Svchost.exe koń trojański

[kura22haha]

Witam.
Po uruchomieniu komputera za kazdym razem nod32 wykrywa wirusa, konkretnie:
Pamięć operacyjna » C:\WINDOWS\system32\svchost.exe
odmiana zagrożenia Win32/Agent.OBA koń trojański, nie można wyleczyć.
Chciałbym się tego pozbyć jak najszybciej.
Proszę o pomoc.
Ściągnąłem program OTL i tu są logi:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Co dalej? (prosiłbym o tłumaczenie krok po kroku)

[kominekl]

[2013-01-31 18:15:04 | 000,000,000 | ---D | C] -- C:\_OTL

To kwarantanna OTL. Kto tu coś robił?

O33 - MountPoints2\{051d2fa3-d6cd-11de-b3ce-001e657516a8}\Shell\AutoRun\command - "" = F:\kmj.exe

Z podłączonymi pamięciami przenośnymi użyj USBFix z opcji Deletion i zaprezentuj log z tego działania -> http://www.hotfix.pl/uzytkowanie-progra ... x-a310.htm.

"{691D8246-53FF-46F9-867B-C6D323F3CB6C}" = Spycheck AntiSpyware
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{DA95E878-B181-4366-A433-6145592707A8}" = SweetIM for Messenger 3.1
"BitTorrentBar Toolbar" = BitTorrentBar Toolbar
"DealPly" = DealPly
"facemoods" = facemoods
"free-downloads.net Toolbar" = free-downloads.net Toolbar
"InstallShield_{C730E42C-935A-45BB-A0C5-37E5234D111B}" = TOSHIBA Face Recognition
"InstallShield_{D4322448-B6AF-4316-B859-D8A0E84DCB38}" = TOSHIBA HDD/SSD Alert
"InstallShield_{FEDD27A0-B306-45EF-BF58-B527406B42C8}" = TOSHIBA Value Added Package
"McAfee Security Scan" = McAfee Security Scan Plus
"OptimizerProUpdater" = OptimizerPro Updater
"SProtector" = SProtector 1.46
"StartNow Toolbar" = StartNow Toolbar

