SafeGroup

Objawy zainfekowania:
Avast wywala co chwila komunikat o tym, ze zablokowal zlosliwy adres URL.
Proces: C:\Windows\System32\svchost.exe
Infekcja: URL:Mal
oraz
Proces: C:\Program Files\Mozilla Firefox\firefox.exe
Infekcja: URL:Mal
Mimo ze zezwalam na ciasteczka w firefoxie to nie moge sie zalogowac np. na gmail bo pisze ze musze wlaczyc obslugiwanie ciastek.
W chwili zakonczenia pobierania czegokolwiek przez domyslny menedzer pobierania jest to od razu usuwane.
Uszkodził mi też kilka programów, ktore reinstalowalem ale znowu je uszkodzil.

Wykonywane działania:
Avastem kilka razy, cos powykrywal, usunalem ale dalej nic.
Malwarebytes Anti-Malware, znalazl nieco, w tym dwa trojany, ktore usunalem, nic.
SUPERAntiSpyware Free Edition, to samo co wyzej, tez cos wykryl ale dalej nic.

Jedyny moment ciszy, spokoju i melancholii to jak odlacze kabel od internetu.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jest zeroAccess w najstarszej wersji infekującej sterowniki
[C:\Windows\$NtUninstallKB575$]-> Error: Cannot create file handle -> Unknown point type

Pobierz Kaspersky TDSS Killer :

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom skan, zostaw mu domyślne akcje i potwierdź leczenie i zresetuj system
zostanie wygenerowany plik na partycji C załącz go

następnie pobierz i uruchom ten program:

[Aby zobaczyć linki, zarejestruj się tutaj]

Po tym załącz nowy log z OTL

TDSS

[Aby zobaczyć linki, zarejestruj się tutaj]

OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

avast przestal wariowac.

Odinstaluj:

HiJackThis
SpyHunter
Spybot - Search & Destroy
SUPERAntiSpyware

Start w polu szukania wpisz cmd i z prawokliku uruchom jako administrator wklej komendę:

netsh winsock reset

Enter i zresetuj system.

W trybie awaryjnym z tego samego konta w własne opcje skanowania skrypt wklej i wykonaj:

Kod:
:OTL

DRV - File not found [Kernel | On_Demand | Stopped] ---- (VGPU)

DRV - File not found [Kernel | On_Demand | Stopped] -- E:\AppData\Local\Temp\FireStorm.sys -- (FireStorm)

IE - HKU\S-1-5-21-536298451-2203370397-2941968742-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve

FF - prefs.js..browser.search.useDBForOrder: true

FF - prefs.js..browser.startup.homepage: "google.pl/ig"

FF - prefs.js..extensions.enabledAddons: externalip%40erik.morlin:0.9.9.6

FF - prefs.js..extensions.enabledAddons: gts%40ff.tillwiebke.de:1.3.1

FF - prefs.js..extensions.enabledAddons: %7B251b3fd3-49c9-42c8-a8b3-3b4a1bc84c4f%7D:1.0.4

FF - prefs.js..keyword.URL: "https://duckduckgo.com/?q="

O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0

O7 - HKU\S-1-5-21-536298451-2203370397-2941968742-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} http://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab (Creative Software AutoUpdate Support Package 2)

[2013-05-28 16:41:04 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%

@Alternate Data Stream - 143 bytes -> C:\ProgramData\TEMP:07BF512B

@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:1AAB2E68

:Commands

[EMPTYTEMP]

Ściągnij dodatkowo program Malwarebytes Anti-Rootkit

[Aby zobaczyć linki, zarejestruj się tutaj]

i przeprowadź dodatkowy skan.

ŚciągnijFarbar Service Scanner

[Aby zobaczyć linki, zarejestruj się tutaj]

,zaznacz wszystko i daj skan,podaj raport

Ratuskal

Conor29134

Ratuskal

tachion