Sterwoniki same się usuwają.

[kinn]

Witam. Wczoraj oglądałem film i nagle komputer się zawiesił (wcześniej się to nie zdarzało). Podczas włączania przy wyborze systemu i logowaniu Windows szare paski i kropki się pojawiły w tle. Komputer się włączył i sterowniki do karty graficznej samoczynnie się odinstalowały. Próbuje zainstalować i nic. Punkt przywracania systemu nic nie daje. Dzisiaj włączam komputer i nie ma sterowników do karty sieciowej. Wczoraj jeszcze były. Zielona lampka się świeci przy wejściu RJ45 z tyłu komputera. Karta graficzna się popsuła, że artefakty wyskakują podczas ładowania systemu?? Z tymi sterownikami to myślę, że jakiś wirus. Zamieszczam poniżej logi i konfiguracje komputera.
A i nie mogłem dać logów z programu GMER ponieważ podczas uruchamiania tego programu wyskakiwały błędy( screen poniżej) i nie mogłem zaznaczyć odpowiednich opcji w tym programie, były zablokowane.

Karta graficzna GeForce 8800 GT
zasilacz Pentagram 430W Silent Force
płyta główna msi p35 neo-f
procesor Intel Pentium Dual-Core E5200

Dostępne tylko dla zarejestrowanych użytkowników attach
Dostępne tylko dla zarejestrowanych użytkowników dds
Dostępne tylko dla zarejestrowanych użytkowników extras
Dostępne tylko dla zarejestrowanych użytkowników otl
Dostępne tylko dla zarejestrowanych użytkowników info
Dostępne tylko dla zarejestrowanych użytkowników log
Dostępne tylko dla zarejestrowanych użytkowników TDSS Killer
Dostępne tylko dla zarejestrowanych użytkowników Silent Runer
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Dla Obserwujących.

Proszę o nie kopiowanie żadnej z tych instrukcji u siebie na komputerze. Może to doprowadzić do trwałego, nieodwracalnego skończenia systemu. Instrukcje + skrypt dostosowane unikatowo dla tego systemu.

Witam. Wczoraj oglądałem film i nagle komputer się zawiesił (wcześniej się to nie zdarzało). Podczas włączania przy wyborze systemu i logowaniu Windows szare paski i kropki się pojawiły w tle. Komputer się włączył i sterowniki do karty graficznej samoczynnie się odinstalowały. Próbuje zainstalować i nic. Punkt przywracania systemu nic nie daje. Dzisiaj włączam komputer i nie ma sterowników do karty sieciowej. Wczoraj jeszcze były. Zielona lampka się świeci przy wejściu RJ45 z tyłu komputera. Karta graficzna się popsuła, że artefakty wyskakują podczas ładowania systemu?? Z tymi sterownikami to myślę, że jakiś wirus. Zamieszczam poniżej logi i konfiguracje komputera.

Wierz mi - mamy tu gigantyczny atak infekcji. Sprawa jest poważna, więc zalecam skupienie się.

A i nie mogłem dać logów z programu GMER ponieważ podczas uruchamiania tego programu wyskakiwały błędy( screen poniżej) i nie mogłem zaznaczyć odpowiednich opcji w tym programie, były zablokowane.

To naturalne. On tak miewa. Zastępczo słusznie użyłeś produktu Kaspersky`iego.

Logi.

Na przyszłość. RSIT stosuj w przypadku nie możności użycia OTL.

10:45:23.0984 2892 Detected object count: 1
10:45:23.0984 2892 Actual detected object count: 1
10:45:50.0718 2892 \Device\Harddisk2\DR10 ( Rootkit.Win32.BackBoot.gen ) - skipped by user
10:45:50.0718 2892 \Device\Harddisk2\DR10 ( Rootkit.Win32.BackBoot.gen ) - User select action: Skip

Uruchom ponownie TDSSKiller, bo w tym przypadku należy zastosować akcję Cure.

[C:\WINDOWS\$NtUninstallKB10445$] -> Error: Cannot create file handle -> Unknown point type

Rootkit ZeroAcces miał tu ochotę szaleć.

