Błagam o pomoc - log z gmer i combofix

[Myslenice]

Witam Społeczności!

Jestem nowicjuszem tutaj, więc z góry proszę o wyrozumiałość!
Pierwszy raz w życiu mam sytuację, której nie mogę rozwiązać z pomocą swoich umiejętności i wujka Google, dlatego zwracam się do Was!

Nie jetem do końca, pewien, co jest powodem infekcji - może to, że próbowałem z dobrego serce pomoc koledze z niedziałającą aplikacją, a może to, że do tego - niestety firmowego - komputera podłączane jest setki pendrivów

Ale po kolei: nie wiem czy to zbieg okoliczności, ale kolega prosił o pomoc z niedziałającą aplikacją - zeskanowałem pliki, AVG nic nie wykrył więc spróbowałem zainstalować. Aplikacja dała monit o błędnej próbie instalacji i tyle. Chwilę później zaczęły wychodzić monity AVG o kolejnych trojanach. Próbowałem najpierw ESETA online, później Spybot - Search & Destroy - niestety dalej problem pozostał i za każdym razem miałem po restarcie vel włączeniu kompa monit o wirusie: Znaleziono zagrożenie Obiekt: C:\ProgramData\Microsoft\Secure\Icons
\IconsCacheHeiper.dll Zagrożenie: odmiana zagrożenia Win64/Sathurbot.A koń trojański (tu pojawiały się różne nazwy) Informacje: wyleczony przez usunięcie - poddany kwarantannie. Mimo usunięcie pliku, monity dalej zostały, a w trakcie dalszej pracy kompa, co pewien czas NOD32 wywala powiadomienia, iż zablokował dostęp do adresy url - i tu różne nazwy. Sytuacja powtarza się po każdym restarcie lub włączeniu kompa.

Jak już nie miałem pomysłów poszedłem na całość i spróbowałem ComboFixa - log pod adresem http://www.wklej.eu/index.php?id=3ad71053a6 - niestety nie przyniosło to rozwiązania problemu więc szukam dalej.

Mając podejrzenia, że to może być jakiś rootkit, zeskanowałem sprzęt Gmerem - logi http://www.wklej.eu/index.php?id=891459a70d.

Jeśli ktoś ma jakiś pomysł błagam o pomoc, bo z każdym dniem mam coraz większe problemy z kompem, z którego korzystam co dziennie - bez wyjątku! i coraz częściej są to problemu coraz większe - dziś np. pakiet office odmówił mi posłuszeństwa

Dzięki WIELKIE za wszelką pomoc!

pozdrv,
PŚ

[mateo8898]

ComboFix`a nie stosujemy na własną rękę.

Podaj wymagane logi z FRST otl-gmer-i-inne-poradnik-t13967-15.html#p164179

[Myslenice]

Log z FRST http://www.wklej.eu/index.php?id=6d57916b75 - dzięki za zainteresowanie!

[mateo8898]

Chyba nie czytałeś instrukcji z podanego przeze mnie linku. Powinny być 3 logi.

[Myslenice]

Wczoraj już niestety nie zdążyłem - dziś już 3 prawidłowe logi, o które prosiłeś:

FRST_01 http://www.wklej.eu/index.php?id=cb0400a3d9

FRST_02 http://www.wklej.eu/index.php?id=d377d0552d

FRST_03 http://www.wklej.eu/index.php?id=e24983ccdf

Z góry dzięki!

[mateo8898]

Odinstaluj Spybot - Search & Destroy (słabizna). Następnie wklej do notatnika:

Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
HKU\S-1-5-21-3374051690-2922766382-867853538-1000\...\Policies\Explorer: [Run] "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\IEUpdate\taskeng.exe"
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\IEUpdate
HKU\S-1-5-21-3374051690-2922766382-867853538-1002\...\Run: [LightScribe Control Panel] => C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe [2363392 2008-06-09] (Hewlett-Packard Company)
ShellIconOverlayIdentifiers: [00avast] {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [1SecureIconsProvider] {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
C:\ProgramData\Microsoft\Secure
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3374051690-2922766382-867853538-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-21-3374051690-2922766382-867853538-1000 {10BA48B7-8C24-4815-B121-4C707FBB5D52} URL = http://www.ant.com/search?s=browser&q={searchTerms}
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 uwldipob; \??\C:\Users\Admin\AppData\Local\Temp\uwldipob.sys [X]
Task: {07401519-E6E3-4FD0-83F5-B1F3C6513CA3} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe
Task: {0F6BB639-E835-4169-8130-93DB2F673742} - System32\Tasks\{D69EFB11-D346-4673-B225-9E6EA5845F05} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {11346971-2E0F-4A87-A4E2-80A746BCB7DF} - System32\Tasks\AVG_SYS_TASK_1114av => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe [2014-10-08] ()
Task: {1CFFB346-2E12-491B-A958-7F66DAD85299} - System32\Tasks\{B1574091-AF12-403F-97B4-997EF5927CDB} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {23061F58-6776-4490-AA02-6B2EC9A87628} - System32\Tasks\{59875859-C3FD-4749-B7E5-4896EFC62208} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {258E26FB-3D74-4D3A-8E63-708D14C3761D} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe <==== ATTENTION
C:\Program Files (x86)\YourFileDownloaderUpdater
Task: {7FC21BC7-B7D1-4FAB-A4C8-3CBAFD15B9DB} - System32\Tasks\{5C133666-0944-4B7C-B620-668889998D54} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {82BEEDEA-206D-4477-BC1D-7FCEBB8128E5} - System32\Tasks\{18796BB0-E202-4B5C-ACDD-C51BA35641F2} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: {8D5EB117-563C-41FD-ACEF-E196CAF30F97} - System32\Tasks\AVG_SYS_TASK_1114av_DELETE => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe [2014-10-08] ()
Task: {E75B0E15-5791-48E0-8A39-360C28F6A974} - \Program aktualizacji online firmy Adobe. No Task File <==== ATTENTION
Task: {EDC97562-8714-4075-81A6-E0A58D2438F7} - System32\Tasks\{480F100B-FCDB-4135-8BBA-3ED0C1820365} => C:\Users\Admin\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SetupSG.exe
Task: C:\Windows\Tasks\AVG_SYS_TASK_1114av.job => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe
Task: C:\Windows\Tasks\AVG_SYS_TASK_1114av_DELETE.job => C:\ProgramData\Avg_Update_1114av\AVG-Secure-Search-Update_1114av.exe
C:\ProgramData\Avg_Update_1114av
C:\Users\Admin\AppData\Roaming\newnext.me
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[Myslenice]

fixlog:
http://www.wklej.eu/index.php?id=31d2bdcd8f

nowe logi loading //////////////////68%

[Myslenice]

nowe logi:
FRST_01 http://www.wklej.eu/index.php?id=deccc1423d
FRST_02 http://www.wklej.eu/index.php?id=27a523fbe2
FRST_03 http://www.wklej.eu/index.php?id=ed5c09d1d4

nie zapeszając nod32 milczy

[mateo8898]

Kroki końcowe:
Wklej do notatnika:

DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

[Myslenice]

Done!
Rozumiem, że teraz to jest ten czas kiedy należy się cieszyć i uważać, że problem rozwiązany w stopniu, że mogę śmiało się logować na konto bankowe?!?
Jeśli tak to WIEEELLLKKIEE dzięki!!!

PS.
Pytanie nowicjusza: teraz jak to się odbywa - wystarczy pochwała? flaszka na adres domowy? przelew na wskazane konto? *

* nie potrzebne skreślić

[mateo8898]

Tak to tyle, system jest czysty.

[Myslenice]

Nie mam uprawnień niestety do dawania pochwał, więc apel do tych co mogą:

Jak na avatarze - gasi w mgnieniu okna wszelkie pożary, nawet te największe! WIELKI szacun za prędkość, skuteczność i bezinteresowną pomoc - coś co jest na wyginięciu w dzisiejszym świecie. 3. postami załatwił sprawę, z którą 2 tygodnie męczył się mgr inż. informatyk z 20-letnim stażem. Ufff... kamień z serca i sam się dziwie, że to piszę - do roboty! bo w końcu jest na czym! Dzięki raz jeszcze!!!

ZASYPAĆ POCHWAŁAMI PO USZY!!!

... a temat do zamknięcia!

[Myslenice]

Nie chce wyjść na panikarza, ale od tego przypadku wolę dmuchać na zimne.

Co tym całym zajściu, 1-2 dzienni nod32 monituje u blokowaniu url--> http://img31.otofotki.pl/ak640_url.jpg.html zawsze z tego samego adresu theoads . com

Wiem, że może to tylko jakiś syfek z reklam na stronie albo tym podobne, ale wole zasięgnąć opinii eksperta!

z góry WIELKIE dzięki ! ! !

[mateo8898]

Czy te komunikaty pojawiają się po wejściu na konkretne strony, czy jest to losowe?

[Myslenice]

Sorki, że dopiero teraz ale nie będę ukrywał myślałem, że mnie zlałeś kiedy pod dwóch dniach nie było odpowiedzi Wiem, że są sprawy ważne i ważniejsze...

Ciężko jednoznacznie twierdzić, bo codziennie korzystam praktycznie z tego samego "pakietu" ale nigdy nie wyskakiwał konkretnie na tej samej stronie - na screenie specjalnie dałem 3 zrzuty z trzech różnych stron. Co gorsze ciężko twierdzić dokładnie, z której po pech chciał, że zawsze miałem kilka kart

Na szczęście teraz to się już uspokoiło i już kilka dni z rzędu mam spokój - a wciąż przeglądam raczej te same strony... więc sam nie wiem co o tym myśleć

pozdrv.