Pomoc z logami OTL

[kostek91]

Hej! Proszę o przejrzenie logów i pokierowanie co mam robić dalej, bo zupełnie nie mam pojęcia na ten tematProblem polega na tym że za każdym razem przy uruchamianiu przeglądarki obojętnie jakiej IE czy Mozilla zmienia się strona startowa na jakieś wyszukiwarki z których nigdy nie korzystałem (StartPins, SearchCompletion Search) a przy zamknięciu przeglądarki wyskakuje komunikat: "An attempt to change your search engine was blocked", itp. Ogólnie rzecz biorąc muli neta. Będe wdzięczy za jakiekolwiek sugestje i rady. Poniżej logi.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

Infekcja z Facebooka.
Za godzinę bede na komputerze i Ci pomogę

[Messanger]

Uruchom OTL i w oknie Własne opcje skanowania/Script wklej to:

Kod:

:OTL
O31 - SafeBoot: AlternateShell - services32.exe

:files
%windir%\rpcminer
%windir%\phoenix
%windir%\ufa
%windir%\av_ico
%windir%\update.*
%windir%\System32\drivers\etc\hîsts
%windir%\phoenix.rar
%windir%\rpcminer.rar
%windir%\ufa.rar
%windir%\l1rezerv.exe
%windir%\geoiplist
%windir%\geoiplist.rar
%windir%\info1
%windir%\RECYCLER
%windir%\sysdriver32_.exe
%windir%\sysdriver32.exe
%windir%\unrar.exe
%windir%\loader2.exe_ok
%windir%\systemup.exe

:Services
ddservice
wxpdrivers
srvbtcclient
srviecheck
srvsysdriver32

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"w_distrib.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico8"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico1"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico2"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico3"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico4"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico5"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico6"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"tray_ico7"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"71244908-loader2.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"l1rezerv.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sysdriver32_.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"systemup"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wxpdrv"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\wxpdrivers]
[-HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\WXPDRIVERS]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srvbtc1]
[-HKEY_LOCAL_MACHINE\SOFTWARE\sysdriver32.exe]
[-HKEY_LOCAL_MACHINE\SOFTWARE\systeminfog]
[-HKEY_LOCAL_MACHINE\SOFTWARE\SERVICES32.EXE]

:Commands
[emptyflash]
[emptytemp]
[resethosts]


Kliknij w Wykonaj Script. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.


EDIT:
Jeśli po tym usuwaniu będą się pojawiać komunikaty zaraz po starcie Systemu, to zrób log z OTL, zwróć w nim uwagę na linijki podobne do tych (ale nie kolorowe):
Cytuj

O4 - HKLM..\Run: [583699.exe]File not found
O4 - HKLM..\Run: [7746016.exe]File not found
O4 - HKLM..\Run: [9655692.exe]File not found
Następnie:
Do Notatnika wklej:
Kod:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"3393134.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"71244908.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"7154932.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"8982452.exe"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"915198.exe"=-


Uwaga: w miejsce cyferek wpisz takie znaki, jakie są u Ciebie w logu w wpisach O4 oznaczonych "File not found"
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).
Zrestartuj komputer.

[KaMiL]

Mogles przynajmniej dac to w tagi, bo wkleiles ten gotowy skrypt tak, ze autor nie wszystko moze dobrze zrobić...

Dodano: 22 wrz 2012, 18:21

Ja bym w ogole tego skryptu nie wykonywał...

[Messanger]

Hmm owszem gotowybo to jest powiedzmy jedna z 3 najczęstszych infekcji jakie widać na forach

[kostek91]

Wykonałem ten pierwszy skrypt ale problem nadal się pojawia. To raport który pokazał się po restarcie:

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

Pojawia sie, bo to jest zly skrypt. Za 15 min. podam odpowiedni.

[ktośtam]

Messanger , jeżeli nie masz pojęcia co robisz, to zostaw to ludziom, którzy pomogą a nie zaszkodzą użytkownikowi!
kostek91 , wstrzymaj się z robieniem czegokolwiek, do momentu aż Kamil poda Ci właściwy skrypt.

[kostek91]

Ok w takim razie czekam na odpowiedź KaMiL''a

[Waves]

A mogę ja podać ?
Do OTL w własne pole skanowania skrypt wklej:

Kod:

