Logi OTL - Cos w stylu brontoka?

[labik]

Objawy zainfekowania:
Reinstall systemu nie pomaga, przy formacie dysku i zainstalowaniu systemu na nowo robak dalej modyfikuje system pod siebie. Probowalem Dr web cureit w trybie awaryjnym (ktorego tez "przerobil" ale nic nie wykrywa. Moj MS Essentials nic nie wykrywa bo zostal "przerobiony" przez robaka podobnie jak certyfikaty. Prawie caly czas jest zawalone lacze.

Niecaly rok temu mialem Brontoka ktory dzialal podobnie, meczylem sie z nim kupe czasu ale o ile dobrze pamietam dr.web cureit zalatwil sprawe.

Nie wiem czy juz wpadam w

Wykonywane działania:
MS Essentials, Dr web cureit - nic nie wykrylo
Probowalem usuwac dzialajace procesy poprzez sys awaryjny jako admin lecz byly chronione.

Logi:
OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

extras

[Aby zobaczyć linki, zarejestruj się tutaj]

[b] screen[b]

[Aby zobaczyć linki, zarejestruj się tutaj]

[labik]

Nic nie znajduje. Po odlaczeniu dostepu do internetu i reinstalce systemu juz na poczatku mam wlaczone takie rzeczy jak aktualizacja czasu przez internet czy nowe opcje w w notatniku - edytor IME, kolejność czytania od prawej do lewej czy wstaw znak kontrolny.

Ponadto startuje taki proces jak mscorsvw.exe ktory niby jest .NET Runtime Optimization Service. Tyle ze nic takiego nie instalowalem i nigdy nie mialem tymbardziej przy czystym systemie.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

Wygląda na to że wszystko jest w porządku i nic podejrzanego się nie dzieje wszystko co opisałeś to normalne zachowanie systemu.

[labik]

Skad ten edytor IME? TrustedInstaller? Nigdy wczesniej swiezo po reinstalce systemu nie mialem aktualizowanego czasu przez internet.

Nowe logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Ja golym okiem juz widze w tych logach babole.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[zord]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Zamiast facebook.pl wpisz facebook.com lubpl-pl.facebook.com

[labik]

No i od kiedy masz ten edytor IME? Co to jest? Nigdy tego nie mialem tymbardziej przy czystym systemie. Wpadam w paranoje? Zawsze wpisywalem facebook.pl i bylo git.

[zord]

Nie wiem od kiedy jest ten IME na 8.1 jest od samego początku a wcześniej nawet nie zwróciłem na to uwagi.
Co do facebooka to przeglądarka powinna przekierować Cię do poprawnej strony ale jak widać chrome ma z tym problem.

[labik]

Tyle ze ja mam Win7 caly czas, jak robie reinstall to zawsze ta sama plyta z systemem.

[ktośtam]

U mnie na W7 jest to samo.

[Aby zobaczyć linki, zarejestruj się tutaj]

Zdecydowanie wpadasz w paranoję

I jeszcze słowo o tym, czym jest edytor IME:

[Aby zobaczyć linki, zarejestruj się tutaj]

[kuklu]

U mnie też.

[Aby zobaczyć linki, zarejestruj się tutaj]

[labik]

Ale po zainstalowaniu czytego systmu, nie mam office''a a edytor IME nie nalezy do standardowych funkcji sys win7. Wytlumaczy mi to ktos?

Malo tego na drugim kompie (ktory tez byl zawirusowany tym syfem) z systemem Win XP po odlaczeniu od sieci i zainstalowaniu na nowo Win XP takze sa te opcje w notatniku.

[kuklu]

Po kliknięciu w "Otwórz edytor IME" nic się nie dzieje.... Po włączeniu go pisze "Zamknij edytor IME".

[labik]

[Aby zobaczyć linki, zarejestruj się tutaj]

Nastepnie ikonka "sklepy internetowe" z wmp.

Pierwszy raz ja widze

[kuklu]

U mnie po lewej na dole jest taka ikona:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Hmm no cóż infekcji tu żadnej nie ma,a tym bardziej wspomnianego Brontoka

U mnie po lewej na dole jest taka ikona:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jak chcesz możesz też taką ikonę mieć wystarczy kliknąć w opcje po rozwinięciu Przeglądajwszystkie sklepy internetowe

[labik]

No dosc toporne dziadostwo. Nie wiem gdzie to siedzi czy zrobilo sobie nowy rozruch na hdd i startuje jako pierwsze, w ramie? - przy bootowaniu plyty gl. wyswietla 1GB ram sharing 8MB na drugim kompie z winxp a moze zmodyfikowalo bios od mobo?:crazy:

Zawsze przy wejsciu w tryb awaryjny wyskakiwalo mi okienko z zapytaniem w stylu "czy chcesz wejsc do trybu awaryjnego" i sie klikalo OK - no to juz tego nie ma na obydwu systemach.

Po odcieciu kabli od neta i zainstalowaniu na nowo czystego systemu od razu dostaje jakis zmodyfikowany genetycznie:/ Czy to u mnie (win7) czy na drugim kompie (winxp). Przy swierzym systemie zawsze byly powlaczane wszystkie usługi a tutaj połowa jest na starcie powylaczana i od cholery jest uslug sieciowych ktorych nie powinno byc.

Ustawienia routera tez sa jakies podejrzane, sa powlaczane jakies virtualne porty ktorych nigdy nie bylo, pojawily sie jakies nowe opcje - przywrocilem mu ust. fabryczne, wgralem na nowo firmware ale i tak nic nie dalo. Ale mniejsza z tym - najpierw trzeba doprowadzic skrzynie do porzadku.

Zaden program jak dotad mi niczego nie wykryl

Podaje nowe logi z OTL

WIN7 64

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

WinXP

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[labik]

0 pomyslow?

[tachion]

Skoro jest jakiś problem certyfikatu to być może czas w systemie nie jest synchroniczny,tzn.jest inny.

[labik]

Bez przesady, czas byl pierwsza rzecza ktora sprawdzilem.

[tachion]

Windows 7

W własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found

:Files
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

:Commands
[EMPTYTEMP]

Pokaż raport

---

Dodano: 09 wrz 2013, 22:09

XP co to jest Pulpit\18bwa1s0.exe ?

Do OTL wklej i wykonaj

Kod:

:OTL
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-19..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found

:Files
RECYCLER /alldrives
AUTORUN.INF /alldrives

:Commands
[EMPTYTEMP]

pokaż raport