Dużo infekcji na komputerze

[Kosmo]

Witam,
Mam pewien z multi-infekcją. Zaczęło się od przymulenia kompa. Myślałem, że to wina zaniedbania kompa (komp siostry, która się nie zna raczej na kompach i ma syf tu i ówdzie) więc zrobiłem defragmentację, CCleaner, Odkurzacz, aktualizacje i systemowy oczyszczacz dysku. Nie pomogło. Ostatnio coś jej Kaspersky alarmował o ingerencji jakichś aplikacji, więc usunąłem/zablokowałem to. Kiedy wyskoczył BSOD to postanowiłem przeskanować kompa MBAM'em, który faktycznie znalazł i usunął jakieś wirusy, więc myślałem, że na tym koniec, tym bardziej że żadnych plików, procesów etc. nie było podejrzanych

Teraz widzę, że wirus wgrał Operę, podpiął się do plików systemowych svhost, spoolsv, wgrał jakiś Search Project, który siedzi w trayu, zmienił stronę startową (po zmienieniu nadal ustawia na swoją), odpalił jakiś cmd, w którym było że "gdzieś łączy" podczas używania Combofixa, (p.s. tak wiem...) i chciał wgrać jakieś dodatki do Firefoxa. W menedżerze zadań widzę kilka procesów o nieznanym pochodzeniu. Siostra mówiła, że wyskoczyło jakieś powiadomienie o aktualizacjach od Nvidii (mimo, że to wyłączyłem gdy jej kompa robilem) i teraz widzę w GMER'ze, że coś z wirusa siedzi w folderze Nvidii.

Combofix "nic" nie znalazł (tj. związanego z wirusem). W msconfig na autostarcie usług/aplikacji nic nie widać, host.ini czysty.

Logi:
Combofix - http://www.wklej.eu/index.php?id=123050581e
GMER - http://wklej.eu/index.php?id=83e8636408

Z FRST był problem, bo na początku skanowania (pobierałem 2x) sypał błędami, że coś nie tak z .dll Kasperkyego i musiałem kilkanaście razy klikać OK, aby zaczął skanować. Nie wiem więc, czy log będzie (?) poprawny, zwłaszcza że wyjątkowo szybko przeskanował kompa.
FRST main - http://wklej.eu/index.php?id=d91288e38a
FRST Addition - http://wklej.eu/index.php?id=6f88daef5f
FRST Shortcut - http://wklej.eu/index.php?id=50c6e0291c

Prosiłbym o pomoc,
Z góry dziękuję

edit: dam jeszcze logi z laptopa z podpiętym pendrive, bo się okazało że siostra między kompami go przepinała i mógł też być zainfekowany (Kaspersky nic nie wykrywa) - system wydaje się zdrowy, poza muleniem (jak od nowości) jest OK. Profilaktyka... Jedyne co to nie wiem czemu nie chce działać GMER (mimo, że napędy emulowane OFF i użyty Defogger). Po prostu crashuje przy wstępnym skanowaniu po uruchomieniu.

Main: http://wklej.eu/index.php?id=86e8dbb0b8
Addition: http://wklej.eu/index.php?id=a796506629
Shortcut: http://wklej.eu/index.php?id=ec457aad96

[mateo8898]

1. Odinstaluj: AnySend, istartsurf uninstall
2. Użyj AdwCleaner http://forum.instalki.pl/frst-otl-gmer-i-inne-poradnik-t13967-15.html#p139531 z opcji Usuń i podaj utworzony log.
3. Podaj nowe logi z FRST.

Kolejność jak podałem.

