Zawieszki komputera, blue screeny, włacz. sie kamerka

Post09 mar 2014, 16:06

Witam koleżanka mnie poprosiła o pomoc a ja prosze Was, ma ona następujący problem z komputerem.
po 1 czesto przy właczaniu ma nastepujący bluescreen Dostępne tylko dla zarejestrowanych użytkowników
Pozatym komputer starsznie sie wiesza ze nieraz nie da się wykonać najprostszej czynności>
Oraz najciekawsza rzecz, włącza jej sie sama kamerka (zapala sie dioda) I dostaje dziwne wiadomości systemowe typu "hi" "Hello"
A teraz daję logi
OTL --> Dostępne tylko dla zarejestrowanych użytkowników
OTL Extras --> Dostępne tylko dla zarejestrowanych użytkowników
Gmer --> Dostępne tylko dla zarejestrowanych użytkowników
gmer 2 --> Dostępne tylko dla zarejestrowanych użytkowników
Mbam --> Dostępne tylko dla zarejestrowanych użytkowników

Pozdrawiam.

Post09 mar 2014, 16:28

Logi z OTL są nieaktualne - potem był użyty MBAM.
Zrób nowy log z OTL.

F.

Post09 mar 2014, 17:28

Ok oto nowe logi
OTL ---> Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS --> Dostępne tylko dla zarejestrowanych użytkowników

Post09 mar 2014, 17:45

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-03-08 12:21:35 | 000,000,000 | ---D | M] -- C:\Users\GR\AppData\Roaming\Babylon
[2014-01-30 06:24:29 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\ktageepyif..vbs
[2014-01-30 00:59:20 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs
[2014-01-29 16:25:41 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\gckexzuarm..vbs
[2014-01-29 15:42:40 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs
[2014-03-08 20:06:24 | 001,094,057 | ---- | C] () -- C:\Users\GR\AppData\Roaming\pdcyspvytt..vbs
[2014-03-08 20:02:21 | 001,094,057 | ---- | C] () -- C:\Users\GR\AppData\Roaming\fslsbkoodk..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktxoqdadba..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktageepyif..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ksucdhqmht..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gckexzuarm..vbs
[2014-03-09 16:31:00 | 000,000,286 | ---- | M] () -- C:\Windows\tasks\Dealply.job
[2014-02-26 15:01:37 | 000,000,000 | ---D | C] -- C:\Program Files\FindRight
O7 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gckexzuarm..vbs ()
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ksucdhqmht..vbs ()
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktageepyif..vbs ()
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktxoqdadba..vbs ()
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [gckexzuarm] wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [ksucdhqmht] wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [ktageepyif] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [ktxoqdadba] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" File not found
O4 - HKLM..\Run: [ksucdhqmht] wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" File not found
O4 - HKLM..\Run: [ktageepyif] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" File not found
O4 - HKLM..\Run: [ktxoqdadba] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [301b5fcf8ce2fab8868e80b6c1f912fe] "C:\Users\GR\AppData\Local\Temp\System.exe" .. File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [970f3132eb0601fd9c4e384538b6c310] "C:\Users\GR\AppData\Roaming\Windows.exe" .. File not found
O4 - HKLM..\Run: [gckexzuarm] wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" File not found
IE - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\clwvd.sys -- (clwvd)

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
[-HKEY_USERS\S-1-5-21-1157614367-2765003939-3818137331-1000\Software\Microsoft\Internet Explorer\SearchScopes\8AB019CD29364B019F1C6A73139BE74]
[-HKEY_USERS\S-1-5-21-1157614367-2765003939-3818137331-1000\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
[HKEY_USERS\S-1-5-21-1157614367-2765003939-3818137331-1000\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"=-

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

F.

Post09 mar 2014, 18:16

Log po skanowaniu ---> Dostępne tylko dla zarejestrowanych użytkowników
EXTRAS --> Dostępne tylko dla zarejestrowanych użytkowników
OTL zwykły --> Dostępne tylko dla zarejestrowanych użytkowników

Post09 mar 2014, 20:03

Ależ uparta infekcja. :cry:

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2013-07-31 00:33:04 | 000,000,000 | ---D | M] -- C:\Users\GR\AppData\Roaming\eIntaller
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktxoqdadba..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktageepyif..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ksucdhqmht..vbs
[2014-02-28 19:42:42 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gckexzuarm..vbs
[2014-03-09 17:56:28 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs
[2014-03-09 17:56:28 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\ktageepyif..vbs
[2014-03-09 17:56:28 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs
[2014-03-09 17:56:28 | 000,163,498 | ---- | C] () -- C:\Users\GR\AppData\Roaming\gckexzuarm..vbs
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gckexzuarm..vbs ()
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ksucdhqmht..vbs ()
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktageepyif..vbs ()
O4 - Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktxoqdadba..vbs ()
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [gckexzuarm] wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [ksucdhqmht] wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [ktageepyif] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" File not found
O4 - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000..\Run: [ktxoqdadba] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" File not found
O4 - HKLM..\Run: [gckexzuarm] wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" File not found
O4 - HKLM..\Run: [ksucdhqmht] wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" File not found
O4 - HKLM..\Run: [ktageepyif] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" File not found
O4 - HKLM..\Run: [ktxoqdadba] wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" File not found
IE - HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\..\SearchScopes\8AB019CD29364B019F1C6A73139BE749: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=2AE590E6BA72CB0B&affID=119357&tsp=4959

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

Zrób logi z FRST >http://forum.hotfix.pl/bezpieczenstwo/korzystanie-z-frst-t28530.html

F.