:Processess
Killallprocesses

:OTL
PRC - [2012/02/15 18:56:52 | 000,147,784 | ---- | M] () -- C:\Program Files (x86)\Browsers Protector\regmon32.exe
MOD - [2012/02/15 18:56:52 | 000,147,784 | ---- | M] () -- C:\Program Files (x86)\Browsers Protector\regmon32.exe
SRV:[b]64bit:[/b] - [2011/11/07 22:21:20 | 000,551,896 | ---- | M] (Protection Technology) [Auto | Stopped] -- C:\Windows\SysNative\appdrvrem01.exe -- (appdrvrem01)
O4 - HKCU..\Run: [Facebook Update] C:\Users\albert\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKLM..\Run: [Browsers Protector] C:\Program Files (x86)\Browsers Protector\regmon32.exe ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
[2012/09/13 00:24:10 | 000,000,000 | ---D | C] -- C:\ProgramData\225932FD037EFD02B7B5E286F875F002
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Uwegpy
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Tadoa
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Afyhwa
[2012/05/19 20:48:35 | 000,075,045 | ---- | C] () -- C:\Windows\SysWow64\6cca3bcd.exe
[2011/08/19 20:12:06 | 000,165,376 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll
[2011/07/26 16:20:38 | 000,963,116 | ---- | C] () -- C:\Windows\SysWow64\igkrng600.bin
[2011/07/26 16:20:38 | 000,218,304 | ---- | C] () -- C:\Windows\SysWow64\igfcg600m.bin
[2011/07/26 16:14:32 | 000,056,832 | ---- | C] () -- C:\Windows\SysWow64\igdde32.dll
[2011/07/26 15:50:58 | 013,903,872 | ---- | C] () -- C:\Windows\SysWow64\ig4icd32.dll
[2011/05/25 23:32:29 | 000,000,028 | ---- | C] () -- C:\Windows\coder.ini
[2011/03/16 15:38:27 | 000,484,656 | ---- | C] () -- C:\Windows\ssndii.exe
[2011/03/16 15:38:13 | 000,258,864 | ---- | C] () -- C:\Windows\SUPDRun.exe
[2011/03/16 15:38:02 | 000,142,704 | ---- | C] () -- C:\Windows\wiainst64.exe

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Wykonaj skrypt. Pokaż log z usuwania i nowy po.

Twoje zdjęcie? Jeśli nie znasz to nie uruchamiaj!

Kod:

C:\Users\albert\92606010.jpg

Najlepiej przeskanuj na

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

Warto dodać jeszcze to:

Kod:

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=29c40ae6-a1e3-11e1-8567-001bb1d4cb95
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=29c40ae6-a1e3-11e1-8567-001bb1d4cb95&q={searchTerms}
[2012/09/22 16:01:07 | 000,001,082 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3991171732-2306197251-2001044958-1001UA.job
[2012/09/22 11:28:09 | 000,001,060 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3991171732-2306197251-2001044958-1001Core.job

Czyli razem będzie to wyglądało tak:

Kod:

:Processess
Killallprocesses

:OTL
PRC - [2012/02/15 18:56:52 | 000,147,784 | ---- | M] () -- C:\Program Files (x86)\Browsers Protector\regmon32.exe
MOD - [2012/02/15 18:56:52 | 000,147,784 | ---- | M] () -- C:\Program Files (x86)\Browsers Protector\regmon32.exe
SRV:[b]64bit:[/b] - [2011/11/07 22:21:20 | 000,551,896 | ---- | M] (Protection Technology) [Auto | Stopped] -- C:\Windows\SysNative\appdrvrem01.exe -- (appdrvrem01)
O4 - HKCU..\Run: [Facebook Update] C:\Users\albert\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKLM..\Run: [Browsers Protector] C:\Program Files (x86)\Browsers Protector\regmon32.exe ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O9:[b]64bit:[/b] - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O9:[b]64bit:[/b] - Extra ''Tools'' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2012/09/13 00:24:10 | 000,000,000 | ---D | C] -- C:\ProgramData\225932FD037EFD02B7B5E286F875F002
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Uwegpy
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Tadoa
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Afyhwa
[2012/05/19 20:48:35 | 000,075,045 | ---- | C] () -- C:\Windows\SysWow64\6cca3bcd.exe
[2011/08/19 20:12:06 | 000,165,376 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll
[2011/07/26 16:20:38 | 000,963,116 | ---- | C] () -- C:\Windows\SysWow64\igkrng600.bin
[2011/07/26 16:20:38 | 000,218,304 | ---- | C] () -- C:\Windows\SysWow64\igfcg600m.bin
[2011/07/26 16:14:32 | 000,056,832 | ---- | C] () -- C:\Windows\SysWow64\igdde32.dll
[2011/07/26 15:50:58 | 013,903,872 | ---- | C] () -- C:\Windows\SysWow64\ig4icd32.dll
[2011/05/25 23:32:29 | 000,000,028 | ---- | C] () -- C:\Windows\coder.ini
[2011/03/16 15:38:27 | 000,484,656 | ---- | C] () -- C:\Windows\ssndii.exe
[2011/03/16 15:38:13 | 000,258,864 | ---- | C] () -- C:\Windows\SUPDRun.exe
[2011/03/16 15:38:02 | 000,142,704 | ---- | C] () -- C:\Windows\wiainst64.exe
[2012/09/22 16:01:07 | 000,001,082 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3991171732-2306197251-2001044958-1001UA.job
[2012/09/22 11:28:09 | 000,001,060 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3991171732-2306197251-2001044958-1001Core.job
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=29c40ae6-a1e3-11e1-8567-001bb1d4cb95
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=29c40ae6-a1e3-11e1-8567-001bb1d4cb95&q={searchTerms}

:Commands
[emptyflash]
[emptytemp]
[resethosts]

W sumie dodałem więcej

[kostek91]

Nie spodziewałem się tak szybkich odpowiedzi i takiego zainteresowania, aż dostałem kręćka z tym wszystkim

Dodano: 22 wrz 2012, 19:06

Dobra już działam i zaraz daje logi.

