Wirus "Coin miner"

[krigus]

Witam,
mam ten sam problem co użytkownik boplight

OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników

pozdrawiam i czekam na odpowiedź.

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
SRV - [2011-11-21 20:37:14 | 000,257,024 | ---- | M] () [Auto | Running] -- C:\Windows\sysdriver32.exe -- (srvsysdriver32)
SRV - [2011-10-12 00:36:42 | 000,111,632 | ---- | M] (TMRG, Inc.) [Auto | Running] -- C:\Program Files (x86)\RelevantKnowledge\rlservice.exe -- (RelevantKnowledge)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55253
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55253
IE - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000\..\URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527} - No CLSID value found
IE - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:54727
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=33daba6a-f501-11e0-80e5-f1b84c03c6b7&q="
FF - prefs.js..network.proxy.http_port: 54727
FF - prefs.js..network.proxy.type: 4
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
[2011-03-24 11:51:12 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\krgius\AppData\Roaming\mozilla\Firefox\Profiles\3bzfaj8y.default\extensions\engine@conduit.com
[2011-07-11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\krgius\AppData\Roaming\Mozilla\Firefox\Profiles\3bzfaj8y.default\searchplugins\startsear.xml
O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files (x86)\Norton 360\Engine\5.0.0.125\coIEPlg.dll File not found
O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files (x86)\Norton 360\Engine\5.0.0.125\IPS\IPSBHO.DLL File not found
O2 - BHO: (IE5BarLauncherBHO Class) - {78F3A323-798E-4AEA-9A57-88F4B05FD5DD} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O3 - HKLM\..\Toolbar: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files (x86)\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [1326397.exe] "C:\Windows\Temp\1326397.exe" File not found
O4 - HKLM..\Run: [1815807.exe] C:\Users\krgius\AppData\Local\Temp\1815807.exe ()
O4 - HKLM..\Run: [3915537-loader2.exe] "C:\Windows\TEMP\3915537-loader2.exe" File not found
O4 - HKLM..\Run: [4013614.exe] C:\Windows\Temp\4013614.exe ()
O4 - HKLM..\Run: [4051741.exe] C:\Users\krgius\AppData\Local\Temp\4051741.exe ()
O4 - HKLM..\Run: [4112740.exe] "C:\Windows\Temp\4112740.exe" File not found
O4 - HKLM..\Run: [4189781.exe] "C:\Windows\Temp\4189781.exe" File not found
O4 - HKLM..\Run: [4899613.exe] "C:\Users\krgius\AppData\Local\Temp\4899613.exe" File not found
O4 - HKLM..\Run: [5560646.exe] C:\Users\krgius\AppData\Local\Temp\5560646.exe ()
O4 - HKLM..\Run: [574078.exe] "C:\Users\krgius\AppData\Local\Temp\574078.exe" File not found
O4 - HKLM..\Run: [5893291.exe] "C:\Windows\TEMP\5893291.exe" File not found
O4 - HKLM..\Run: [6523830.exe] C:\Users\krgius\AppData\Local\Temp\6523830.exe ()
O4 - HKLM..\Run: [7161667.exe] "C:\Users\krgius\AppData\Local\Temp\7161667.exe" File not found
O4 - HKLM..\Run: [8184509.exe] C:\Windows\Temp\8184509.exe ()
O4 - HKLM..\Run: [850354.exe] C:\Users\krgius\AppData\Local\Temp\850354.exe ()
O4 - HKLM..\Run: [8661236.exe] C:\Windows\Temp\8661236.exe ()
O4 - HKLM..\Run: [8904634.exe] "C:\Users\krgius\AppData\Local\Temp\8904634.exe" File not found
O4 - HKLM..\Run: [9695016.exe] "C:\Users\krgius\AppData\Local\Temp\9695016.exe" File not found
O4 - HKLM..\Run: [9718431.exe] "C:\Windows\TEMP\9718431.exe" File not found
O4 - HKLM..\Run: [conhost] C:\Users\krgius\AppData\Roaming\Microsoft\conhost.exe File not found
O4 - HKLM..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O4 - HKLM..\Run: [iTunesHelper] Disable_By_"C:\Program Files (x86)\iTunes\iTunesHelper.exe" File not found
O4 - HKLM..\Run: [l1rezerv.exe] "C:\Windows\l1rezerv.exe" File not found
O4 - HKLM..\Run: [QuickTime Task] Disable_By_"C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime File not found
O4 - HKLM..\Run: [sysdriver32.exe] C:\Windows\sysdriver32.exe ()
O4 - HKLM..\Run: [sysdriver32_.exe] C:\Windows\sysdriver32_.exe ()
O4 - HKLM..\Run: [systemup] Disable_By_"C:\Windows\systemup.exe" stand File not found
O4 - HKLM..\Run: [tray_ico] File not found
O4 - HKLM..\Run: [tray_ico0] C:\Windows\update.tray-2-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico1] C:\Windows\update.tray-7-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico2] C:\Windows\update.tray-10-0\svchost.exe ()
O4 - HKLM..\Run: [tray_ico3] File not found
O4 - HKLM..\Run: [tray_ico4] File not found
O4 - HKLM..\Run: [w_distrib.exe] C:\Windows\update.3\svchost.exe ()
O4 - HKLM..\Run: [wxpdrv] C:\Windows\services32.exe File not found
O4 - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000..\Run: [Paseczek] Disable_By_C:\Program Files (x86)\Paseczek\Paseczek.exe File not found
F3:64bit: - HKU\.DEFAULT WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
F3 - HKU\.DEFAULT WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
F3:64bit: - HKU\S-1-5-18 WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
F3 - HKU\S-1-5-18 WinNT: Load - (C:\Windows\TEMP\csrss.exe) - File not found
F3:64bit: - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000 WinNT: Load - (C:\Users\krgius\AppData\Local\Temp\csrss.exe) - File not found
F3 - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000 WinNT: Load - (C:\Users\krgius\AppData\Local\Temp\csrss.exe) - File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O20 - HKU\S-1-5-21-2456175206-4208017570-3695709496-1000 Winlogon: Shell - (C:\Users\krgius\AppData\Roaming\dwm.exe) - File not found
O31 - SafeBoot: AlternateShell - services32.exe
[2011-11-30 12:37:45 | 000,000,000 | -H-D | C] -- C:\Windows\update.7.1
[2011-11-30 12:18:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
[2011-11-16 13:45:12 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-10-0-lnk
[2011-11-16 13:45:12 | 000,000,000 | -H-D | C] -- C:\Windows\update.tray-10-0
[2011-05-24 04:37:05 | 000,311,296 | RHS- | C] (Created with WinAutomation (Dostępne tylko dla zarejestrowanych użytkowników)) -- C:\Users\krgius\AppData\Roaming\Readar_sl.exe
[2011-11-30 12:37:45 | 000,000,225 | ---- | M] () -- C:\Windows\info1
[2011-11-30 12:22:00 | 005,589,370 | ---- | M] () -- C:\Windows\phoenix.rar
[2011-11-30 12:22:00 | 001,075,284 | ---- | M] () -- C:\Windows\rpcminer.rar
[2011-11-30 12:22:00 | 000,246,272 | ---- | M] () -- C:\Windows\unrar.exe
[2011-11-30 12:22:00 | 000,182,617 | ---- | M] () -- C:\Windows\ufa.rar
[2011-11-30 12:14:55 | 000,000,734 | ---- | M] () -- C:\Windows\SysNative\drivers\etc\hîsts
[2011-11-21 20:37:33 | 000,257,024 | ---- | C] () -- C:\Windows\sysdriver32_.exe
[2011-11-21 20:37:18 | 000,257,024 | ---- | C] () -- C:\Windows\sysdriver32.exe
[2011-07-17 18:34:09 | 000,002,136 | ---- | C] () -- C:\Users\krgius\AppData\Roaming\BEE0.761
[2011-07-17 18:27:25 | 000,246,272 | ---- | C] () -- C:\Windows\unrar.exe
[2011-05-24 04:37:05 | 008,180,224 | RHS- | C] () -- C:\ProgramData\TunesHelper.exe


:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

Ponieważ niektóre infekcje masz już od wielu miesięcy, to dodatkowo:
Użyj > MBAM
Na końcu kliknij na Usuń zaznaczone.
Podaj z tego raport.

F.

[krigus]

OTL: Dostępne tylko dla zarejestrowanych użytkowników
Extras: Dostępne tylko dla zarejestrowanych użytkowników
raport: Dostępne tylko dla zarejestrowanych użytkowników
MBAM: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Zrób jeszcze raz nowy log z OTL - chodzi o to, że po użyciu MBAM ten, który dałeś, może nie pokazuje aktualnej sytuacji.

"ProxyServer" = http=127.0.0.1:55253

i napisz, czy to Ty sam ustawiałeś to proxy?

F.

[krigus]

OTL: Dostępne tylko dla zarejestrowanych użytkowników
E: Dostępne tylko dla zarejestrowanych użytkowników

ok

-- 30 lis 2011, 18:19 --

nie...przynajmniej nie przypominam sobie...

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55253
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:55253
[2011-11-30 15:28:51 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok

:Commands
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[krigus]

Teraz nie wczytuja mi sie strony w przegladarkach i pisze z telefony...W ustawieniach polaczenia jakie ma byc teraz proxy? Bo to chyba wina tego.

[filutka78]

W takim razie zrób zwykłe "Przywracanie Systemu".

F.

[krigus]

OTL: Dostępne tylko dla zarejestrowanych użytkowników
E: Dostępne tylko dla zarejestrowanych użytkowników

-- 30 lis 2011, 19:36 --

raport: Dostępne tylko dla zarejestrowanych użytkowników

[filutka78]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

:OTL
[2011-11-30 15:28:51 | 000,000,000 | ---- | C] () -- C:\Windows\loader2.exe_ok

:Commands
[emptytemp]
[resethosts]

Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania.

F.

[krigus]

OTL: Dostępne tylko dla zarejestrowanych użytkowników
E: Dostępne tylko dla zarejestrowanych użytkowników

raportu mi OTL po restarcie nie wyplul, gdyz pojawil sie jakis blad wolumenu.

[filutka78]

Jest OK.

W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.

W logu widzę dwa Antivirusy: Avast i Norton.
Jednego usuń.
Do usuwania Avasta służy Avast Uninstall Utility - Dostępne tylko dla zarejestrowanych użytkowników
Do usuwania Nortona służy Norton Removal Tool - Dostępne tylko dla zarejestrowanych użytkowników

F.

[krigus]

Dzięki wielkie za pomoc. Pozdrawiam