"{0CB9668D-F979-4F31-B8B8-67FE90F929F8}" = Bonjour
"{92881120-6DA5-44A3-8BAB-2429A01D022E}" = YouTube Downloader Toolbar v4.3
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"AVG Secure Search" = AVG Security Toolbar
"Babylon" = Babylon
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"incredibar" = Incredibar Toolbar on IE
"QuickStores-Toolbar_is1" = QuickStores-Toolbar 1.1.0
"Shop for HP Supplies" = Shop for HP Supplies
"uTorrentControl2 Toolbar" = uTorrentControl2 Toolbar
"Veetle TV" = Veetle TV
"Ad-Remover" = Ad-Remover

Odinstaluj to oprogramowanie + zbędne Ci.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\HPZipm12.dll -- (Pml Driver HPZ12)
SRV - File not found [Auto | Stopped] -- C:\WINDOWS\system32\HPZinw12.dll -- (Net Driver HPZ12)
SRV - [2013-01-27 21:46:56 | 000,057,344 | ---- | M] () [Auto | Stopped] -- C:\Documents and Settings\Chud-y\Ustawienia lokalne\temp\DAT96.tmp.exe -- (gcdoedplo)
SRV - [2013-01-27 21:46:48 | 000,060,288 | ---- | M] () [Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\cedecf05293fa4ec.sys -- (cedecf05293fa4ec)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Chud-y\USTAWI~1\Temp\GPU-Z.sys -- (GPU-Z)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Chud-y\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\wdjfphtn.sys -- (avss)
DRV - [2013-01-27 21:46:48 | 000,060,288 | ---- | M] () [Unknown (-1) | Unknown (-1) | Unknown] -- C:\WINDOWS\System32\drivers\cedecf05293fa4ec.sys -- (cedecf05293fa4ec)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes,DefaultScope = {CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{0CF069D9-C018-4693-942F-8CD2A4CC8179}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&ei=UTF-8&type=PCAFSI1208
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{2FB6AEB2-1D76-4D2C-9EDC-D22388A0DAC3}&mid=34252336baa147d0b108d168c3d66084-353c16302844d9b7d2323b29e1840380bc3c9c58&lang=pl&ds=st011&pr=sa&d=2012-04-12 15:25:19&v=12.2.5.32&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&loc=IB_DS&a=6Oz1zII9DB&i=26
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "MyStart Search"
FF - prefs.js..browser.search.order.3: "Bing "
FF - prefs.js..extensions.enabledAddons: quickstores@quickstores.de:1.1.0
FF - prefs.js..extensions.enabledAddons: youtubedownloader@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledAddons: ffxtlbr@incredibar.com:1.5.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: youtubedownloader@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: bkmrksync@nokia.com:1.0.0.736
FF - prefs.js..extensions.enabledItems: quickstores@quickstores.de:1.1.0
FF - prefs.js..extensions.enabledItems: adapter@babylontc.com:1.0.0.1
FF - prefs.js..extensions.enabledItems: ocr@babylon.com:1.1
FF - prefs.js..keyword.URL: "http://mystart.incredibar.com/mb201/?loc=IB_DS&a=6Oz1zII9DB&&i=26&search="
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\14.0.1\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Program Files\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Program Files\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\avg@toolbar: C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search\FireFoxExt\14.0.2.14 [2013-01-15 13:41:11 | 000,000,000 | ---D | M]
[2012-11-07 20:53:20 | 000,000,000 | ---D | M] (uTorrentControl2 Community Toolbar) -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
[2012-06-12 18:35:30 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\extensions\DTToolbar@toolbarnet.com
[2013-01-27 20:00:04 | 000,000,000 | ---D | M] (incredibar.com) -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\extensions\ffxtlbr@incredibar.com
[2013-01-10 14:01:16 | 000,347,812 | ---- | M] () (No name found) -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi
[2012-06-12 18:35:02 | 000,020,591 | ---- | M] () (No name found) -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
[2012-11-23 16:50:54 | 000,804,627 | ---- | M] () (No name found) -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-10-25 18:08:21 | 000,002,273 | ---- | M] () -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\searchplugins\bingp.xml
[2010-11-05 20:30:56 | 000,002,059 | ---- | M] () -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\searchplugins\daemon-search.xml
[2013-01-27 19:57:45 | 000,002,203 | ---- | M] () -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\searchplugins\MyStart Search.xml
[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Documents and Settings\Chud-y\Dane aplikacji\Mozilla\Firefox\Profiles\vsyekdr6.default\searchplugins\startsear.xml
[2012-10-25 18:07:52 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012-05-09 14:15:23 | 000,000,000 | ---D | M] ("Babylon Spelling and Proofreading") -- C:\Program Files\Mozilla Firefox\extensions\adapter@babylontc.com
[2012-05-09 14:15:22 | 000,000,000 | ---D | M] (Babylon Translation Activation) -- C:\Program Files\Mozilla Firefox\extensions\ocr@babylon.com
[2011-08-16 08:52:49 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files\Mozilla Firefox\extensions\quickstores@quickstores.de
[2011-03-03 14:53:00 | 000,000,000 | ---D | M] (YouTube Downloader Toolbar) -- C:\PROGRAM FILES\YOUTUBE DOWNLOADER TOOLBAR\FF
[2011-10-27 14:45:50 | 000,083,456 | ---- | M] (LiveVDO ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
[2013-01-15 13:41:01 | 000,003,593 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-04-12 14:24:36 | 000,002,415 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\v9.xml
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.3_0\
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb\1.8_0\
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\13.2.0.5_0\.bak
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.18.20_0\
CHR - Extension: No name found = C:\Documents and Settings\Chud-y\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
O4 - HKLM..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe /installquiet File not found
O8 - Extra context menu item: &Download All using 4shared Desktop - Reg Error: Value error. File not found
O9 - Extra Button: FreshDownload - {590F998C-F37E-4F29-8A26-0A88CCAA26B3} - Reg Error: Value error. File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} Dostępne tylko dla zarejestrowanych użytkowników (Windows Genuine Advantage Validation Tool)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O16 - DPF: {91D4B4D5-E368-40AB-8F53-A37FA634B471} Dostępne tylko dla zarejestrowanych użytkowników (Installer9Ctrl Class)
[2013-01-27 20:24:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Chud-y\Dane aplikacji\Incredibar.com
[2013-01-27 20:21:46 | 148,237,112 | R--- | C] (NVIDIA Corporation) -- C:\Documents and Settings\Chud-y\Pulpit\310.90-desktop-winxp-32bit-international-whql.exe
[2013-01-27 20:00:04 | 000,000,000 | ---D | C] -- C:\Program Files\Incredibar.com
[2013-01-27 19:59:26 | 000,000,000 | ---D | C] -- C:\Program Files\IB Updater
[2013-01-04 15:31:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro
[2013-01-04 15:28:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Chud-y\Pulpit\RK_Quarantine
[2013-01-04 14:45:09 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PC Tools
[2013-01-04 14:41:56 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\TEMP
[2013-01-04 14:41:55 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\PC Tools

