proszę o sprawdzenie mojego logu HIJACKTHIS oraz OTL

[pawel_zab]

proszę o sprawdzenie mojego logu , ponieważ sam tego nie potrafię:

Dostępne tylko dla zarejestrowanych użytkowników

z góry dziękuję za pomoc.

Pawel Zab

[cosik_ktosik]

Z tego co wiem to ten log dzisiaj jest przestarzały, więc daj naszym specom logi, o których tu pisze http://forum.hotfix.pl/bezpieczenstwo/regulamin-bezpiecze-stwa-t19001.html

[kominekl]

HijackThis.

W HijackThis zafixuj:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;127.0.0.1:9421;<local>
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "E:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] E:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NSU_agent] "E:\Program Files\Nokia\Nokia Software Updater\nsu3ui_agent.exe"
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NSU_agent] "E:\Program Files\Nokia\Nokia Software Updater\nsu3ui_agent.exe"
O4 - HKLM\..\Run: [HP Software Update] E:\Program Files\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HF_G_Jul] "E:\Program Files\AVG Secure Search\HF_G_Jul.exe" /DoAction
O4 - HKLM\..\Run: [ROC_ROC_JULY_P1] "E:\Program Files\AVG Secure Search\ROC_ROC_JULY_P1.exe" / /PROMPT /CMPID=ROC_JULY_P1
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "E:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [SwitchBoard] E:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "E:\Program Files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "E:\Documents and Settings\marcia\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [Akamai NetSession Interface] "E:\Documents and Settings\marcia\Ustawienia lokalne\Dane aplikacji\Akamai\netsession_win.exe"
O4 - HKCU\..\Run: [PC Suite Tray] "C:\ProgramData\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: CodeMeter Control Center.lnk = E:\Program Files\CodeMeter\Runtime\bin\CodeMeterCC.exe
O4 - Startup: Windows Login.lnk = E:\Documents and Settings\marcia\Ustawienia lokalne\Temp\JMstart.exe
O23 - Service: Autodesk Licensing Service - Autodesk - E:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - E:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia - E:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - E:\Program Files\Skype\Updater\Updater.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - E:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

Dalsze Kroki.

Następnie podaj logi, do których linkuje Administrator, ponieważ tak, jak on mówi HijackThis to już przeżytek.

[pawel_zab]

Dziękuję za sprawdzenie loga z HijackThis użytkownikowi kominekl.

Tymczasem, zgodnie z wymaganiami podaję resztę informacji:

System Windows XP Professional SP 3 32 bit.
-Problem polega na tym, iż czasami zdarza się, że po starcie systemu pojawia się pusty pulpit "czarny",
ale po użyciu ctrl/alt/del i uruchomieniu menedżera system pokazuje normalnie intefejs.
-wczoraj zauważyliśmy, że system lub "ktoś" założył nowe konto użytkownika z .NET w nazwie. Moja dziewczyna usunęła to konto.
-Po tym skasowaniu konta zaczęło wyskakiwać przy starcie systemu okno logowania. Wcześniej tuż po instalacji systemu własnoręcznie wyłączyłem tę denerwującą opcje zmieniając zgodnie z instrukcją odpowiednią wartość w odnośnym kluczu rejestru. Jako, że nie było założonego hasłą, w oknie tym klikamy enter i system otwiera się, czasami prowadząc do wsponianego problemu z "czarnym ekranem".
-Nie wyskakują żadne ostrzeżenia lub błędy.

Dotychczas skanowaliśmy i czyściliśmy programem CCleaner oraz wykonaliśmy "fixowanie" podanych elementów HijackThis'em (patrz post użytkownika kominekl).

Oto logi z programu OTL

1. OLT.Txt
Dostępne tylko dla zarejestrowanych użytkowników

2. Extras.Txt
Dostępne tylko dla zarejestrowanych użytkowników

Oto log z programu ADW Cleaner

Dostępne tylko dla zarejestrowanych użytkowników

najnowsze info: Zapuściłem GMER'a, zostawiłem go na 2-3 godziny. Po przyjściu, System był zrestartowany. Wyskoczył komunikat Windows pt. System odzyskał sprawność działania po poważnym błędzie.
Utworzono dziennik tego błędu.
Sygnatura błędu:
BCCode: 100000d1
BCP1: 02130040
BCP2: 00000002
BCP3: 00000000
BCP4: F7480AF2
OSVer: 5_1_2600
SP: 3_0
Product: 256_1

Następujące pliki zostaną dołączone do tego raportu o błędach:
E:\DOCUME~1\marcia\USTAWI~1\Temp\WER979c.dir00\Mini100612-01.dmp
E:\DOCUME~1\marcia\USTAWI~1\Temp\WER979c.dir00\sysdata.xml

..

[kominekl]

"{1AE46C09-2AB8-4EE5-88FB-08CD0FF7F2DF}" = Bing Bar
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"uTorrentBar Toolbar" = uTorrentBar Toolbar
"Akamai" = Akamai NetSession Interface

Odinstaluj to oprogramowanie.

