Wirus ze Skype (Win32/Dorkbot.b )

Post10 lis 2012, 20:41

Witam
Eset informuje mnie że mój komputer zainfekował robak Win32/Dorkbot.b ale nie da się go usunąć.
Bardzo proszę o pomoc. Przesyłam Logi ale proszę o wyrozumiałośc gdy coś źle zamieszczę gdyż z informatyki aż tak dobry nie jestem

Extras Dostępne tylko dla zarejestrowanych użytkowników

OTL Dostępne tylko dla zarejestrowanych użytkowników

Post10 lis 2012, 22:08

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} Dostępne tylko dla zarejestrowanych użytkowników (Reg Error: Value error.)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [nwiz] nwiz.exe /installquiet File not found
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników
CHR - homepage: Dostępne tylko dla zarejestrowanych użytkowników
CHR - default_search_provider: SweetIM Search (Enabled)
CHR - default_search_provider: search_url = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={D3B75EE7-B942-4721-95C0-2329B005AA51
FF - prefs.js..backup.old.browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..backup.old.browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=110000&tt=3112_5&babsrc=HP_ss&mntrId=9cfbe5c10000000000000011d80cc0c4"
FF - prefs.js..browser.search.defaultengine: "Ask.com Search"
FF - prefs.js..browser.search.defaultenginename: "Ask.com Search"
FF - prefs.js..browser.search.order.1: "Ask.com Search"
FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.7.0.3
FF - prefs.js..keyword.URL: "http://search.sweetim.com/search.asp?barid={D3B75EE7-B942-4721-95C0-2329B005AA51}&src=2&crg=3.1010000&q="
FF - prefs.js..browser.startup.homepage: "http://search.searchya.com/?q="
FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?barid={D3B75EE7-B942-4721-95C0-2329B005AA51}&src=2&crg=3.1010000&q="
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\URLSearchHook: {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - C:\Program Files\SFT_Polska\prxtbSFT0.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes,Backup.Old.DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&affID=112060&tt=3112_8&babsrc=SP_ss&mntrId=9cfbe5c10000000000000011d80cc0c4
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCtC0DzztD0C0CtD0CyE0EyD0CtCtN0D0Tzu0CtBtCtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=2052333943
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{54128C1C-342A-4BEA-9DE4-56BAD115B541}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{6E37AF15-127A-4A0E-AA04-7579912A9A60}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&cc=&r=734
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{E92AE446-B728-4500-A55D-7770EE2092B0}&mid=f20d73420bf847d08959d1589ee82937-09c384240454878f3c19065ffa65359baece44ef&lang=pl&ds=xn011&pr=sa&d=2012-10-14 12:27:38&v=13.0.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{A66DEAD8-FB53-4FFE-B24D-9AEF5D6B9646}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&SearchSource=4&ctid=CT3031817
IE - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={D3B75EE7-B942-4721-95C0-2329B005AA51}
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników{D3B75EE7-B942-4721-95C0-2329B005AA51}
IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{30F5AB16-9F1E-4E99-93F2-ECB9ABB0EC12}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&s=1&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1QzutDtDtCtC0DzztD0C0CtD0CyE0EyD0CtCtN0D0Tzu0CtBtCtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=2052333943
IE - HKLM\..\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&barid={D3B75EE7-B942-4721-95C0-2329B005AA51}
DRV - [2008-01-08 06:06:34 | 000,031,744 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Documents and Settings\Gabowski\Ustawienia lokalne\Temp\oflpydin.sys -- (oflpydin)
DRV - File not found [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\Drivers\SSPORT.sys -- (SSPORT)

:Files
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aaaaphcodaeekobnmpkdljikkcogmgmb
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bodddioamolcibagionmmobehnbhiakf
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\cjpglkicenollcignonpgiafdgfeehoj
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\aaaaphcodaeekobnmpkdljikkcogmgmb
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\bodddioamolcibagionmmobehnbhiakf
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\cjpglkicenollcignonpgiafdgfeehoj
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\Documents and Settings\Gabowski\Dane aplikacji\Mozilla\Firefox\Profiles\lje7c4ew.default\extensions\{5c5b9468-d672-4eb7-b52f-b5afabf28c5b}
C:\Documents and Settings\Gabowski\Dane aplikacji\Mozilla\Firefox\Profiles\lje7c4ew.default\extensions\bbrs_002@blabbers.com
C:\Documents and Settings\Gabowski\Dane aplikacji\Mozilla\Firefox\Profiles\lje7c4ew.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
C:\Documents and Settings\Gabowski\Dane aplikacji\Mozilla\Firefox\Profiles\lje7c4ew.default\searchplugins\askcomsearch.xml
C:\Documents and Settings\Gabowski\Dane aplikacji\Mozilla\Firefox\Profiles\lje7c4ew.default\searchplugins\Search.xml
C:\Documents and Settings\Gabowski\Dane aplikacji\Mozilla\Firefox\Profiles\lje7c4ew.default\searchplugins\sweetim.xml
C:\WINDOWS\tasks\*.job
C:\Documents and Settings\Gabowski\Dane aplikacji\*.exe

:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany.