Post09 mar 2014, 20:37

Raport OTL --> Dostępne tylko dla zarejestrowanych użytkowników
FRST --> Dostępne tylko dla zarejestrowanych użytkowników
Addition --> Dostępne tylko dla zarejestrowanych użytkowników

Post09 mar 2014, 21:01

Otwórz Notatnik i wklej w nim:

Task: {B637F7FF-BB14-452A-86DE-890FC1D39370} - \Program aktualizacji online firmy Adobe. No Task File
Task: {E79BF7FA-8DAC-44A2-A9BE-47EA4D0AAFAF} - System32\Tasks\Dealply => C:\Users\GR\AppData\Roaming\Dealply\UpdateProc\UpdateTask.exe <==== ATTENTION
HKLM\...\Run: [ktageepyif] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" <===== ATTENTION
HKLM\...\Run: [ksucdhqmht] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" <===== ATTENTION
HKLM\...\Run: [gckexzuarm] - wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" <===== ATTENTION
HKLM\...\Run: [ktxoqdadba] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [ktageepyif] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [ksucdhqmht] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [gckexzuarm] - wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [ktxoqdadba] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" <===== ATTENTION
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gckexzuarm..vbs ()
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ksucdhqmht..vbs ()
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktageepyif..vbs ()
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktxoqdadba..vbs ()
SearchScopes: HKCU - 8AB019CD29364B019F1C6A73139BE749 URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=2AE590E6BA72CB0B&affID=119357&tsp=4959
C:\Users\GR\AppData\Local\genienext
C:\Users\GR\Documents\DCSCMIN
C:\Users\GR\Documents\MSDCSC
C:\Users\GR\Downloads\uiso9_pe.exe
C:\Users\GR\AppData\Roaming\ktageepyif..vbs
C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs
C:\Users\GR\AppData\Roaming\gckexzuarm..vbs
C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!

Zrób log z TDSSKiller > http://www.hotfix.pl/instrukcja-obslugi-tdsskiller-a341.htm

Zrób nowe logi z FRST

(zajrzę tu dopiero jutro)

F.

Post10 mar 2014, 08:52

Fixlog --> Dostępne tylko dla zarejestrowanych użytkowników
TdsKiller --> Dostępne tylko dla zarejestrowanych użytkowników

Post10 mar 2014, 09:42

Zrob nowe logi z OTL i FRST.
Wklej tez log z GMER: http://www.hotfix.pl/uzywanie-programu-gmer-a147.htm

Post10 mar 2014, 14:24

Oto logi
OTL > Dostępne tylko dla zarejestrowanych użytkowników
Extras > Dostępne tylko dla zarejestrowanych użytkowników
FRST > Dostępne tylko dla zarejestrowanych użytkowników
Addition > Dostępne tylko dla zarejestrowanych użytkowników
GMER > Dostępne tylko dla zarejestrowanych użytkowników
GMER2 > Dostępne tylko dla zarejestrowanych użytkowników

Post10 mar 2014, 14:53

Daj log z ComboFixa: http://www.hotfix.pl/uzytkowanie-progra ... ix-a41.htm

Post10 mar 2014, 15:18

Log z Combofixa
Dostępne tylko dla zarejestrowanych użytkowników

Post10 mar 2014, 19:51

Czekaj na odp filutki

Post12 mar 2014, 15:29

Nie wiem, co to za infekcja, że nawet ComboFix sobie z nią nie poradził.

1) Otwórz Notatnik i wklej w nim:

HKLM\...\Run: [ksucdhqmht] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" <===== ATTENTION
HKLM\...\Run: [ktxoqdadba] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" <===== ATTENTION
HKLM\...\Run: [ktageepyif] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" <===== ATTENTION
HKLM\...\Run: [gckexzuarm] - wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" <===== ATTENTION
C:\Users\GR\AppData\Roaming\ktageepyif..vbs
C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs
C:\Users\GR\AppData\Roaming\gckexzuarm..vbs
C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs
CHR HKLM\...\Chrome\Extension: [ijblflkdjdopkpdgllkmlbgcffjbnfda] - C:\Users\GR\AppData\Local\Google\Chrome\User Data\Default\Extensions\newtab.crx [2014-01-26]
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gckexzuarm..vbs ()
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ksucdhqmht..vbs ()
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktageepyif..vbs ()
Startup: C:\Users\GR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ktxoqdadba..vbs ()
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [ksucdhqmht] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ksucdhqmht..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [ktxoqdadba] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktxoqdadba..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [ktageepyif] - wscript.exe //B "C:\Users\GR\AppData\Roaming\ktageepyif..vbs" <===== ATTENTION
HKU\S-1-5-21-1157614367-2765003939-3818137331-1000\...\Run: [gckexzuarm] - wscript.exe //B "C:\Users\GR\AppData\Roaming\gckexzuarm..vbs" <===== ATTENTION

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

2) Zrób log z FRST - już bez Addition.

Ani w logu TDSSKiller, ani w logach GMER - nie widzę Rootkita.

F.