Win32/Spy.Zbot.AAN w explorer.exe

Post09 wrz 2012, 17:51

Witam,
dzisiaj zauważyłem, że nie odpalają mi się nowe programy, te które mam trochę się wieszają i nie mogę wejść do task managera.
Po restarcie komputera ESET wywalił mi:

Kod: Zaznacz cały

Pamięć operacyjna » EXPLORER.EXE(736) - odmiana zagrożenia Win32/Spy.Zbot.AAN koń trojański - nie można wyleczyć

Teraz windows po odpaleniu trochę działa, a później cały explorer się zawiesza i nie da się z niego korzystać.

Zapodaję logi i bardzo proszę o pomoc w odsyfieniu systemu:

HijackThis:

Kod: Zaznacz cały

http://www.wklejto.pl/133052

OTL:

Kod: Zaznacz cały

http://www.wklejto.pl/133054

Extras:

Kod: Zaznacz cały

http://www.wklejto.pl/133055

Dzięki wielkie za pomoc.

Post09 wrz 2012, 19:51

HijackThis.

Zafixuj w Nim:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=193.36.34.31:3128;
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TNOD UP] "C:\Program Files\TNod User & Password Finder\TNODUP.exe" /i
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [LWS] I:\Program Files\logitech\LWS\Webcam Software\LWS.exe -hide
O4 - HKCU\..\Run: [d:\Program Files\NetMeter\NetMeter.exe] d:\Program Files\NetMeter\NetMeter.exe
O4 - HKCU\..\Run: [Gadu-Gadu 10] "C:\Program Files\Gadu-Gadu 10\gg.exe"
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [{13CFE826-3DC7-AD7C-827F-D55CBAA4F64E}] "C:\Documents and Settings\d\Dane aplikacji\Piaja\ceceuz.exe"
O4 - HKCU\..\Run: [Gadwin PrintScreen] I:\Program Files\print\PrintScreen\PrintScreen.exe /nosplash
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: 4t Tray Minimizer.lnk = D:\Program Files\4t Tray Minimizer\4t-min.exe
O4 - Startup: Logitech . Rejestracja produktu.lnk = I:\Program Files\logitech\Ereg\eReg.exe
O23 - Service: Usługa Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Usługa Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SwitchBoard - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe

"HijackThis" = HijackThis 2.0.2
"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies
"MediaInfo" = MediaInfo 0.7.52
"MemTurbo" = MemTurbo
"Shop for HP Supplies" = Shop for HP Supplies

Odinstaluj to oprogramowanie, oraz inne ewentualnie zbędne Ci oprogramowanie (dużo tego), oraz pozbądź się zbędnych rozszerzeń z przeglądarek. Deinstalację wykonaj za pomocą zaktualizowanego uprzednio Revo Uninstaller`a w trybie zaawansowanym. Sugeruję również wywalenie ESET`a, wraz ze wszystkimi jego aktywatorami.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\vmnetadapter.sys -- (VMnetAdapter)
DRV - File not found [Kernel | Unavailable | Unknown] -- C:\DOCUME~1\d\USTAWI~1\Temp\Rar$EX03.172\x86\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\d\USTAWI~1\Temp\catchme.sys -- (catchme)
IE - HKU\S-1-5-21-484763869-2052111302-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-484763869-2052111302-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=193.36.34.31:3128;
FF - prefs.js..browser.startup.homepage: "http://pl.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:pl:official"
FF - prefs.js..extensions.enabledAddons: check4change-owner@mozdev.org:1.9.3
FF - prefs.js..extensions.enabledAddons: {f13b157f-b174-47e7-a34d-4815ddfdfeb8}:0.9.89
FF - prefs.js..extensions.enabledAddons: compatibility@addons.mozilla.org:1.1
FF - prefs.js..network.proxy.autoconfig_url: "http://www-config.strath.ac.uk/proxy.config"
FF - prefs.js..network.proxy.http: "178.79.152.107"
FF - prefs.js..network.proxy.http_port: 8080
FF - prefs.js..network.proxy.no_proxies_on: ".play.pl, .plus.pl, play.pl, plus.pl, tlen.pl, .tlen.pl, bankmillennium.pl, .bankmillennium.pl, tvn24.pl, .tvn24.pl, .facebook.com, facebook.com, google.pl, .google.com, .google.pl, google.com, .britishairways.com, britishairways.com, youtube.com, .youtube.com, kwejk.pl"
FF - prefs.js..network.proxy.socks_version: 4
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
[2010-04-29 10:46:40 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
CHR - Extension: YouTube = C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.3_0\
CHR - Extension: Szukaj w Google = C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.16_0\
CHR - Extension: Edit This Cookie = C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fngmhnnpilhplaeedifhccceomclgfbg\0.14.8_0\
O4 - HKLM..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
O9 - Extra 'Tools' menuitem : HttpWatch Professional - {D103E85B-5D67-42c1-8C83-F01079DBAB26} - Reg Error: Value error. File not found

