Sprawdzenie logów z OTL

Post15 paź 2015, 22:35

Witam,
chciałem prosić was o sprawdzenie moich logów, gdyż dzisiaj chyba wkradł mi się wirus/robak na komputer z mojego pendrive (na pendrive tworzył się cały czas skrót do moich plików). Poradziłem sobie z nim za pomocą formatowania i programu Malwarebytes Anti-Malware. Niestety nie mogę na razie stwierdzić czy sytuacja się nie powtórzy i czy coś mi nie przeszło na komputer.
Poniżej podaję logi:
OTL
Dostępne tylko dla zarejestrowanych użytkowników
Extras
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję za pomoc.

p.s
Znacie może typ tego wirusa i jak go usunąć całkowicie i na zawsze z komputera, czytałem, że jakąś aktualizacje trzeba ściągnąć na Windowsa, ale wszystkie posty były dość stare więc jak ktoś coś więcej wie będę wdzięczny również za pomoc w tej sprawie.

-- 15 paź 2015, 22:29 --

Na razie nikt mi nie odpisał, ale znalazłem podobny wątek na forum i zastosowałem się do punktów Moderatora Xmen'a w których to pomagał Łukasz0000. bezpieczenstwo/prosba-o-sprawdzenie-logow-t35287.html

Zastosowałem się do wszystkich zaleceń tak jak pisał Xmen (oprócz Malwarebytes Anti-Malware - bo to miałem zainstalowałem sobie wcześniej i niestety nie odznaczyłem okienka ze screena), nie przeprowadziłem
1. Usuń wszystkie punkty przywracania systemu (jest ich b. dużo) i zapisz/utwórz nowy.
Gdyż trochę się boje, że coś sknocę na komputerze i nie będę miał kopi zapasowej, czy zrobienie tego punktu jest ważne, bo wolałbym go zrobić na samym końcu, jak już będzie w miarę pewne, że komputer się wyczyścił?
oraz
4. Sprawdź dysk pod kątem błędów:
ale punkt czwarty puszczę na noc

W linkach daję raporty o które prosił Xmen
FRST
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Malwarebytes Anti-Malware
Dostępne tylko dla zarejestrowanych użytkowników
Jak widać coś mi siedzi na komputerze;/
oraz daję loga
z tego co się orientuję jako laik (mam sporo syfu co mogę odznaczyć lub usunąć ?
Dostępne tylko dla zarejestrowanych użytkowników

Bardzo proszę kogoś o poradę i pomoc
Drogi Xmenie może Ty też coś pomożesz, proszę?

Post16 paź 2015, 12:32

1. Otwórz notatnik i wklej:

CloseProcesses:
S1 qiczecrb; \??\C:\windows\system32\drivers\qiczecrb.sys [X]
S1 uxymphww; \??\C:\windows\system32\drivers\uxymphww.sys [X]
S1 wyrwjsnj; \??\C:\windows\system32\drivers\wyrwjsnj.sys [X]
BootExecute: autocheck autochk /r \??\C:autocheck autochk *
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3.

Ściągnij => Dostępne tylko dla zarejestrowanych użytkowników i go uruchom.
Kliknij Accept
Podłącz wszystkie pamięcie przenośne / pendrive / mp3 itp. wszystko to co posiadasz.
Kliknij w opcje Clean w USBFix
Kliknij OK
Wyskoczy okienko - kliknij No
Rozpocznie się skanowanie i czyszczenie
Wyskoczy okienko, kliknij Ok
Po skanowaniu wyskoczy trzecie okienko - klik na Nie i wyskoczy raport, daj mi go.

4. Wykonaj i wklej nowe logi z FRST.

Post19 paź 2015, 13:25

Przepraszam, że tak długo to trwało, lecz defragmentacja każdego z dysków trwała mi nockę;/
djarta bardzo dziękuję za odpowiedź, zrobiłem wszystko o co prosiłeś, jedynie z USBFix mam problem wyskakuje mi takie coś na końcu skanowania:
AutoIt Error
Line 44879 (File "C:\UsbFix\UsbFix.exe")
Error: Subscript used on non-accessible variable.
i program automatycznie się zamyka. Coś robię nie tak?
Dodaję raport z Adw-cleaner
Dostępne tylko dla zarejestrowanych użytkowników
i raporty z FRST
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Jeszcze po kliknięciu napraw wyskoczył taki plik w notatniku:
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję za wcześniejsza pomoc i bardzo proszę o dalszą:)

Post19 paź 2015, 14:38

Zakładka Logon
(żółte wyłączyć)
Odznacz:
--> rdpclip
--> NvCplDaemon
--> RtHDVCpl
--> GrooveMonitor
--> HP Software Update
--> hpqSRMon
--> CCleaner Monitoring
--> DAEMON Tools Lite
--> Facebook Update
--> HP Digital Imaging Monitor.lnk

wszystko --> HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
wszystko --> HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

Zakładka Explorer
(żółte wyłączyć)
Odznacz:
-->

Zakładka Internet Explorer
(żółte wyłączyć)
(jeśli nie używasz tej przeglądarki to wyłącz wszystko)
Odznacz:
-->

Zakładka Scheduled Tasks
(żółte wyłączyć)
Odznacz:
--> \Adobe Acrobat Update Task
--> \advSRS4
--> \APSchedulerC
--> \BatteryLifeExtender
--> \CCleanerSkipUAC
--> \FacebookUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1000Core
--> \FacebookUpdateTaskUserS-1-5-21-2195184045-3265951034-2981680463-1000UA
--> \Microsoft\Windows\Windows Media Sharing\UpdateLibrary
--> \SamsungSupportCenter
--> \SUPBackground

