Pomoc w usunięciu Dorkbot.B

Post04 maja 2013, 15:06

Witam
Dzisiaj po podłączeniu mojego dysku zewnętrznego okazało się ,że został on zainfekowany robakiem Dorkbot.B
Udało mi się już odzyskać wszystkie pliki , jednak po przeskanowaniu komputera za pomocą ESET Nod Antyvirus okazało się, że robak nadal siedzi na moim dysku i nie da się go usunąć. Poczytałem trochę na różnych forach i wrzucam swój skan z OTL. Z góry dziękuję za pomoc

Kod: Zaznacz cały

Pamięć operacyjna » iexplore.exe(3780) - odmiana zagrożenia Win32/Dorkbot.B robak - nie można wyleczyć

OTL.txt
Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt
Dostępne tylko dla zarejestrowanych użytkowników

dorzucam skan z USBfix
Dostępne tylko dla zarejestrowanych użytkowników

Post04 maja 2013, 22:14

USBFix.

Po podłączeniu wszelkich posiadanych przez siebie pamięci przenośnych użyj Go z opcji Deletion i zaprezentuj otrzymany log

.

"Akamai" = Akamai NetSession Interface
"Usbfix" = UsbFix By El Desaparecido

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
CHR - Extension: Dokumenty Google = C:\Users\Adek\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\
CHR - Extension: Dysk Google = C:\Users\Adek\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\
CHR - Extension: YouTube = C:\Users\Adek\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Szukaj w Google = C:\Users\Adek\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: IDM Integration = C:\Users\Adek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jmolcgpienlcieaajfkkdamlngancncm\6.12.25.1_0\
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - Startup: C:\Users\Adek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Intel(R) Turbo Boost Technology Monitor 2.0.lnk = File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O4 - HKCU..\Run: [Hegqgx] C:\Users\Adek\AppData\Roaming\Hegqgx.exe ( )
O8:64bit: - Extra context menu item: E&xport to Microsoft Excel - res://D:\Programy\MISCRO~1\Office14\EXCEL.EXE/3000 File not found
O8:64bit: - Extra context menu item: Se&nd to OneNote - res://D:\Programy\MISCRO~1\Office14\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\Programy\MISCRO~1\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Se&nd to OneNote - res://D:\Programy\MISCRO~1\Office14\ONBttnIE.dll/105 File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-05-04 14:47:44 | 000,000,000 | ---D | C] -- C:\UsbFix
[2013-05-04 14:47:29 | 001,046,883 | ---- | C] (El Desaparecido - SosVirus.org) -- C:\Users\Adek\Desktop\UsbFix.exe
[2013-04-15 21:38:19 | 000,000,000 | RH-D | C] -- C:\MSOCache
[2013-04-10 10:18:04 | 001,093,632 | ---- | C] (Karol Winnicki) -- C:\Users\Adek\Desktop\BESTplayer.exe
[2013-04-09 23:14:27 | 000,000,000 | -H-D | C] -- C:\Program Files (x86)\Temp
[2013-05-04 14:54:36 | 000,000,030 | ---- | M] () -- C:\Users\Adek\Desktop\fix.bat

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z TDSSKiller + nowe logi z OTL.

Post05 maja 2013, 11:14

log z USBfix
Dostępne tylko dla zarejestrowanych użytkowników

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników

log z TDSSKiller
Dostępne tylko dla zarejestrowanych użytkowników

oraz nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post05 maja 2013, 15:30

USBFix.

Odinstaluj.

ESET.