:Files
C:\Program Files\Google\Update
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\Chud-y\Pulpit\DirectX10_downloader_by_programspl.exe
C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search
C:\Documents and Settings\All Users\Dane aplikacji\DSS
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security
C:\Documents and Settings\All Users\Dane aplikacji\Panda Security URL Filtering
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\WINDOWS\ntbtlog.txt
C:\rsit
C:\WINDOWS\AC54E5443E42443CA91DA00A6974C592.TMP
C:\Ad-Report-CLEAN[3].txt
C:\Ad-Report-SCAN[3].txt
C:\Program Files\trend micro

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Combofix -> http://www.hotfix.pl/articles.php?article_id=41 + log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.

[kinn]

Wszystko zrobione. Logi poniżej. Gdy Combofix skończył swoją robotę antywirus (ESET) zaczął wykrywać zagrożenia w każdym pliku exe. W TDSSKiller dałem opcje przeniesienia do kwarantanny, nie było opcji wyleczenia.
Jak zabezpieczyć się na przyszłość przed takimi niespodziankami, gdyż ESET nie wykrył zagrożenia.
Dostępne tylko dla zarejestrowanych użytkowników TDSKiller
Dostępne tylko dla zarejestrowanych użytkowników usuwanie OTL
Dostępne tylko dla zarejestrowanych użytkowników combofix
Dostępne tylko dla zarejestrowanych użytkowników ADWCleaner delete
Skan OTL po całej pracy
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

W TDSSKiller dałem opcje przeniesienia do kwarantanny, nie było opcji wyleczenia.