:Files
C:\Documents and Settings\d\Dane aplikacji\Piaja\ceceuz.exe"
C:\Program Files\Google\Update
C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Update
C:\Documents and Settings\d\Menu Start\Programy\Autostart\Logitech . Rejestracja produktu.lnk
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\d\Pulpit\PrintScreen47_Setup.zip
C:\Documents and Settings\d\Pulpit\Gadwin-PrintScreen(12471).exe
C:\Documents and Settings\d\0.8978316745355593.exe
C:\Documents and Settings\All Users\Dane aplikacji\jaksta.smr.lic
C:\Documents and Settings\d\intlname.ols
C:\Documents and Settings\d\Y=Y=
C:\Documents and Settings\d\SciTE.session
C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir
C:\Documents and Settings\All Users\Dane aplikacji\shctxex.vb
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
C:\Documents and Settings\All Users\Dane aplikacji\VSoft
C:\Documents and Settings\All Users\Dane aplikacji\~0
C:\WINDOWS\MusiccityDownload.exe

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[resethosts]
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z ADWCleaner (z opcji Delete) -> Dostępne tylko dla zarejestrowanych użytkowników + log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL (oba) -> http://hotfix.pl/articles.php?article_id=143.

Post09 wrz 2012, 21:28

TDSSKiller odpaliłem zaraz po tym, jak mi wywalił NOD informację o zakażonym explorerze, ale nic nie znalazł. Teraz też.

Sugeruję również wywalenie ESET`a

?

OTL wykonaj:

Kod: Zaznacz cały

http://www.wklejto.pl/133097

ADW:

Kod: Zaznacz cały

http://www.wklejto.pl/133098

TDDS czysty.

OTL nowy:
1)

Kod: Zaznacz cały

http://www.wklejto.pl/133099

2)

Kod: Zaznacz cały

http://www.wklejto.pl/133100

Zostawiłem trochę run:'ów, w tym oprogramowanie do kamery, gg, bo ciężko odpalać samemu potem.

Był jeden koń trojański w logu (C:\Documents and Settings\d\Dane aplikacji\Piaja\ceceuz.exe), ale przed Twoją odpowiedzią wywalił mi Kaspersky (Virus Removal Tool).

Jak teraz mogę zbadać, czy w porządku jest z explorer.exe? Bo w sumie jego nie tknęliśmy.

Dzięki,
Pozdrawiam

Post10 wrz 2012, 18:20

Sugeruję również wywalenie ESET`a

Odinstaluj Go, oraz jego wszelkie aktywatory, gdyż jest tu z nim namotane niesamowicie.

Był jeden koń trojański w logu (C:\Documents and Settings\d\Dane aplikacji\Piaja\ceceuz.exe), ale przed Twoją odpowiedzią wywalił mi Kaspersky (Virus Removal Tool).

Nie wykonuj innych kroków, bo mieszamy, a tego robić nie wolno. My ten plik również zaatakowaliśmy skryptem.

Jak teraz mogę zbadać, czy w porządku jest z explorer.exe? Bo w sumie jego nie tknęliśmy.

