raport OTL - pomoc w odczytaniu

[Kama1982]

Objawy zainfekowania:
Napisz czym objawia się infekcja

Przy uruchamianiu komputera pojawia się błąd RUNDLL (nie można odnaleźć określonego modułu).
Od pewnego czasu komp trochę szwankuje, sam się wyłącza, trochę "zgrzyta" niczym traktor


Wykonywane działania:
Opisz czym był skanowany komputer, jakie posiada oprogramowanie ochronne

Skan OTL by OldTimer, poza tym avast!, RegCean Pro, CCleaner


Logi:
Tutaj umieść linki do logów z OTL i RSIT

[Aby zobaczyć linki, zarejestruj się tutaj]

PROSZĘ O POMOC

[defacto19]

1 . Przez panel sterowania odinstaluj :

Google Toolbar for Internet Explorer
free-downloads.net Toolbar
uTorrentControl2 Toolbar
Babylon toolbar on IE
yahoo! Toolbar
ALOT Toolbar
Ask Toolbar

2 . Uruchom OTLi w sekcji Własne opcje skanowania /skryptwklej:

Kod:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750obex.sys -- (k750obex)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mgmt.sys -- (k750mgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdm.sys -- (k750mdm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdfl.sys -- (k750mdfl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750bus.sys -- (k750bus)
DRV - File not found [Kernel | On_Demand | Unknown] ---- (amqgb98y)
DRV - File not found [Kernel | On_Demand | Unknown] ---- (aeh95hpl)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://http://uk.yahoo.com/?fr=mkg029.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://http://uk.yahoo.com/?fr=mkg029.yahoo.com
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_Prot
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook:- No CLSID value found
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.)
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=d8b016a700000000000000e04cddcc32
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=53CF1D3A-B758-4B32-AC86-43190541E892&apn_sauid=AC042A6D-5F49-4E57-B28F-5340527A99C9
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=2486D9D001CC1DE700261246&install_time=2011-05-29T09:59:44Z&src_id=12251&camp_id=2556&tb_version=2.5.18000.3
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=mkg028
O4 - HKLM..\Run: [P17Helper] C:\WINDOWS\System32\P17.dll ()
O4 - HKU\S-1-5-21-682003330-492894223-725345543-1003..\Run: [Facebook Update] C:\Documents and Settings\kamila\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-21-682003330-492894223-725345543-1003..\Run: [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O33 - MountPoints2\{29be6ddc-d430-11dc-8510-00e04cddcc32}\Shell - "" = AutoRun
O33 - MountPoints2\{29be6ddc-d430-11dc-8510-00e04cddcc32}\Shell\Auto\command - "" = G:\UFO.exe
O33 - MountPoints2\{29be6ddc-d430-11dc-8510-00e04cddcc32}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
O33 - MountPoints2\{3c9efd6e-1534-11e1-8f3c-00e04cddcc32}\Shell - "" = AutoRun
O33 - MountPoints2\{3c9efd6e-1534-11e1-8f3c-00e04cddcc32}\Shell\AutoRun\command - "" = I:\ICM_Manager.exe
[2013-01-13 11:08:10 | 000,001,006 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-682003330-492894223-725345543-1003UA.job

:Commands
[emptyflash]
[emptytemp]

3 . Kliknij wykonaj skrypt . Zatwierdź restart komputera.

4 . Uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

z opcji Delete .

5 . Uruchom OTLponownie i kliknij Skanuj . Pokaż nowy log OTL.Txt oraz raport z AdwCleaner.

[Kama1982]

dziękuję za odp., zaraz wykonam wg powyższych wskazówek

---

Dodano: 14 sty 2013, 2:33

1 . Przez panel sterowania odinstaluj :

Google Toolbar for Internet Explorer
free-downloads.net Toolbar
uTorrentControl2 Toolbar
Babylon toolbar on IE
yahoo! Toolbar
ALOT Toolbar
Ask Toolbar

2 . Uruchom OTLi w sekcji Własne opcje skanowania /skryptwklej:

