sprawdzenie logów otl

[mariola1504]

Witam, proszę o sprawdzenie logów otl. Na mój komputer wkradł się wirus ,,Twój komputer został zablokowany przez policje polska"... Trojan ukash? Komputer działa tylko w trybie awaryjnym na koncie administratora. Nie ma połączenia z internetem. Proszę o pomoc.

OTL: Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS: Dostępne tylko dla zarejestrowanych użytkowników

Proszę jednocześnie o ,,łopatologiczne instrukcje", gdyż kompletnie nie znam się na komputerach.
Z góry dziękuję.

[kominekl]

"InstallShield_{6CA897D0-67F5-4F75-8261-DC8BFCA6DA42}" = Acer eLock Management
"Softonic-Eng7 Toolbar" = Softonic-Eng7 Toolbar
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Softonic Toolbar
"{889DF117-14D1-44EE-9F31-C5FB5D47F68B}" = Yontoo 1.10.02
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"ie7" = Windows Internet Explorer 7

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Disabled | Stopped] -- C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe -- (StarWindServiceAE)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\HP\Digital Imaging\bin\hpqcxs08.dll -- (hpqcxs08)
SRV - File not found [Disabled | Stopped] -- C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\COMMON~1\SYMANT~1\SymcData\IDS-DI~1\20070308.002\symidsco.sys -- (SYMIDSCO)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\NSNDIS5.SYS -- (NSNDIS5)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (akoo2eeq)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adusbser.sys -- (adusbser)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (abaukf90)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {E7DCA9D6-778C-431F-BDCD-D76CE47F8E21}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{E7DCA9D6-778C-431F-BDCD-D76CE47F8E21}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\..\SearchScopes,DefaultScope = {5D68DB36-A86E-497E-8915-4429F457F242}
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\..\SearchScopes\{5D68DB36-A86E-497E-8915-4429F457F242}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&ei=utf-8&fr=b1ie7
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
O3 - HKU\S-1-5-21-1238323042-557725345-596786895-500\..\Toolbar\ShellBrowser: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - No CLSID value found.
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.5.0_10)
[2013-02-03 18:26:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Local Settings\Application Data\Temp

:Files
C:\Program Files\Google\Update
C:\FOUND.*
C:\Program Files\LM_DEMO.EXE
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Administrator\Desktop\1234.exe
C:\Documents and Settings\All Users\Application Data\Tarma Installer
C:\Documents and Settings\All Users\Application Data\{F0489EF2-D393-4114-85BA-A94D71D89543}
C:\Documents and Settings\user\Application Data\PriceGong

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL.

[mariola1504]

Przy próbach odinstalowania wyskakuje komunikat: ,,Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli system Windows jest uruchomiony w trybie awaryjnym lub Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem pomocy technicznej, aby uzyskać pomoc."

-- 06 lut 2013, 01:50 --

EXTRAS:
Dostępne tylko dla zarejestrowanych użytkowników

OTL"
Dostępne tylko dla zarejestrowanych użytkowników

AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników

TDSSkiller:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Przy próbach odinstalowania wyskakuje komunikat: ,,Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli system Windows jest uruchomiony w trybie awaryjnym lub Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem pomocy technicznej, aby uzyskać pomoc."

Użyj do tego Revo Uninstaller`a w trybie zaawansowanym -> Dostępne tylko dla zarejestrowanych użytkowników.

00:18:46.0015 1072 C:\WINDOWS\system32\Drivers\sptd.sys - copied to quarantine

Usunąłeś sobie sterownik napędu wirtualnego.

Logi.

Po deinstalacji podaj log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

[mariola1504]

log z Autoruns
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Wszystko.

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Wszystko.

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Drivers32

vidc.asv2

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

igfxcui

Logi.

Następnie podajesz nowe logi z OTL.

[mariola1504]

Bardzo bym prosiła o dokładną instrukcję krok po kroku, co mam zrobić, ponieważ jestem całkowicie zielona w tym temacie. O możliwości rowiązania mojego problemu poprzez program OTL, dowiedziałam się tylko z internetu. Z góry dziękuję

[kominekl]

Bardzo bym prosiła o dokładną instrukcję krok po kroku, co mam zrobić, ponieważ jestem całkowicie zielona w tym temacie. O możliwości rowiązania mojego problemu poprzez program OTL, dowiedziałam się tylko z internetu. Z góry dziękuję

To są klucze, które w Autoruns odnajdujesz i usuwasz poszczególne wpisy .

[mariola1504]

Wykonałam poleceia wg.instrukcji
Oto nowe logi z OTL:

EXTRAS:
Dostępne tylko dla zarejestrowanych użytkowników


OTL:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Wykonałam poleceia wg.instrukcji
Oto nowe logi z OTL:

EXTRAS:
Dostępne tylko dla zarejestrowanych użytkowników


OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Yyy, ale Ty tu wszystko poodznaczałaś, a nie te wpisy w kluczach o które prosiłem .

[mariola1504]

usunełam podane pliki w Autoruns z zakładki everything (delete-->tak). Nie wiem, w jaki inny sposób mam to zrobić Nie odznaczałam opcji, tylko usuwałam..

[kominekl]

usunełam podane pliki w Autoruns z zakładki everything (delete-->tak). Nie wiem, w jaki inny sposób mam to zrobić Nie odznaczałam opcji, tylko usuwałam..

Podaj nowy log z Autoruns. namieszane tu strasznie jest.

[mariola1504]

extras:
Dostępne tylko dla zarejestrowanych użytkowników

otl
Dostępne tylko dla zarejestrowanych użytkowników

-- 08 lut 2013, 15:58 --

za chwilke z autoruns

-- 08 lut 2013, 16:01 --

autoruns:
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1238323042-557725345-596786895-500\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-02-08 10:48:33 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Administrator\Desktop\Autoruns(1)
[2013-02-07 02:30:16 | 002,617,648 | ---- | C] (VS Revo Group Ltd.) -- C:\Documents and Settings\Administrator\Desktop\revosetup.exe
[2013-02-06 00:18:45 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine

:Services
gupdate
gupdatem

:Files
C:\FOUND.*
C:\Documents and Settings\All Users\Application Data\RFA_Backups
C:\Documents and Settings\All Users\Application Data\TEMP

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0150100}" = J2SE Runtime Environment 5.0 Update 10

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.3 - Polish

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

"KLiteCodecPack_is1" = K-Lite Mega Codec Pack 5.9.0

Odinstaluj i zainstaluj najnowszą wersję -> Dostępne tylko dla zarejestrowanych użytkowników.

Kroki Finalizujące.

Przeczyść dysk i rejestr CCleaner`em -> Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware (nie gódź się na wersję testową) -> Dostępne tylko dla zarejestrowanych użytkowników, jeśli coś znajdzie usuń i daj raport.

[mariola1504]

Malwarebytes po usunięciu trojana:
Dostępne tylko dla zarejestrowanych użytkowników

Co mam zrobić ikonką na pulpicie po której ,,ściągnięciu" zaatakował mnie wirus? Po prostu usunąć? Czy odinstalowac?