To na końcu.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-484763869-2052111302-725345543-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[2009-05-28 18:28:26 | 000,000,000 | ---D | M] (kikin plugin (JDownloader Edition)) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{AA994882-F391-4d2e-806F-8908DA4814ED}
[2010-04-03 14:06:50 | 000,000,000 | ---D | M] (Screengrab) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{02450954-cdd9-410f-b1da-db804e18c671}
[2012-08-15 17:15:42 | 000,000,000 | ---D | M] (Flagfox) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{1018e4d6-728f-4b20-ad56-37578a4de76b}
[2012-07-14 22:15:44 | 000,000,000 | ---D | M] (FEBE) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}
[2011-01-24 17:08:54 | 000,000,000 | ---D | M] (Tamper Data) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{9c51bd27-6ed8-4000-a2bf-36cb95c0c947}
[2012-09-03 11:14:30 | 000,000,000 | ---D | M] (Cookies Manager+) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{bb6bc1bb-f824-4702-90cd-35e2fb24f25d}
[2011-01-19 22:25:20 | 000,000,000 | ---D | M] (User Agent Switcher) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1}
[2012-01-29 17:39:22 | 000,000,000 | ---D | M] (HttpRequester) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{ea4637dc-e014-4c17-9c2c-879322d23268}
[2010-03-15 20:13:48 | 000,000,000 | ---D | M] (Add to Search Bar) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\add-to-searchbox@maltekraus.de
[2012-09-09 13:19:26 | 000,000,000 | ---D | M] (Advanced Cookie Manager) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\cookiemgr@jayapal.com
[2010-04-10 15:21:36 | 000,000,000 | ---D | M] (Jetpack Prototype) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\jetpack@labs.mozilla.com
[2010-04-09 19:35:28 | 000,000,000 | ---D | M] (Flash Video Resources Downloader) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\max@subfighter.com
[2008-10-26 10:41:40 | 000,000,000 | ---D | M] ("Magic's Video - Downloader") -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\video-dowloader@magic-imv.ro
[2008-10-26 00:50:48 | 000,000,000 | ---D | M] (VideoDownloader) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\videodowloader@videodownloader.net
[2011-11-24 21:55:40 | 000,617,362 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\check4change-owner@mozdev.org.xpi
[2012-06-09 22:20:56 | 000,030,312 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}.xpi
[2012-09-01 21:37:58 | 001,625,368 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\firebug@software.joehewitt.com.xpi
[2012-09-03 11:14:28 | 000,198,347 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\artur.dubovoy@gmail.com.xpi
[2012-03-25 19:22:36 | 000,210,138 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{f13b157f-b174-47e7-a34d-4815ddfdfeb8}.xpi
[2012-08-04 14:08:56 | 000,314,397 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{c50ca3c4-5656-43c2-a061-13e717f73fc8}.xpi
[2012-09-06 21:37:48 | 000,269,659 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
[2012-02-20 19:32:24 | 000,550,833 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\DivXWebPlayer@divx.com.xpi
[2011-12-13 20:01:20 | 000,061,705 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{b749fc7c-e949-447f-926c-3f4eed6accfe}.xpi
[2012-01-29 18:54:58 | 000,019,576 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\verify_redirect@keithsprogblog.blogspot.com.xpi
[2012-07-24 23:22:02 | 000,741,958 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2012-06-09 22:20:56 | 000,135,517 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{4093c4de-454a-4329-8aff-c6b0b123c386}.xpi
[2012-02-24 13:38:18 | 000,164,722 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\compatibility@addons.mozilla.org.xpi
[2012-01-29 18:52:38 | 000,018,198 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{c1970c0d-dbe6-4d91-804f-c9c0de643a57}.xpi
[2012-08-24 21:31:20 | 000,030,926 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{99B98C2C-7274-45a3-A640-D9DF1A1C8460}.xpi
[2012-08-24 21:37:44 | 000,270,021 | ---- | M] () (No name found) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi
[2012-05-18 20:04:29 | 000,000,000 | ---D | M] (FiddlerHook) -- I:\PROGRAM FILES\FIDDLER2\FIDDLERHOOK
CHR - Extension: Edit This Cookie = C:\Documents and Settings\d\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\fngmhnnpilhplaeedifhccceomclgfbg\1.1_0\
O4 - Startup: C:\Documents and Settings\d\Menu Start\Programy\Autostart\_uninst_91421566.lnk = File not found
O8 - Extra context menu item: &Download All with FlashGet - D:\Program Files\FlashGet\JC_ALL.HTM ()
O8 - Extra context menu item: &Download with FlashGet - D:\Program Files\FlashGet\JC_LINK.HTM ()
O8 - Extra context menu item: Pasek Narzędzi RoboForm - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html ()
O8 - Extra context menu item: Personalizuj menu - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html ()
O8 - Extra context menu item: Wypełnij Pola - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComFillForms.html ()
O8 - Extra context menu item: Zapisz Pola - C:\Program Files\Siber Systems\AI RoboForm\RoboFormComSavePass.html ()
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} Dostępne tylko dla zarejestrowanych użytkowników (Java Plug-in 1.6.0_07)
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} Dostępne tylko dla zarejestrowanych użytkowników (McFreeScan Class)

