SafeGroup - Prośba o sprawdzenie logów i pomoc przy infekcji

Objawy zainfekowania:
Komputer od jakiegoś czasu znacznie zwolnił obroty i się przegrzewa. Avast! informuje co chwilę o trojanie win32:zacces-pb, pojawił się też vundo-zr.

Wykonywane działania:
Skanowanie awastem.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

- OTL.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

- Extras.txt

[Aby zobaczyć linki, zarejestruj się tutaj]

- log.txt

Z góry dziękuję za pomoc.

W trybie awaryjnym

1. Otwórz Notatnik i wklej w nim:

reg delete HKCU\Software\Classes\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} /f

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT

Kliknij prawym na plik i wybierz opcję Uruchom jako Administrator. Konieczny restart komputera, by odładować z pamięci ZeroAccess.

2. Otwórz Notatnik i wklej w nim:

TAKEOWN /F C:\$Recycle.Bin\S-1-5-18 /R /A /D Y
icacls C:\$Recycle.Bin\S-1-5-18 /grant Wszyscy:F /T
icacls C:\$Recycle.Bin\S-1-5-21-1753502431-1363388305-3124752059-1001\$40724f0b785deddb6a06c5c014b22a8d\n /grant Wszyscy:F /T
rd /s /q C:\$Recycle.Bin
pause

Zapisz też jaki fix1.bat i wykonaj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

i w oknie wklej:

Kod:
:dir

C:\$Recycle.Bin /s

:filefind

services.exe

Pokaż log.

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "http://isearch.avg.com/?cid={D41B2F90-9AA7-452D-BBA4-B010FBB45B15}&mid=4c8a33e2651e4fa4850db87bf2e84ce4-52631f34419d3c98725255b0cdacece0925f3db4&lang=pl&ds=xn011&pr=sa&d=2012-11-25 14:36:06&v=14.2.0.1&pid=avg&sg=&sap=hp"

FF - prefs.js..extensions.enabledAddons: guiconfig%40slosd.net:1.2.2

FF - prefs.js..extensions.enabledAddons: lingtoolbar%40druid.com.pl:4.35

FF - prefs.js..extensions.enabledAddons: %7Be4a8a97b-f2ed-450b-b12d-ee082ba24781%7D:1.8

FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0.1

FF - prefs.js..keyword.URL: "http://isearch.avg.com/search?cid={D41B2F90-9AA7-452D-BBA4-B010FBB45B15

O4 - HKU\S-1-5-21-1753502431-1363388305-3124752059-1001..\RunOnce: [Google Chrome] C:\Users\ETAOIN\AppData\Local\Google Chrome\Google Chrome.pif ()

O4 - Startup: C:\Users\ETAOIN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AutorunsDisabled [2013/01/10 19:45:23 | 000,000,000 | -H-D | M]

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1

O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-21-1753502431-1363388305-3124752059-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.9.2)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 10.9.2)

:Files

C:\ProgramData\dsgsdgdsgdsgw.pad

C:\Users\ETAOIN\AppData\Roaming\dll-files.com

:Commands

[RESETHOSTS]

[EMPTYTEMP]

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji,lub ją odinstaluj jeśli nie używasz.

[Aby zobaczyć linki, zarejestruj się tutaj]

- log dla SystemLook

[Aby zobaczyć linki, zarejestruj się tutaj]

- log dla OTL

Hmm log z systemlook musi być w takiej formie

Kod:
SystemLook 30.07.11 by jpshortstuff

Log created at 16:03 on 22/04/2013 by tachion

Administrator - Elevation successful

========== dir ==========

C:\$Recycle.Bin - Parameters: "/s"

---Files---

None found.

C:\$Recycle.Bin\S-1-5-21-2914114253-175224502-39560655-1000    d--hs--    [10:58 31/01/2013]

desktop.ini    --ahs-- 129 bytes    [10:58 31/01/2013]    [10:58 31/01/2013]

========== filefind ==========

Searching for "services.exe"

C:\Windows\System32\services.exe    --a---- 259072 bytes    [23:11 13/07/2009]    [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe    --a---- 259072 bytes    [23:11 13/07/2009]    [01:14 14/07/2009] 5F1B6A9C35D3D5CA72D6D6FDEF9747D6

-= EOF =-

Może miałeś spacje gdzieś przy wklejeniu

Ściągnij Farbar System scanner ,zaznacz wszystko i wklej tutaj to co wyświetli

[Aby zobaczyć linki, zarejestruj się tutaj]