2. Odinstaluj: SweetPacks Toolbar for Internet Explorer / Ask Toolbar / SFT_Polska Toolbar / Babylon Toolbar / AVG Security Toolbar / Softonic Toolbar / SearchYa Toolbar / PC Tools Registry Mechanic / RegTask

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj. Dołącz raport z usuwania OTLem + raport z czyszczenia z AdwCleaner i nowy komplet logów z OTL.

Post10 lis 2012, 23:13

Raport OTL Dostępne tylko dla zarejestrowanych użytkowników

AdwCleanerem się trochę pośpieszyłem i użyłem go już wcześniej, podobnie jak część "Toolerów" usunąłem szybciej.

AdwC pierwszy Dostępne tylko dla zarejestrowanych użytkowników

AdwC wykonany przed chwilą Dostępne tylko dla zarejestrowanych użytkowników

a co do logów z OTL nie generuje mi się Extras
OTL Dostępne tylko dla zarejestrowanych użytkowników

Post11 lis 2012, 09:34

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O34 - HKLM BootExecute: (aswBoot.exe /M:15bba113ec)
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O4 - HKLM..\Run: [RegTask] C:\Program Files\RegTask\RegTask.exe File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)
DRV - [2012-11-08 19:35:18 | 000,026,984 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)

:Files
C:\Program Files\Common Files\AVG Secure Search
C:\WINDOWS\tasks\*.job
C:\Documents and Settings\Gabowski\Dane aplikacji\*.exe
C:\Documents and Settings\Gabowski\Dane aplikacji\SmarThruOptions.xml

:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany.

2. Odinstaluj jeszcze: avast! EasyPass Toolbar

3. Zrób nowy log OTL z opcji Skanuj. Dołącz raport z usuwania OTLem + nowy komplet logów z OTL.

Post11 lis 2012, 13:54

ten skrypt nie chce mi się wykonać :c

Post11 lis 2012, 14:37

kszesio1109 pisze:ten skrypt nie chce mi się wykonać :c

Yhym. Szczegóły? Ponadto spróbuj Go wykonać w trybie awaryjnym.

Post11 lis 2012, 19:23

To jest log z OTL zrobiony przed chwilą Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników <a to jest nowy ADVC

Post13 lis 2012, 20:01

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0)
[2012-11-04 15:34:40 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
CHR - Extension: YouTube = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Szukaj w Google = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.11.0.9874_0\
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.3.0.11079_0\
CHR - Extension: Gmail = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
CHR - Extension: YouTube = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Szukaj w Google = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.11.0.9874_0\
CHR - Extension: Skype Click to Call = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\6.3.0.11079_0\
CHR - Extension: Gmail = C:\Documents and Settings\Gabowski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
O3 - HKU\S-1-5-21-1202660629-448539723-1417001333-1003\..\Toolbar\WebBrowser: (no name) - {724D43A0-0D85-11D4-9908-00400523E39A} - No CLSID value found.
O4 - HKLM..\Run: [RegTask] C:\Program Files\RegTask\RegTask.exe File not found
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} Dostępne tylko dla zarejestrowanych użytkowników (Windows Genuine Advantage Validation Tool)
[2012-10-18 09:39:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\SFT_Polska
[2012-11-11 18:38:06 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\B.exe
[2012-11-11 15:42:01 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\A.exe
[2012-11-11 13:35:10 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\9.exe
[2012-11-11 13:16:45 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\8.exe
[2012-11-11 11:11:34 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\7.exe
[2012-11-11 07:40:20 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\6.exe
[2012-11-10 22:29:13 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\5.exe
[2012-11-10 22:18:43 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\3.exe
@Alternate Data Stream - 98 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:D1B5B4F1
@Alternate Data Stream - 137 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:5CB1E0D3

:Files
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\All Users\Dane aplikacji\6F63A5A8D55F0847B4FD97B181CB3EF3
C:\Documents and Settings\All Users\Dane aplikacji\ESET
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Gabowski\Dane aplikacji\ESET

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz log z TDSSKiller -> http://www.hotfix.pl/instrukcja-obslugi ... r-a341.htm + nowe logi z OTL (oba!) -> http://hotfix.pl/articles.php?article_id=143.