Zakładka Services
(żółte wyłączyć)
Odznacz:
--> AdobeARMservice
--> fsssvc
--> gusvc
--> hpqcxs08
--> Microsoft Office
--> MozillaMaintenance
--> MsMpSvc
--> Net Driver HPZ12
--> NisSrv
--> nvsvc
--> odserv
--> ose
--> Pml Driver HPZ12
--> RichVideo
--> TSI Mass Storage
--> WMPNetworkSvc
--> WinDefend (jeśli nie używasz)

Zakładka Drivers
(żółte wyłączyć)
Odznacz:
--> qiczecrb
--> .... żółte wyłączyć

Zakładka Sidebar Gadgets
(żółte wyłączyć)
Odznacz:
--> HP Photo Print

Zakładka WMI
(żółte wyłączyć)
Odznacz:
-->

Te żółte to nawet usunąć poprzez "Delete" Ctrl+D

Wykonaj restart systemu.
W razie jak by coś miało chodzić a nie chodzi to włącz to z powrotem.

Post19 paź 2015, 16:40

Dziękuję robiwielki. Jedynie czego nie mogłem wyłączyć do MsMpSuc, a w zakładce Drivers nie miałem qiczecrb.
Myślę, że to na pewno usprawni mój komputer.
Co polecacie na ochronę pendrive przed takim szkodliwym oprogramowaniem jaki dostał mi się na pendrive?

EDIT
Co ciekawe pobawiłem się jeszcze programem USBFix i mogę przeskanować komputer, gdy nie ma do niego podłączonego pendrive.

Dosyłam raport :
Dostępne tylko dla zarejestrowanych użytkowników

Czy może to być powodem tego, że mój pendrive jest dalej zainfekowany czy może ja coś źle robię ?

Interesuje mnie jeszcze kwestia folderu na dysku D pod nazwą 9897ffa6d8e9f880e3, wiecie co to może być, spotkaliście się z czymś takim, mam to od ostatnich czyszczeń (chyba) a na necie nic na temat tego folderu nie mogę znaleźć?

Post20 paź 2015, 16:42

Wykonaj ponownie skrypt FRST i wklej nowe logi z FRST.

A co do tego folderu - pewnie to są jakieś sterowniki.

Post20 paź 2015, 23:16

djarta pisze:Wykonaj ponownie skrypt FRST i wklej nowe logi z FRST.

Czyli mam po prostu kliknąć w programie FRST Skanuj i potem pokażą mi się w notatniku dane z tego skanowania?

Jeżeli tak to podsyłam logi ze skanowania:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Dziękuję za pomoc djarta i bardzo proszę o dalsze instrukcję, bądź wytłumaczenie czy dobrze robię skrypt w FRST.

Post21 paź 2015, 15:31

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
C:\Users\Nikodem\AppData\Roaming\vlc
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Post21 paź 2015, 20:13

Zrobiłem jak prosiłeś.
Dodaję raport z fixloga
Dostępne tylko dla zarejestrowanych użytkowników

Potem zeskanowałem jeszcze raz komputer, oto rezultat:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Jeszcze raz chciałem zapytać, czy znacie jakiś program, którym mógłbym zabezpieczyć mojego pendrive przed ponownym wirusem/ robakiem tego typu?
I co może oznaczać że UXBFix nie chce dokończyć skanowania z podłączonym Pendrive (mam dalej coś na nim szkodliwego) ?

Post21 paź 2015, 20:15

Skrypt się nie wykonuje bo nie masz \

A zobacz w USBFix opcje szukania. A co zabezpieczenia - opcja Vaccinate w USBFix.

Post21 paź 2015, 20:51

O dziękuję, właśnie nie widziałem czemu mi się nie chce wykonać restart;/
Ale już naprawiłem błąd:
Dostępne tylko dla zarejestrowanych użytkowników

A tutaj raport z USBFixa z podłączonym pendrive
Dostępne tylko dla zarejestrowanych użytkowników

Tutaj dodaję raporty z FRST po zrobieniu restartu i skanie z USBFixa:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Djarta coś jeszcze mam robić czy system jest w miarę oczyszczony ?
Dziękuję za poradę

i pomoc

Post21 paź 2015, 20:55

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Wykonujesz punkty pierwszy, drugi, trzeci. Skan MBAM omijasz.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Post21 paź 2015, 21:55

Zrobione, ale niestety coś program jeszcze znalazł :/
Dostępne tylko dla zarejestrowanych użytkowników

Post22 paź 2015, 07:37

Te dwa klucze do Usunięcia.

Post22 paź 2015, 10:27

Zrobiłem tak jak mówiłeś, jedno tylko mnie jeszcze intryguje, jak zrestartowałem kompa puściłem sobie jeszcze raz dla sprawdzenia kompa. I wyskakuje na koniec sprawdza, że podejrzany jest FRST64 (to rozumiem), ale jak przejdę do następnego okna wyskakuje, liczba wykrytych śladów 2. Czy to oznacza, że jakiś zakapior się gdzieś tam się zaszył, czy mam się nie martwić już o nic i cieszyć boską mocą laptopa z przed 5 lat:D ?
Raport z hitmanPro
Dostępne tylko dla zarejestrowanych użytkowników