Sprawdzenie logów!

[kkresio]

Witam ponownie!
Bardzo proszę o sprawdzenie logów z OTL, dodatkowo załączam raport z Malwarebytes Anti-Malware.

Poprzednio uzyskałem tu pomoc w pełni profesjonalną, problem udało się rozwiązać. Tym razem de facto problemu nie widzę, ale chcę usprawnić pracę lapka, widzę że jest tu sporo syfu, nie wiem jak w AutoStarcie - jakie pierdoły się włączają. A i rejestr pewnie też przydałoby się przeczyścić.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Malware: Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Tym razem de facto problemu nie widzę, ale chcę usprawnić pracę lapka, widzę że jest tu sporo syfu, nie wiem jak w AutoStarcie - jakie pierdoły się włączają. A i rejestr pewnie też przydałoby się przeczyścić.

Zabawa szykuję się tu przednia. Pomijając bzdety w stylu trojanów kradnących hasło do Tibii to mamy tu Conficker`a.

O33 - MountPoints2\{31f28140-5e10-11e2-99e4-000e50f22bea}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion.

"{3611CA6C-5FCA-4900-A329-6A118123CCFC}" = Bing Bar
"SkanerOnline" = Skaner on-line mks_vir

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\stwcd.dll -- (yxftii)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (avv4pbn8)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (aarisut3)
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=110819&tt=280612_6_&babsrc=SP_ss&mntrId=0cd50f0c000000000000005345000000
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT1060933
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
[2012-08-15 17:59:45 | 000,550,833 | ---- | M] () (No name found) -- C:\Documents and Settings\Malas Rubias\Dane aplikacji\Mozilla\Firefox\Profiles\deiwok4f.default\extensions\DivXWebPlayer@divx.com.xpi
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll File not found
O2 - BHO: (Giant Savings) - {11111111-1111-1111-1111-110011441179} - C:\Program Files\Giant Savings\Giant Savings.dll File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe File not found
O4 - HKLM..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run File not found
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} Dostępne tylko dla zarejestrowanych użytkowników (MksSkanerOnline Class)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.5.0_06)
[2013-03-27 19:56:59 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013-03-10 15:03:37 | 011,757,776 | ---- | C] (Podatnik.info sp. z o.o.) -- C:\Documents and Settings\Malas Rubias\Pulpit\Instaluj_PIT_pro_2012.exe

:Files
C:\Documents and Settings\Malas Rubias\Menu Start\Programy\Autostart\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk
C:\WINDOWS\tasks\*.*

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z Combofix + log z TDSSKiller + nowe logi z OTL.

[kkresio]

Witaj kominekl. Wróciłem do domu na święta i włączyłem lapka rodziców - sam widzisz co się tu znajduje Zobaczą jakiś banner i wchodzą. A nie mam tu żadnego antywirusa (jak zauważyłeś był jakiś skaner on-line MKSVir), bo internet jest słaby, a w dodatku jakby włączył się jakiś alert o infekcji to nie wiedzieliby co zrobić. Więc wolałem uniknąć telefonów typu: "...coś mi tu wyskoczyło i co kliknąć i którym przyciskiem myszy..." (to mnie rozwala).

Poniżej logi.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Witaj kominekl. Wróciłem do domu na święta i włączyłem lapka rodziców - sam widzisz co się tu znajduje Zobaczą jakiś banner i wchodzą. A nie mam tu żadnego antywirusa (jak zauważyłeś był jakiś skaner on-line MKSVir), bo internet jest słaby, a w dodatku jakby włączył się jakiś alert o infekcji to nie wiedzieliby co zrobić. Więc wolałem uniknąć telefonów typu: "...coś mi tu wyskoczyło i co kliknąć i którym przyciskiem myszy..." (to mnie rozwala).

Rozumiem cię . Przypomnij mi potem, gdy skończymy już logi, abym przedstawił Ci mój pomysł antywirusa.

USBFix.

Odinstaluj.

ADWCleaner.

Odinstaluj.

Combofix.

Wklej do notatnika:

File::
c:\documents and settings\Malas Rubias\Menu Start\Programy\Autostart\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
c:\documents and settings\All Users\Menu Start\Programy\Autostart\Bluetooth Manager.lnk
C:\error.txt
C:\hpfr3600.log
C:\mksbasel.cpp.log
C:\UsbFix.txt
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part1.rar
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part2.rar
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part3.rar
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part4.rar
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part5.rar
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part6.rar
D:\Mirrors Edge PL PC (NAPISY DUBBING PL).part7.rar

Folder::
C:\UsbFix
C:\Config.Msi
C:\TDSSKiller_Quarantine
C:\RECYCLER
D:\RECYCLER
H:\RECYCLER
I:\RECYCLER
J:\RECYCLER
C:\Config.Msi

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"=-
"RTHDCPL"=-
"ISUSPM Startup"=-
"ISUSScheduler"=-
"ATICCC"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"=-
[-HKLM\~\startupfolder\C:^Documents and Settings^Malas Rubias^Menu Start^Programy^Autostart^Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ALLUpdate]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DeviceDiscovery]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8906:TCP"=-
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pnmltw]

NetSvc::
yxftii
pnmltw

Driver::
yxftii
pnmltw

Plik -> zapisz jako -> CFScript.txt . Następnie podłącz pamięci przenośne w taki sam sposób, co poprzednio. Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe:



Rozpocznie się usuwanie i powstanie log, który dajesz na forum.