OK.

antywirus (ESET) zaczął wykrywać zagrożenia w każdym pliku exe.

Wskazywałoby to na infekcję plików wykonywalnych, ale póki co pozostawiam do kontroli.

ADWCleaner.

Jako odnośnik do logu z jego pracy podałeś log z usuwania OTL`a. Popraw link lub wykonaj działanie programem.

Combofix.

OK. To, co chciałem to zrobił. TDSSKiller nie wykazuje blokady Necursa`owej. Wejdź w START -> URUCHOm -> i wklej tam -> "c:\documents and settings\Chud-y\Pulpit\ComboFix.exe" /uninstall . następnie użyj kochanego pomocnika od formy ESET -> Dostępne tylko dla zarejestrowanych użytkowników. Użyj tego narzędzia (poza tym uaktualnij na koniec bazę ESET`a - masz przedawnioną).

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Chud-y\USTAWI~1\Temp\CFcatchme.sys -- (CFcatchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
O20 - Winlogon\Notify\WgaLogon: DllName - (WgaLogon.dll) - File not found
[2013-01-28 22:01:21 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013-01-28 22:00:07 | 005,029,108 | R--- | C] (Swearware) -- C:\Documents and Settings\Chud-y\Pulpit\ComboFix.exe
[2013-01-28 21:44:17 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2013-01-28 21:40:02 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Chud-y\Pulpit\tdsskiller(1)
[2013-01-28 11:36:31 | 007,359,920 | ---- | C] (Malwarebytes Corporation ) -- C:\Documents and Settings\Chud-y\Pulpit\mbam-rules.exe
[2013-01-28 11:24:11 | 010,156,424 | ---- | C] (Malwarebytes Corporation ) -- C:\Documents and Settings\Chud-y\Pulpit\mbam-setup.exe
[2013-01-04 14:28:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\5CC0D0DE898B146600005CC074221869
[2013-01-27 21:46:59 | 000,114,203 | ---- | M] () -- C:\WINDOWS\System32\drivers\qstr.sys
[2013-01-15 13:40:35 | 000,031,576 | ---- | M] (AVG Technologies) -- C:\WINDOWS\System32\drivers\avgtpx86.sys
[2011-11-19 10:14:59 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Chud-y\Dane aplikacji\Panda Security

:Files
c:\windows\ERDNT

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[kinn]

Prawidłowy log z ADWClenaera, przepraszam za błąd.
Dostępne tylko dla zarejestrowanych użytkowników

Log z ESETNecursRemover.exe
Dostępne tylko dla zarejestrowanych użytkowników

Przy próbie wykonania tego polecenia "c:\documents and settings\Chud-y\Pulpit\ComboFix.exe" /uninstall wyskakuje taki błąd, lecz combofix zniknął z pulpitu.
Dostępne tylko dla zarejestrowanych użytkowników

Log z usuwania OTL
Dostępne tylko dla zarejestrowanych użytkowników

Nowy log z OTL
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

W menadżerze urządzeń pokazane jest tak jakby sterowniki od karty sieciowej były znowu zainstalowane lecz internet dalej nie działa. Sterowniki do karty graficznej dalej widnieją jako niezainstalowane, lecz tu może leżeć problem po stronie tej karty graficznej która najprawdopodobniej jest popsuta. Tutaj screen z komendy ipconfig, może się przyda.
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

Prawidłowy log z ADWClenaera, przepraszam za błąd.

Nic się nie dzieje. W ADWCleaner wybierz Uninstall.

Log z ESETNecursRemover.exe

Podobnie, jak w poprzednim przypadku podawania logu z ADWCleaner, log kieruje na stronę główną . Popraw.

Przy próbie wykonania tego polecenia "c:\documents and settings\Chud-y\Pulpit\ComboFix.exe" /uninstall wyskakuje taki błąd, lecz combofix zniknął z pulpitu.