Combofix.

Pobierz Go na pulpit (nie uruchamiaj) -> Dostępne tylko dla zarejestrowanych użytkowników. Następnie wejdź w START -> URUCHOM -> i wklej tam -> "E:\Documents and Settings\marcia\Pulpit\Combofix.exe" /uninstall .

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- %SystemRoot%\PCHealth\HelpCtr\Binaries\pchsvc.dlles\pchsvc.dll -- (helpsvc)
DRV - File not found [Kernel | Disabled | Stopped] -- system32\DRIVERS\s24trans.sys -- (s24trans)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\DOCUME~1\marcia\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1960408961-796845957-1177238915-1003\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - E:\Program Files\uTorrentBar\prxtbuTo2.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1960408961-796845957-1177238915-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1960408961-796845957-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1960408961-796845957-1177238915-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{E1B76DCA-7911-4084-8B9A-FAAB97E10C36}&mid=689f945f5d06250aebbc7c2b4f4a850b-be44dc5e05537cca8ef9cc349948243abb14d86c&lang=pl&ds=AVG&pr=fr&d=2012-06-08 10:17:43&v=12.2.5.32&sap=dsp&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "AVG Secure Search"
FF - prefs.js..extensions.enabledAddons: avg@toolbar:12.2.5.32
FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:2.7.2.0
FF - prefs.js..extensions.enabledItems: {1E73965B-8B48-48be-9C8D-68B920ABC1C4}:10.0.0.1423
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.9.0.9216
FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.746
FF - prefs.js..keyword.URL: "https://isearch.avg.com/search?cid=%7Bd727fead-aae0-49d2-bcbe-7f87685be2b7%7D&mid=689f945f5d06250aebbc7c2b4f4a850b-be44dc5e05537cca8ef9cc349948243abb14d86c&ds=AVG&v=12.2.5.32&lang=pl&pr=fr&d=2012-06-08%2010%3A17%3A43&sap=ku&q="
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Documents and Settings\marcia\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Documents and Settings\marcia\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
[2011-02-06 20:12:08 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- E:\Documents and Settings\marcia\Dane aplikacji\Mozilla\Firefox\Profiles\vgv87eze.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2012-09-20 16:28:09 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- E:\Documents and Settings\marcia\Dane aplikacji\Mozilla\Firefox\Profiles\vgv87eze.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}

:Files
E:\Documents and Settings\marcia\Ustawienia lokalne\Dane aplikacji\Google\Update
E:\ComboFix
E:\Qoobox
E:\WINDOWS\erdnt
E:\Program Files\Trend Micro
E:\WINDOWS\tasks\*.*
E:\Documents and Settings\All Users\Dane aplikacji\avg9
E:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess
E:\Documents and Settings\marcia\Dane aplikacji\zvprt40

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[pawel_zab]

Dzięki,

Oto log z usuwanie OLT:
Dostępne tylko dla zarejestrowanych użytkowników

Oto log ze skanowania AdwCleanerem, opcja delete:
Dostępne tylko dla zarejestrowanych użytkowników

Oto log ze skanowania TDSS Killerem:
Dostępne tylko dla zarejestrowanych użytkowników

Oto link do pliku ze skanowania autorunsem:
Dostępne tylko dla zarejestrowanych użytkowników

oraz najnowszy log z OTL:
Dostępne tylko dla zarejestrowanych użytkowników

dzięki za pomoc!
pozdrowienia,

Pawel

[kominekl]

Combofix.

Nie wykonano mojego zalecenia - popraw to teraz.

ADWCleaner.

Uninstall.

Autoruns.

W Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

NvCplDaemon
vProt

E:\Documents and Settings\All Users\Menu Start\Programy\Autostart

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\System\CurrentControlSet\Services

Autodesk Licensing Service
BBSvc
BBUpdate
CodeMeter.exe
FLEXnet Licensing Service
MozillaMaintenance
NVSvc
ose
SkypeUpdate
SRS_PostInstaller
SwitchBoard
vToolbarUpdater12.2.6
WmdmPmSN
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystkie -> File Not Found.

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Wszystko.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- E:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe -- (vToolbarUpdater12.2.6)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
O4 - HKLM..\Run: [vProt] "E:\Program Files\AVG Secure Search\vprot.exe" File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0)

:Files
E:\TDSSKiller_Quarantine
E:\WINDOWS\erdnt
E:\32788R22FWJFW
RECYCLER /alldrives
E:\Documents and Settings\All Users\Pulpit\AutoRuns.zip
E:\Documents and Settings\All Users\Pulpit\AutoRuns.rar
E:\Documents and Settings\Administrator\Pulpit\AutoRuns.arn

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[pawel_zab]

1. zalecenie wykonane
2.najnowszy log z otl
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

1. zalecenie wykonane

Nie do końca, bo części Combofix`a są widoczne, a to co podałem wcześniej je niszczy.

Reasumacja.

Sprawdzimy w nowych logach.