[kkresio]

Sądziłem, że zaznaczyłem opcję informowania o odpowiedzi - jednak nie, stąd taka obsuwa czasowa
Będę pamiętał, żeby Ci przypomnieć.
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Sądziłem, że zaznaczyłem opcję informowania o odpowiedzi - jednak nie, stąd taka obsuwa czasowa
Będę pamiętał, żeby Ci przypomnieć.
Dostępne tylko dla zarejestrowanych użytkowników

Znakomicie . W START -> URUCHOM -> wklej -> "c:\documents and settings\Malas Rubias\Moje dokumenty\Pobieranie\ComboFix.exe" /uninstall . Następnie podaj nowe logi z OTL.

[kkresio]

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\MALASR~1\USTAWI~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (am9jctgy)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ab7b3qjo)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
[2013-03-28 11:52:38 | 000,817,280 | ---- | M] () (No name found) -- C:\Documents and Settings\Malas Rubias\Dane aplikacji\Mozilla\Firefox\Profiles\deiwok4f.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
O3 - HKLM\..\Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found.
[2013-03-28 22:51:55 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013-03-19 19:07:52 | 000,000,939 | ---- | M] () -- C:\Documents and Settings\All Users\Pulpit\Zakup materiałów eksploatacyjnych - HP Deskjet 1050 J410 series.lnk

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Autoruns.

[kkresio]

Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Autoruns.

W trybie awaryjnym, w Autoruns odznacz, a następnie usuń (co się będzie dało):

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Książka adresowa 6
Microsoft Outlook Express 6

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

0

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

Ati HotKey Poller
JavaQuickStarterService
Microsoft Office Groove Audit Service
MozillaMaintenance
odserv
ose
WMPNetworkSvc

HKLM\System\CurrentControlSet\Services

Wszystko z frazą -> File Not Found.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

AtiExtEvent

Logi.

Następnie podajesz nowe logi z OTL.

[kkresio]

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

nie widzę nic w trybie awaryjnym - w trybie normalnym odznaczyłem uruchamianie

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

nie można usunąć:

Error changing item state: Nie można odnaleźć określonego pliku

później

Error deleting start setting....

Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Unknown] -- -- (at20ecsh)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (adg2c0gs)
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
O2 - BHO: (no name) - AutorunsDisabled - No CLSID value found.

:Files
RECYCLER /alldrives
C:\Documents and Settings\Malas Rubias\Pulpit\AutoRuns.arn

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HControl"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL -> Sprzątanie.

Internet Explorer (Version = 7.0.5730.13)

Zaktualizuj IE do Dostępne tylko dla zarejestrowanych użytkowników (nawet, jeśli go nie używasz).

"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java(TM) 6 Update 27
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"{F9000000-0018-0000-0000-074957833700}" = ABBYY FineReader 9.0 Sprint
"ABBYY FineReader 9.0 Sprint" = ABBYY FineReader 9.0 Sprint
"Foxit Reader" = Foxit Reader

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

"RealAlt_is1" = Real Alternative 1.9.0
"KLiteCodecPack_is1" = K-Lite Codec Pack 7.7.0 (Basic)
"DivX Setup" = DivX Setup

Odinstaluj i zainstaluj Dostępne tylko dla zarejestrowanych użytkowników wersję.

Kroki Finalizujące.

Przeczyść dysk i rejestr Dostępne tylko dla zarejestrowanych użytkowników.
Wykonaj pełne skanowanie Dostępne tylko dla zarejestrowanych użytkowników (nie gódź się na wersję testową), jeśli coś znajdzie usuń i daj raport.

[kkresio]

Dostępne tylko dla zarejestrowanych użytkowników


Napisz też o pomyśle na zabezpieczenie lapka przed wirusami

[kominekl]

Napisz też o pomyśle na zabezpieczenie lapka przed wirusami

Proponuję stosować tu układ zdrowego rozsądku, szybkie skanowania Malwarebytes`em podczas ewentualnych przelewów, oraz raz na dwa tygodnie stosowanie pełnych skanowań systemu tymże programem.

Usuwanie OTL

OK. Wykonaj resztę instrukcji.

[kkresio]

Dostępne tylko dla zarejestrowanych użytkowników

jednak coś jeszcze tu wyszukał, robię skan Malwarem ponownie