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\Program Files\StartNow Toolbar\ToolbarUpdaterService.exe -- (Updater Service for StartNow Toolbar)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ay11pipz)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\URLSearchHook: - No CLSID value found
IE - HKLM\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
IE - HKLM\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Dostępne tylko dla zarejestrowanych użytkowników [binary data]
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Restore = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKU\S-1-5-21-732451194-442486663-1025804241-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
FF - prefs.js..browser.search.defaultengine: "Ask.com Search"
FF - prefs.js..browser.search.defaultenginename: "Ask.com Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Gamebario2 Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.gboxapp.com/?q="
FF - prefs.js..browser.search.order.1: "Ask.com Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=f9ba7b3e-6798-4ae4-af8f-641417995dfd&affid=111583&searchtype=hp&babsrc=lnkry"
FF - prefs.js..extensions.enabledAddons: crossriderapp498@crossrider.com:0.76.37
FF - prefs.js..extensions.enabledAddons: helperbar@helperbar.com:1.0
FF - prefs.js..extensions.enabledItems: helperbar@helperbar.com:1.0
FF - prefs.js..extensions.enabledItems: 50095d7e2483b@50095d7e24875.info:1.0
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.15.9.100013
FF - prefs.js..extensions.enabledItems: crossriderapp498@crossrider.com:0.76.37
FF - prefs.js..keyword.URL: "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=f9ba7b3e-6798-4ae4-af8f-641417995dfd&affid=111583&searchtype=ds&babsrc=lnkry&q="
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\Kamil\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\Kamil\AppData\Local\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp498@crossrider.com: C:\Users\Kamil\AppData\Local\RewardsArcade\498\Firefox [2011-12-06 19:26:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\50095d7e2483b@50095d7e24875.info: C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\bl2rb797.default\extensions\50095d7e2483b@50095d7e24875.info [2012-07-20 14:41:59 | 000,000,000 | ---D | M]
[2012-04-14 23:29:57 | 000,000,000 | ---D | M] (StartNow Toolbar) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\{5911488E-9D1E-40ec-8CBB-06B231CC153F}
[2012-09-04 14:12:47 | 000,000,000 | ---D | M] (BitTorrentBar Community Toolbar) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\{88c7f2aa-f93f-432c-8f0e-b7d85967a527}
[2012-04-14 22:12:40 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2011-11-27 15:54:20 | 000,000,000 | ---D | M] (DealPly) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
[2011-10-19 19:49:26 | 000,000,000 | ---D | M] (free-downloads.net Toolbar) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}
[2012-07-20 14:41:59 | 000,000,000 | ---D | M] (ADDICT-THING) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\50095d7e2483b@50095d7e24875.info
[2013-01-30 21:01:07 | 000,000,000 | ---D | M] ("Linkury Smartbar") -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\helperbar@helperbar.com
[2012-07-25 23:29:19 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\IplextoALL@ALLPlayer.org
[2013-01-30 21:01:08 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\staged
[2012-12-17 14:56:48 | 000,000,000 | ---D | M] ("Ask Toolbar") -- C:\Users\Kamil\AppData\Roaming\mozilla\Firefox\Profiles\bl2rb797.default\extensions\toolbar@ask.com
[2012-07-25 15:56:57 | 000,010,043 | ---- | M] () (No name found) -- C:\Users\Kamil\AppData\Roaming\mozilla\firefox\profiles\bl2rb797.default\extensions\IplextoALL@ALLPlayer.org.xpi
[2013-01-31 18:19:22 | 000,002,455 | ---- | M] () -- C:\Users\Kamil\AppData\Roaming\mozilla\firefox\profiles\bl2rb797.default\searchplugins\Web Search.xml
[2010-10-08 22:10:13 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
CHR - Extension: BitTorrentBar = C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\mhfdcmehmjcclgopdodkjdicohagipid\2.3.18.20_0\
O3 - HKLM\..\Toolbar: (GagetBox) - {3B81079D-2AC9-425f-A494-A1C7D93AFA3C} - Reg Error: Value error. File not found
O3 - HKLM\..\Toolbar: (StartNow Toolbar) - {5911488E-9D1E-40ec-8CBB-06B231CC153F} - C:\Program Files\StartNow Toolbar\Toolbar32.dll File not found
O3 - HKLM\..\Toolbar: (no name) - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ecdee021-0d17-467f-a1ff-c7a115230949} - No CLSID value found.
O3 - HKU\S-1-5-21-732451194-442486663-1025804241-1000\..\Toolbar\WebBrowser: (no name) - {88C7F2AA-F93F-432C-8F0E-B7D85967A527} - No CLSID value found.
O3 - HKU\S-1-5-21-732451194-442486663-1025804241-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\S-1-5-21-732451194-442486663-1025804241-1000\..\Toolbar\WebBrowser: (no name) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-21-732451194-442486663-1025804241-1000..\Run: [ChomikBox] C:\Program Files\ChomikBox\chomikbox.exe File not found
O4 - HKU\S-1-5-21-732451194-442486663-1025804241-1000..\Run: [Komunikator] C:\Program Files\Tlen.pl\tlen.exe File not found
O4 - HKU\S-1-5-21-732451194-442486663-1025804241-1000..\Run: [MSConfig] C:\Users\Kamil\cpmwdwkp.exe ()
O4 - HKU\S-1-5-21-732451194-442486663-1025804241-1000..\Run: [Rarcrt] C:\Users\Kamil\AppData\Roaming\Rarcrt.exe File not found
O4 - HKU\S-1-5-21-732451194-442486663-1025804241-1000..\Run: [xoausuf] C:\Users\Kamil\xoausuf.exe File not found
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 10.9.2)
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} Dostępne tylko dla zarejestrowanych użytkowników (WRC Class)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.5.0_06)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_20)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Key error.)
@Alternate Data Stream - 971 bytes -> C:\ProgramData:$SS_DESCRIPTOR_SBXNV9VVGV1BFP6HMJ6F5L89M0XTJWH4HJRT3KXFSVF7JBCVPJGV
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:7E95B6FD
@Alternate Data Stream - 1201054 bytes -> C:\Windows\Temp:temp
@Alternate Data Stream - 111 bytes -> C:\ProgramData\TEMP:4EE74317

:Files
C:\Program Files\Google\Update
C:\Users\Kamil\AppData\Local\Google\Update
C:\Users\Kamil\Downloads\facebook-pic000934519.exe
C:\Windows\tasks\*.*
C:\Users\Kamil\AppData\Local\Temp*.html
C:\Users\Kamil\AppData\Roaming\usb.dat

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> Dostępne tylko dla zarejestrowanych użytkowników + nowe logi z OTL.