Źle wykonało się polecenie, bo widzę procesy Combofix`a. Pobierz Go ponownie na pulpit, czyli w tą samą lokalizację co poprzednio (nie uruchamiaj), a następnie wklej w START -> URUCHOM to:

"C:\Documents and Settings\Chud-y\Pulpit\ComboFix.exe" /uninstall

Log z usuwania OTL

Bardzo ładnie .

W menadżerze urządzeń pokazane jest tak jakby sterowniki od karty sieciowej były znowu zainstalowane lecz internet dalej nie działa. Sterowniki do karty graficznej dalej widnieją jako niezainstalowane, lecz tu może leżeć problem po stronie tej karty graficznej która najprawdopodobniej jest popsuta. Tutaj screen z komendy ipconfig, może się przyda.

Tym zajmiemy się później (choć samodzielnie możesz to zrobić już teraz poprzez reinstalację tych sterowników). Zapewne nastąpiło ich uszkodzenie, bo nie widzę na nich blokady charakterystycznej dla tego rodzaju infekcji.

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)

1. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników.
2. Uruchom LSP-Fix -> Dostępne tylko dla zarejestrowanych użytkowników i za jego pomocą przesuń plik mdnsNSP.dll z okna Keep do Remove (w linku opis jak to się robi). I restart komputera.
3. Po resecie można wywalić katalog Bonjour.
4. Podaj nowe logi z OTL.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\PcaSp50.sys -- (PcaSp50)
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Program Files\Nokia\Nokia PC Suite 7\bkmrksync\ [2011-01-20 19:41:56 | 000,000,000 | ---D | M]

:Files
RECYCLER /alldrives
C:\Documents and Settings\Chud-y\Pulpit\ESETNecursRemover.exe_20130130.210402.2900
C:\Documents and Settings\All Users\Dane aplikacji\5CC0D0DE898B146600005CC074221869
C:\Documents and Settings\All Users\Dane aplikacji\Downloaded Installations
C:\Documents and Settings\Chud-y\Dane aplikacji\enchant

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

[kinn]

Poprawiony log z ESETNecursRemover.exe, musiałem złe skopiować link
Dostępne tylko dla zarejestrowanych użytkowników

Combofix tym razem odinstalował, się poprawnie.

1. Użyj tego -> Dostępne tylko dla zarejestrowanych użytkowników ... rvice.html.
2. Uruchom LSP-Fix -> Dostępne tylko dla zarejestrowanych użytkowników i za jego pomocą przesuń plik mdnsNSP.dll z okna Keep do Remove (w linku opis jak to się robi). I restart komputera.
3. Po resecie można wywalić katalog Bonjour.
4. Podaj nowe logi z OTL.

Wszystko zrobione
Logi OTL po tych czynnościach.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

OTL wiesza się podczas wykonywania skryptu na tej linii
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\bkmrksync@nokia.com: C:\Program Files\Nokia\Nokia PC Suite 7\bkmrksync\ [2011-01-20 19:41:56 | 000,000,000 | ---D | M]

Po chwili działania komputera wyskakuje taki komunikat. Odinstalować jave??
Dostępne tylko dla zarejestrowanych użytkowników

Dużo jest jeszcze pracy z usunięciem tego szkodnika?? Brat mnie nagli bo potrzebuje komputer sprawny w sobotę.
Zrobiłem reinstalacje sterowników od karty sieciowej i nadal internet nie działa.

[kominekl]

Poprawiony log z ESETNecursRemover.exe, musiałem złe skopiować link

Doskonale .

Dużo jest jeszcze pracy z usunięciem tego szkodnika?? Brat mnie nagli bo potrzebuje komputer sprawny w sobotę.

Szkodnik zniszczony. Teraz sprzątamy.

Po chwili działania komputera wyskakuje taki komunikat. Odinstalować jave??

Na razie nie.

