Prosba o sprawdzenie raportu

[Nowoscix]

Objawy zainfekowania:
Ogólne sprawdzenie komputera
Widze ze zostało cos po TibiiAuto wykasowanej troche czaasu temu.
Wykonywane działania:
Skanowanie OTL, antywirus AVG

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

W okienku własne opcje skanowania skrypt wklej i wykonaj:

:OTL
PRC - [2013-05-20 18:40:35 | 004,284,976 | ---- | M]() -- C:\Program Files\Pando Networks\Media Booster\PMB.exe
DRV - File not found [Kernel | On_Demand | Stopped]-- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped]-- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped]-- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Stopped]-- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Unknown]---- (aai2042h)
IE - HKU\S-1-5-21-122181847-833119167-3258314903-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page =

[Aby zobaczyć linki, zarejestruj się tutaj]

IE - HKU\S-1-5-21-122181847-833119167-3258314903-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" =

[Aby zobaczyć linki, zarejestruj się tutaj]

{searchTerms}&affID=119816&babsrc=SP_ss&mntrId=2c01042100000000000070f1a1b0b25f
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
O4 - HKLM..\Run: [rejestr]C:\Windows\system32\Setup\rejestr.exe File not found
O4 - HKLM..\Run: [svhost] File not found
O4 - HKU\S-1-5-21-122181847-833119167-3258314903-1000..\Run: [Pando Media Booster]C:\Program Files\Pando Networks\Media Booster\PMB.exe ()
O4 - HKU\S-1-5-21-122181847-833119167-3258314903-1000..\Run: [svhost]C:\Windows\svchost.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableSecureUIAPaths = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableUIADesktopToggle = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableVirtualization = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ValidateAdminCodeSignatures = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: scforceoption = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: FilterAdministratorToken = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_TEXT = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_BITMAP = 2
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_OEMTEXT = 7
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIB = 8
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_PALETTE = 9
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_UNICODETEXT = 13
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\UIPI\Clipboard\ExceptionFormats: CF_DIBV5 = 17
[2013-02-28 20:14:03 | 000,000,000 | ---D | M]-- C:\Users\Pawel\AppData\Roaming\Babylon
[2013-03-07 20:47:06 | 000,000,000 | ---D | M]-- C:\Users\Pawel\AppData\Roaming\Tibiacast
[2013-03-03 11:13:15 | 000,000,000 | ---D | M]-- C:\Users\Pawel\AppData\Roaming\PowerUp Software
[2013-02-28 11:15:06 | 000,000,000 | -H-D | M]-- C:\Users\Pawel\AppData\Roaming\Pawel
[2013-02-28 18:48:44 | 000,000,000 | -H-D | M]-- C:\Users\Pawel\AppData\Roaming\BlueSoft
@Alternate Data Stream - 128 bytes -> C:\Windows\System32\zlib.dll:SummaryInformation
@Alternate Data Stream - 128 bytes -> C:\Windows\System32\zlib.dllocumentSummaryInformation

:Commands
[EMPTYTEMP]

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z Adwcleaner .
Podaj również raport z wykonania skryptu.

[Nowoscix]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

raportu niestety nie mam

[tachion]

Skrypt się wykonał,przejdź do sprzątania w OTLw AdwCleanerkliknij odinstaluj.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw na forum.

[Nowoscix]

[Aby zobaczyć linki, zarejestruj się tutaj]

autoruns.arn
Wysyłam skany z OTL z drugiego komputera na którym co jakis czas NOD podaje komunikat o wystąpieniu spreparowanego ataku

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Pozdrawiam i dziękuje

[tachion]

W autorunsodznacz to co zbędne:

Karta services:

AdobeARMservice
AMD External Events Utility
gupdate
gupdatem
odserv
ose
PnkBstrAPunkBuster Service Component jeśli nie używasz
WinDefend
WMPNetworkSvc

Karta Sheduled Tasks:

Odznacz wszystko

Internet Explorer:

Odznacz wszystko

W karcie logon:

Adobe ARM
StartCCC
SunJavaUpdateSched
DAEMON Tools Lite

[Nowoscix]

wszystko wykonane dziekuje
A co z drugim komputerem?

[tachion]

Później bo w chwili obecnej robię też coś innego.

[tachion]

Zaktualizuj:

Adobe Reader X (10.1.7) do wersji Adobe Reader XI 11.0.3

W okienku własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnet.sys -- (ZTEusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_usbenumfilter.sys -- (ew_usbenumfilter)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
IE - HKU\S-1-5-21-1844237615-1035525444-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://;/
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: E:\Documents and Settings\Pynka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.149\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: E:\Documents and Settings\Pynka\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.21.149\npGoogleUpdate3.dll (Google Inc.)
O4 - HKLM..\Run: [Bron-Spizaetus]File not found
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
[2012-07-24 13:41:17 | 000,000,000 | -H-D | M] -- E:\Documents and Settings\All Users\Dane aplikacji\Common Files
[2013-02-24 21:40:50 | 000,000,000 | ---D | M] -- E:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
[2013-02-24 21:46:03 | 000,000,000 | ---D | M] -- E:\Documents and Settings\LocalService\Dane aplikacji\TuneUp Software
[2013-02-24 21:40:33 | 000,000,000 | ---D | M] -- E:\Documents and Settings\Pynka\Dane aplikacji\TuneUp Software
[2013-02-24 21:40:02 | 000,000,000 | -HSD | M] -- E:\Documents and Settings\All Users\Dane aplikacji\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Files
C:\Windows\tasks\*.*

:Commands
[EMPTYTEMP]

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTLoraz raport z wykonania.

[Nowoscix]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Przepraszam za takie opoznienie

[tachion]

Ok przejdź do sprzątania w OTL i podaj jeszcze autoruns.

[Nowoscix]

Ok przejdź do sprzątania w OTL i podaj jeszcze autoruns.

jak posprzatać w OTL?
Skan z autoruns

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Co doOTL to:

[Aby zobaczyć linki, zarejestruj się tutaj]

W karcie servicesodznacz

NVIDIA ForceWare Network Access Manager a właściwie mógłbyś to odinstalować w panelu sterowania/dodaj usuń programy.
nSvcIp
nvsvc
ose

Karta Sheduled Tasks

Odznacz wszystko

Internet Explorer

Odznacz wszystko

Logon

NvCplDaemon
NvMediaCenter
Adobe ARM
Jeśli nie korzystasz z konfigów nVidii typu zoom pulpitu to też można odznaczyć # nviz #
Google Update