie zawracać głowy ?

[kominekl]

a tak jeszcze chciałbym zapytać jak się nauczyć\, aby odczytywać te logi z OTL żeby wam nie zawracać głowy ?

Zawracaj śmiało . Trzeba znać budowę systemu.