Kod:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\usbser_lowerflt.sys -- (upperdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750obex.sys -- (k750obex)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mgmt.sys -- (k750mgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdm.sys -- (k750mdm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750mdfl.sys -- (k750mdfl)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\k750bus.sys -- (k750bus)
DRV - File not found [Kernel | On_Demand | Unknown] ---- (amqgb98y)
DRV - File not found [Kernel | On_Demand | Unknown] ---- (aeh95hpl)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://http://uk.yahoo.com/?fr=mkg029.yahoo.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://http://uk.yahoo.com/?fr=mkg029.yahoo.com
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/?babsrc=HP_Prot
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook:- No CLSID value found
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\URLSearchHook: {81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll (Yahoo! Inc.)
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=d8b016a700000000000000e04cddcc32
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=53CF1D3A-B758-4B32-AC86-43190541E892&apn_sauid=AC042A6D-5F49-4E57-B28F-5340527A99C9
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{5AA2BA46-9913-4DC7-9620-69AB0FA17AE7}: "URL" = http://search.alot.com/web?q={searchTerms}&pr=prov&client_id=2486D9D001CC1DE700261246&install_time=2011-05-29T09:59:44Z&src_id=12251&camp_id=2556&tb_version=2.5.18000.3
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = http://uk.search.yahoo.com/search?p={searchTerms}&fr=mkg028
O4 - HKLM..\Run: [P17Helper] C:\WINDOWS\System32\P17.dll ()
O4 - HKU\S-1-5-21-682003330-492894223-725345543-1003..\Run: [Facebook Update] C:\Documents and Settings\kamila\Ustawienia lokalne\Dane aplikacji\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - HKU\S-1-5-21-682003330-492894223-725345543-1003..\Run: [Search Protection] C:\Program Files\Yahoo!\Search Protection\SearchProtection.exe File not found
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O33 - MountPoints2\{29be6ddc-d430-11dc-8510-00e04cddcc32}\Shell - "" = AutoRun
O33 - MountPoints2\{29be6ddc-d430-11dc-8510-00e04cddcc32}\Shell\Auto\command - "" = G:\UFO.exe
O33 - MountPoints2\{29be6ddc-d430-11dc-8510-00e04cddcc32}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL UFO.exe
O33 - MountPoints2\{3c9efd6e-1534-11e1-8f3c-00e04cddcc32}\Shell - "" = AutoRun
O33 - MountPoints2\{3c9efd6e-1534-11e1-8f3c-00e04cddcc32}\Shell\AutoRun\command - "" = I:\ICM_Manager.exe
[2013-01-13 11:08:10 | 000,001,006 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-682003330-492894223-725345543-1003UA.job

:Commands
[emptyflash]
[emptytemp]

3 . Kliknij wykonaj skrypt . Zatwierdź restart komputera.

4 . Uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

z opcji Delete .

5 . Uruchom OTLponownie i kliknij Skanuj . Pokaż nowy log OTL.Txt oraz raport z AdwCleaner.

Zrobione wg podpowiedzi
Raport OTL:

[Aby zobaczyć linki, zarejestruj się tutaj]

[defacto19]

Przeskanuj poniższe pliki na

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw wyniki.

Kod:

C:\Program Files\unicows.dll
C:\Program Files\instmsiw.exe

Uruchom OTLi w sekcji Własne opcje skanowania /skryptwklej:

Kod:

:OTL
O3 - HKU\S-1-5-21-682003330-492894223-725345543-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - Startup: C:\Documents and Settings\kamila\Menu Start\Programy\Autostart\ctfmon.lnk = C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe (Microsoft Corporation)
[2013-01-12 20:08:06 | 000,000,984 | ---- | M] () -- C:\WINDOWS\tasks\FacebookUpdateTaskUserS-1-5-21-682003330-492894223-725345543-1003Core.job
@Alternate Data Stream - 113 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:0CE7F3C9

:Files
C:\Documents and Settings\All Users\Dane aplikacji\038E7C9A1B.sys
C:\Documents and Settings\All Users\Dane aplikacji\KGyGaAvL.sys
C:\Documents and Settings\All Users\Dane aplikacji\0tbpw.pad
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\ezsid.dat

:Commands
[emptytemp]

Kliknij wykonaj skrypt . Zatwierdź restart komputera. Pokaż raport z usuwania.

Napisz czy problem nadal występuje.

[Kama1982]

Przeskanowałam naVirusTotal ale nie jestem pewna gdzie są wyniki ;/
Czy chodziło o to?

File name: instmsiw.exe
File type: Win32 EXE
Detection ratio: 0 / 46
Analysis date: 2013-01-14 07:47:41 UTC ( 0 minut ago )






File name: unicows.dll
File type: Win32 DLL
Detection ratio: 0 / 46
Analysis date: 2013-01-14 07:44:40 UTC ( 0 minut ago )

[defacto19]

A gdzie jest raport z usuwania ?

[Kama1982]

raport

[Aby zobaczyć linki, zarejestruj się tutaj]

przy uruchamianiu błąd się nie pojawił

defacto19 jesteś mistrzem!
wielkie dzięki

[defacto19]

Uruchom OTL i kliknij sprzątanie .

W AdwCleaner kliknij Uninstall .

Wyczyść punkty przywracania systemu

[Aby zobaczyć linki, zarejestruj się tutaj]

Zaktualizuj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji.

[Twoja stara]

Zaktualizuj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji.

A najlepiej ją usuń jeśli niepotrzebna

[Kama1982]

Wszystko wykonane wg instrukcji, java też zaktualizowana