Post13 lis 2012, 22:32

usuwanie OTL Dostępne tylko dla zarejestrowanych użytkowników

TDS Kiler (1) Dostępne tylko dla zarejestrowanych użytkowników
TDS KIler (2) Dostępne tylko dla zarejestrowanych użytkowników
TDS Kiler (3) Dostępne tylko dla zarejestrowanych użytkowników

OTL Dostępne tylko dla zarejestrowanych użytkowników
Ext Dostępne tylko dla zarejestrowanych użytkowników

Post14 lis 2012, 18:02

"{0C43FE6B-E881-4AFC-B384-4AEBC90047E8}" = SweetPacks bundle uninstaller
"{980A182F-E0A2-4A40-94C1-AE0C1235902E}" = Pando Media Booster
"{A0C9DF2B-89B5-4483-8983-18A68200F1B4}" = SweetIM for Messenger 3.7
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{DA683EB9-E863-42B1-8F73-70B549E69D7D}" = ESET Smart Security
"{C2F8CA82-2BD9-4513-B2D1-08A47914C1DA}_is1" = Uniblue DriverScanner
"McAfee Security Scan" = McAfee Security Scan Plus
"NSS" = Norton Security Scan
"Registry Mechanic_is1" = PC Tools Registry Mechanic 11.0

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
O4 - HKU\S-1-5-21-1202660629-448539723-1417001333-1003..\Run: [Windows Explorer] C:\Documents and Settings\Gabowski\Dane aplikacji\explorer.exe (Daniel Pistelli)
[2012-11-13 22:00:38 | 000,098,304 | ---- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\6.exe
[2012-11-13 21:54:42 | 000,000,000 | ---D | C] -- C:\TDSSKiller_Quarantine
[2012-11-13 21:33:16 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Documents and Settings\Gabowski\Pulpit\TDSSKiller.exe
[2012-11-13 21:30:32 | 000,098,304 | ---- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\4.exe
[2012-11-13 21:30:19 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Gabowski\Dane aplikacji\ESET
[2012-11-13 05:59:44 | 000,098,304 | ---- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\29.exe
[2012-11-12 23:12:04 | 000,098,304 | ---- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\27.exe
[2012-11-12 06:01:16 | 000,098,304 | ---- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\14.exe
[2012-11-11 23:08:25 | 000,098,304 | RHS- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\explorer.exe
[2012-11-11 23:08:19 | 000,098,304 | ---- | C] (Daniel Pistelli) -- C:\Documents and Settings\Gabowski\Dane aplikacji\42C.exe
[2012-11-11 23:08:33 | 000,176,128 | -H-- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\svchost64.exe
[2012-11-11 20:19:05 | 000,058,368 | ---- | M] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\D.exe
[2012-11-10 21:33:21 | 000,001,761 | ---- | M] () -- C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\McAfee Security Scan Plus.lnk
[2012-10-31 21:49:22 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Documents and Settings\Gabowski\Pulpit\TDSSKiller.exe
[2012-11-13 14:13:01 | 000,000,000 | ---- | C] () -- C:\Documents and Settings\Gabowski\Dane aplikacji\34.exe
[2012-10-14 14:33:27 | 000,037,336 | ---- | C] () -- C:\WINDOWS\System32\CleanMFT32.exe
[2011-12-12 16:19:38 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\ESET
[2012-11-13 21:30:19 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gabowski\Dane aplikacji\ESET
[2012-11-09 23:03:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\PMB Files
[2012-10-14 18:01:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gabowski\Dane aplikacji\Registry Mechanic
[2012-06-03 10:31:11 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Gabowski\Dane aplikacji\Uniblue

:Files
C:\Program Files\Google\Update

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Post14 lis 2012, 18:25

a ESETa muszę usuwać?

Post14 lis 2012, 19:12

kszesio1109 pisze:a ESETa muszę usuwać?

Raczej tak, bo masz tu bajzel, chyba, że wolisz usunąć Avast`a, a zostawić ESET`a.

Post14 lis 2012, 20:53

To znaczy ESET jest jako główny a AVAST zainstalowany jako pomocniczy.

Post15 lis 2012, 20:36

kszesio1109 pisze:To znaczy ESET jest jako główny a AVAST zainstalowany jako pomocniczy.

Nie może być coś takiego. To wykluczone.

Post15 lis 2012, 20:45

to usunę ESETa (a wracając do AVASTA to nawet w opcjach instalowania były 2 do wyboru: normalna i podrzędna jak już jest inny program)