OTL wiesza się podczas wykonywania skryptu na tej linii

Modyfikacja skryptu do wykonania ( po poniższym nowe logi):

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\PcaSp50.sys -- (PcaSp50)
IE - HKU\S-1-5-21-436374069-1715567821-1801674531-1003\..\SearchScopes\${searchCLSID}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}

:Files
RECYCLER /alldrives
C:\Documents and Settings\Chud-y\Pulpit\ESETNecursRemover.exe_20130130.210402.2900
C:\Documents and Settings\All Users\Dane aplikacji\5CC0D0DE898B146600005CC074221869
C:\Documents and Settings\All Users\Dane aplikacji\Downloaded Installations
C:\Documents and Settings\Chud-y\Dane aplikacji\enchant

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[clearallrestorepoints]
[emptytemp]

[kinn]

Log z usuwania OTL
Dostępne tylko dla zarejestrowanych użytkowników

Logi ze skanu po usuwaniu
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[kominekl]

"D:\GRY\WoT\worldoftanks.exe" = D:\GRY\WoT\worldoftanks.exe:*:Enabled:ipsec -- (Wargaming.net)

A więc jednak się dostał. Mamy infekcję plików wykonywalnych. Proszę postępować wedle wskazanego schematu działania.

1. Usuń punkty przywracania -> http://www.hotfix.pl/odchudzanie-system ... tm#restore.
2. Użyj szczepionki (kilka razy dopóki nic nie znajdzie) -> Dostępne tylko dla zarejestrowanych użytkowników.
3. Pobierz to -> Dostępne tylko dla zarejestrowanych użytkowników. Zapisz pod losową nazwą i rozszerzeniem, np. awd232.com. Wykonuj pełne skanowania dotąd dopóki nic nie będzie znajdywał. Lecz co się da, a resztę usuwaj.
4. Następnie podaj nowe logi z OTL.

[kinn]

2. Użyj szczepionki (kilka razy dopóki nic nie znajdzie) -> Dostępne tylko dla zarejestrowanych użytkowników.

Błąd wczytywania strony kiedy wchodzę w link.
Co z tym zrobić??
Drweb kończy się pobierać. Punkt przywracania usunięty.

[kominekl]

2. Użyj szczepionki (kilka razy dopóki nic nie znajdzie) -> Dostępne tylko dla zarejestrowanych użytkowników.

Błąd wczytywania strony kiedy wchodzę w link.
Co z tym zrobić??
Drweb kończy się pobierać. Punkt przywracania usunięty.

Wykonuj w kolejności, jaką podałem. Link -> Dostępne tylko dla zarejestrowanych użytkowników.

[kinn]

Wykonuj w kolejności, jaką podałem. Link -> Dostępne tylko dla zarejestrowanych użytkowników ... litykiller.

Teraz poszło bez problemu. Już raz przeskanowało znalazło 29infekcij. Skanuje teraz 2 raz.
Z tym Drweb też jest jakiś problem, pobieranie zatrzymuje się na 99%. 4 raz próbuje pobrać.
Może jest jakiś do rar spakowany, wtedy może by poszło.
edit.
Dalej nie udało mi się pobrać tego Drweb.
Po 2 razie skanowania salitykiller już nic nie znalazło, ale dla pewności przeskanowałem jeszcze 3 raz.
Daje logi z OTL tylko po zrobieniu punktu 1 i 2.
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
edit2.
Udało się pobrać drweb, ale live cd z tego linku. Może tym damy radę coś zrobić??
ftp://ftp.drweb.com/pub/drweb/livecd/

[kominekl]

Po 2 razie skanowania salitykiller już nic nie znalazło, ale dla pewności przeskanowałem jeszcze 3 raz.

OK.

Daje logi z OTL tylko po zrobieniu punktu 1 i 2.

Powtarzam. Czynności wykonujemy punktowo, jeśli coś się nie udaje pytamy i nie przechodzimy dalej.

Udało się pobrać drweb, ale live cd z tego linku. Może tym damy radę coś zrobić??

Dałoby radę zasada działania taka sama z tym, że musisz wypalić Go na płytkę. Sugeruję jednak sprawdzenie, czy zapisujesz pobierany plik z losową nazwą i rozszerzeniem lub/i pobranie z innego źródła.

[kinn]

Próbowałem pobierać z innego źródła, zapisywałem pod rożnymi nazwami i rozszerzeniami i nic nie dało.