:Files
C:\Documents and Settings\d\Pulpit\tdsskiller
C:\FOUND.*
C:\Documents and Settings\d\Pulpit\adwcleaner.exe
C:\Documents and Settings\d\Menu Start\Programy\Autostart\_uninst_91421566.lnk
C:\Documents and Settings\d\Pulpit\setup_11.0.0.1245.x01_2012_09_09_15_13.exe
C:\Documents and Settings\d\Pulpit\tdsskiller.zip
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\FlashFXP
C:\Documents and Settings\All Users\Dane aplikacji\RoboForm
C:\Documents and Settings\All Users\Dane aplikacji\Embarcadero
C:\Documents and Settings\All Users\Dane aplikacji\Raize
C:\Documents and Settings\All Users\Dane aplikacji\AutomatedQA
C:\Documents and Settings\All Users\Dane aplikacji\FreeRIP
C:\Documents and Settings\All Users\Dane aplikacji\Applian
C:\Documents and Settings\d\Dane aplikacji\ESET
C:\Documents and Settings\d\Dane aplikacji\streamripper
C:\Documents and Settings\d\Dane aplikacji\Moyea
C:\Documents and Settings\d\Dane aplikacji\id Software
C:\Documents and Settings\d\Dane aplikacji\kikin
C:\Documents and Settings\d\Dane aplikacji\Spik
C:\Documents and Settings\d\Dane aplikacji\uTorrent1
C:\Documents and Settings\d\Dane aplikacji\Jaksta
C:\Documents and Settings\d\Dane aplikacji\Embarcadero
C:\Documents and Settings\d\Dane aplikacji\AutomatedQA
C:\Documents and Settings\d\Dane aplikacji\Piaja
C:\Documents and Settings\jiaz\Dane aplikacji\ESET

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns -> http://www.hotfix.pl/optymalizacja-auto ... s-a128.htm.

Post14 wrz 2012, 00:13

Dzięki za odpowiedź.
ESET'a wywalę, jak skończymy wątek tej infekcji. Już dawno miałem coś z nim zrobić.
Tak czy siak, ESET nie pokazuje już infekcji explorer'a. Pewnie była to kwestia tego trojana, który był "podwójnie" fixowany i autoruna, który również zafixowaliśmy.

Log z usuwania -

Kod: Zaznacz cały

http://www.wklejto.pl/133406

nie obraź się - wiem, że to często siedlisko zła, ale musiałem zostawic .temp od uTorrent'a (uTorrent1 i uTorrent są stworzone przeze mnie) i 2-3 wtyczki firefoxa, których bardzo często używam

Autoruns -

Kod: Zaznacz cały

https://rapidshare.com/files/1876904766/AutoRuns.arn

OTL -

Kod: Zaznacz cały

http://www.wklejto.pl/133409

Extras -

Kod: Zaznacz cały

http://www.wklejto.pl/133410

Post15 wrz 2012, 16:51

nie obraź się - wiem, że to często siedlisko zła, ale musiałem zostawic .temp od uTorrent'a (uTorrent1 i uTorrent są stworzone przeze mnie) i 2-3 wtyczki firefoxa, których bardzo często używam

W porządku.

ESET'a wywalę, jak skończymy wątek tej infekcji. Już dawno miałem coś z nim zrobić.

Zróbmy to teraz, bo po nim lubią pozostawać odpady.

Autourns.

W Autoruns odznacz, a następnie usuń (co się bezie dało):

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

CloneCDTray
NvCplDaemon
SunJavaUpdateSched

C:\Documents and Settings\d\Menu Start\Programy\Autostart

4t Tray Minimizer.lnk

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

Wszystko.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

d:\Program Files\NetMeter\NetMeter.exe
Gadwin PrintScreen

HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components

Wszystko.

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Toolbar

Wszystko.

HKLM\Software\Microsoft\Internet Explorer\Extensions

Wszystko.

HKLM\System\CurrentControlSet\Services

Wszystko.

Apple Mobile Device
gupdate
gupdatem
JavaQuickStarterService
MDM
MozillaMaintenance
NVSvc
ose
SwitchBoard

HKLM\System\CurrentControlSet\Services

Wszystkie File Not Found.

HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance

Wszystkie File Not Found.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Wszystko.

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Wszystko.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
[2012-09-12 14:07:58 | 000,000,000 | ---D | M] (Bitdefender QuickScan) -- C:\Documents and Settings\d\Dane aplikacji\Mozilla\Firefox\Profiles\vkavgru5.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}

:Files
C:\Documents and Settings\d\Pulpit\Autoruns
C:\Documents and Settings\d\Dane aplikacji\ESET
C:\Documents and Settings\d\Dane aplikacji\f-secure
C:\Documents and Settings\All Users\Dane aplikacji\F-Secure
C:\Documents and Settings\d\Pulpit\Autoruns.zip
C:\WINDOWS\B0E547BC0F3CE112
C:\Documents and Settings\d\Pulpit\SetupCloneCD_51399.exe
C:\Documents and Settings\d\Pulpit\Alcohol-120(12712).exe
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\d\Dane aplikacji\HideIP
C:\Documents and Settings\d\Dane aplikacji\Hide IP NG
C:\Documents and Settings\d\Dane aplikacji\HateML
C:\Documents and Settings\d\Dane aplikacji\QuickScan

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.