[KaMiL]

Wykonaj skrypt, który dałem na dole. To skrypt Waves''a + dodałem coś od siebie

Kod:

:Processess
Killallprocesses

:OTL
PRC - [2012/02/15 18:56:52 | 000,147,784 | ---- | M] () -- C:\Program Files (x86)\Browsers Protector\regmon32.exe
MOD - [2012/02/15 18:56:52 | 000,147,784 | ---- | M] () -- C:\Program Files (x86)\Browsers Protector\regmon32.exe
SRV:[b]64bit:[/b] - [2011/11/07 22:21:20 | 000,551,896 | ---- | M] (Protection Technology) [Auto | Stopped] -- C:\Windows\SysNative\appdrvrem01.exe -- (appdrvrem01)
O4 - HKCU..\Run: [Facebook Update] C:\Users\albert\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKLM..\Run: [Browsers Protector] C:\Program Files (x86)\Browsers Protector\regmon32.exe ()
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O9:[b]64bit:[/b] - Extra Button: ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O9:[b]64bit:[/b] - Extra ''Tools'' menuitem : ArcaVir >> - {40525A66-DB98-480D-BCF9-7AF88C1AF438} - C:\Program Files\ArcaBit\WebExtensions\ie\ArcaIEExt.dll File not found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
[2012/09/13 00:24:10 | 000,000,000 | ---D | C] -- C:\ProgramData\225932FD037EFD02B7B5E286F875F002
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Uwegpy
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Tadoa
[2012/09/07 19:25:45 | 000,000,000 | ---D | C] -- C:\Users\albert\AppData\Roaming\Afyhwa
[2012/05/19 20:48:35 | 000,075,045 | ---- | C] () -- C:\Windows\SysWow64\6cca3bcd.exe
[2011/08/19 20:12:06 | 000,165,376 | ---- | C] () -- C:\Windows\SysWow64\unrar.dll
[2011/07/26 16:20:38 | 000,963,116 | ---- | C] () -- C:\Windows\SysWow64\igkrng600.bin
[2011/07/26 16:20:38 | 000,218,304 | ---- | C] () -- C:\Windows\SysWow64\igfcg600m.bin
[2011/07/26 16:14:32 | 000,056,832 | ---- | C] () -- C:\Windows\SysWow64\igdde32.dll
[2011/07/26 15:50:58 | 013,903,872 | ---- | C] () -- C:\Windows\SysWow64\ig4icd32.dll
[2011/05/25 23:32:29 | 000,000,028 | ---- | C] () -- C:\Windows\coder.ini
[2011/03/16 15:38:27 | 000,484,656 | ---- | C] () -- C:\Windows\ssndii.exe
[2011/03/16 15:38:13 | 000,258,864 | ---- | C] () -- C:\Windows\SUPDRun.exe
[2011/03/16 15:38:02 | 000,142,704 | ---- | C] () -- C:\Windows\wiainst64.exe
[2012/09/22 16:01:07 | 000,001,082 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3991171732-2306197251-2001044958-1001UA.job
[2012/09/22 11:28:09 | 000,001,060 | ---- | M] () -- C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-3991171732-2306197251-2001044958-1001Core.job
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=29c40ae6-a1e3-11e1-8567-001bb1d4cb95
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=29c40ae6-a1e3-11e1-8567-001bb1d4cb95&q={searchTerms}

:Commands
[emptyflash]
[emptytemp]
[resethosts]

Pokaż log z usuwania.

[Waves]

Wydaje mi się że jakieś pojęcie w tym mam

[kostek91]

Po restarcie wydaje się że sprawa ma się znacznie lepiej
Proszę:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[KaMiL]

Czysto. możesz wywalić All Player Update z autostartu, to samo Winamp.
Odinstaluj Javę i Adobe Flash a następnie uruchom Firefoxa, wejdź na tę stronę

[Aby zobaczyć linki, zarejestruj się tutaj]

i zainstaluj Flasha. Java jest Ci niepotrzebna a tylko zmniejsza bezpieczeństwo.

Programem CCleaner wyczyść dysk i rejestr.

[kostek91]

Wielkie dzięki za pomoc, dla mnie jesteście Bogami W takim razie uważam temet za zamknięty i już wiem do kogo się zwracać w razie problemu.

[Waves]

Ja zapytam się jeszcze o jedno. Jakie masz zabezpieczenie komputera ? W logach widziałem jakieś resztki bo Arcabicie

[KaMiL]

A no właśnie, zapomniałem zapytać
Tak na szybko... Zainstaluj Avasta

[Aby zobaczyć linki, zarejestruj się tutaj]

[Waves]

Dlaczego na szybko? Forum ma nieść pomoc jak najbardziej profesionalną a nie tak " na szybko "