Odinstaluj. Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Z podłączonymi wszystkimi pamięciami przenośnymi uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-05-05 10:54:38 | 002,066,480 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Adek\Desktop\TDSSKiller.exe
[2013-04-10 10:22:24 | 000,000,000 | ---D | C] -- C:\Users\Adek\AppData\Local\ESET
[2013-04-09 22:51:58 | 000,000,000 | ---D | C] -- C:\Users\Adek\AppData\Local\Lollipop
[2013-04-09 22:32:14 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET
[2013-04-09 22:32:14 | 000,000,000 | ---D | C] -- C:\ProgramData\ESET

:Files
$Recycle.Bin /alldrives
C:\MSOCache
C:\UsbFix
C:\UsbFix [Clean 1] ADEK-KOMPUTER.txt
C:\UsbFix [Scan 1] ADEK-KOMPUTER.txt
H:\msdownld.tmp

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post05 maja 2013, 16:09

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
log z usuwania ESET
Dostępne tylko dla zarejestrowanych użytkowników
nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post05 maja 2013, 16:21

"Akamai" = Akamai NetSession Interface

Nie odinstalowałeś. Odinstaluj to.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found
[2013-05-05 15:36:28 | 000,663,552 | ---- | C] (ESET) -- C:\Users\Adek\Desktop\ESETUninstaller.exe
[2013-04-16 11:10:05 | 000,000,000 | ---D | C] -- C:\Users\Adek\AppData\Local\Akamai

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post05 maja 2013, 16:42

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
nowe logi OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post05 maja 2013, 21:24

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
O4:64bit: - HKLM..\Run: [IntelTBRunOnce] wscript.exe //b //nologo "C:\Program Files\Intel\TurboBoost\RunTBGadgetOnce.vbs" File not found
O4 - HKCU..\Run: [Akamai NetSession Interface] "C:\Users\Adek\AppData\Local\Akamai\netsession_win.exe" File not found
O9:64bit: - Extra 'Tools' menuitem : Send by Bluetooth to - {7815BE26-237D-41A8-A98F-F7BD75F71086} - Reg Error: Value error. File not found

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

Post05 maja 2013, 21:53

log z usuwania
Dostępne tylko dla zarejestrowanych użytkowników
log z Autoruns
Dostępne tylko dla zarejestrowanych użytkowników

Post05 maja 2013, 22:08

Autoruns.

W Autoruns odznacz, a następnie w trybie awaryjnym usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AthBtTray
AtherosBtStack
Autodesk Sync
BCSSync
IntelTBRunOnce
RtHDVBg
RtHDVCpl

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

Task Scheduler

Wszystko.

HKLM\System\CurrentControlSet\Services

AdobeARMservice
AMD External Events Utility
FLEXnet Licensing Service 64
IAStorDataMgrSvc
LMS
Microsoft SharePoint Workspace Audit Service
MozillaMaintenance
ose64
osppsvc
PnkBstrA
SkypeUpdate
TurboBoost
UNS
WinDefend
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

VGPU

Następnie podajesz nowe logi z OTL.

Post05 maja 2013, 22:21

logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post07 maja 2013, 19:53

DrBajtel pisze:logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Nie wyłączyłeś w Autoruns wszystkiego, co się dało

. Popraw w trybie awaryjnym, a następnie podaj nowe logi z OTL.

Post07 maja 2013, 21:08

Wyłączyłem co się dało ;] jednak zostawiłem RtHDVBg oraz RtHDVCpl, ponieważ bez tych dwóch rzeczy znacznie pogarsza mi się jakość dźwięku, zaraz podam nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Post08 maja 2013, 13:52

DrBajtel pisze:Wyłączyłem co się dało ;] jednak zostawiłem RtHDVBg oraz RtHDVCpl, ponieważ bez tych dwóch rzeczy znacznie pogarsza mi się jakość dźwięku, zaraz podam nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników

Nadal nie usunąłeś wszystkiego, co się dało. Rób to w trybie awaryjnym, chodzi głownie o klucz HKLM\System\CurrentControlSet\Services.

Post10 maja 2013, 20:53

usunąłem wszystko w kluczu HKLM\System\CurrentControlSet\Services z tego co miałem odznaczone

nowe logi z OTL
Dostępne tylko dla zarejestrowanych użytkowników