Laptop:
Odinstaluj: Foxtab. Następnie wklej do notatnika:

Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Sarna\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
C:\Users\Sarna\AppData\Roaming\FoxTab
Task: {E17D1B11-72C7-4C45-9234-0886D2CC5465} - System32\Tasks\FoxTab => C:\Users\Sarna\AppData\Roaming\FoxTab\UpdateProc\UpdateTask.exe [2013-04-12] () <==== ATTENTION
SearchScopes: HKU\S-1-5-21-3463613797-2275327166-651005633-1000 {3EDADD97-7D2F-4D35-B77F-27CA3F8E8E60} URL = http://websearch.ask.com/redirect?client=ie&tb=FF&o=14594&src=kw&q={searchTerms}&locale=&apn_ptnrs=^FV&apn_dtid=^YYYYYY^YY^PL&apn_uid=396fa2a0-0528-4dd6-a649-08720a15f09c&apn_sauid=7AA07B6D-CF9D-4E8B-A06F-C9D8ECE810C1
FF SearchEngineOrder.1: Ask.com
FF SearchPlugin: C:\Users\Sarna\AppData\Roaming\Mozilla\Firefox\Profiles\56412c4i.default\searchplugins\askcom.xml
FF Extension: Foxtab Speed Dial - C:\Users\Sarna\AppData\Roaming\Mozilla\Firefox\Profiles\56412c4i.default\Extensions\{5ebdca98-43b3-45bb-87e0-716029fb42ab}.xpi [2014-03-25]
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [Not Found]
S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 WinRing0_1_2_0; \??\D:\Game Booster\Driver\WinRing0x64.sys [X]
U3 afldypow; \??\C:\Users\Sarna\AppData\Local\Temp\afldypow.sys [X]
2015-02-25 19:40 - 2013-10-31 18:40 - 00000288 _____ () C:\Windows\Tasks\FoxTab.job
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[Kosmo]

PC:
Adwcleaner - http://wklej.eu/index.php?id=7716e92d3f
FRST Main - http://wklej.eu/index.php?id=d1e7c91c47
FRST Addition - http://wklej.eu/index.php?id=5a7a4b56fd
FRST Shortcut - http://wklej.eu/index.php?id=ad7094a1ae

Operę mogę ręcznie usunąć?

W FRST nadal błąd wyskakuje (trzeba X razy klikać aby przeszło do skanowania)

Kod: Zaznacz wszystko

http://i.imgur.com/v3nAU95.png

-----------------------------------------
Laptop:
Fixlog - http://wklej.eu/index.php?id=969aae9cb3

FRST Main - http://wklej.eu/index.php?id=98f6342485
Addition - http://wklej.eu/index.php?id=45fe3059f9
Shortcut - http://wklej.eu/index.php?id=ede44ac29e

Po fixie zadziałał GMER na laptopie. Dorzucam jego logi, bo coś znalazł, poza Juniper Networks (program uczelniany Junos Pulse, jakiś VPN), jakieś inne, już dziwne wpisy.
http://wklej.eu/index.php?id=c6782d3033

[mateo8898]

W AdwCleaner Odinstaluj

Błąd w FRST ewidentnie powoduje Kaspersky.

Operę mogę ręcznie usunąć?

Lepiej byłoby tradycyjnie odinstalować.

Wklej do notatnika:

2015-02-25 18:09 - 2015-02-25 18:09 - 00013653 _____ () C:\ComboFix.txt
2015-02-25 17:52 - 2015-02-25 18:09 - 00000000 ____D () C:\Qoobox
2015-02-25 17:52 - 2011-06-26 07:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-02-25 17:52 - 2010-11-07 18:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-02-25 17:52 - 2009-04-20 05:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-02-25 17:52 - 2000-08-31 01:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-02-25 17:52 - 2000-08-31 01:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-02-25 17:52 - 2000-08-31 01:00 - 00098816 _____ () C:\Windows\sed.exe
2015-02-25 17:52 - 2000-08-31 01:00 - 00080412 _____ () C:\Windows\grep.exe
2015-02-25 17:52 - 2000-08-31 01:00 - 00068096 _____ () C:\Windows\zip.exe
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Powstanie plik fixlog.txt, który podajesz na forum.


Laptop:

Dorzucam jego logi, bo coś znalazł, poza Juniper Networks (program uczelniany Junos Pulse, jakiś VPN), jakieś inne, już dziwne wpisy.

Nie odczytuj tego w ten sposób.

Wklej do notatnika:

HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [1021128 2014-11-20] (Adobe Systems Incorporated)
DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

[Kosmo]

Fixy zrobione, CCleaner użyty na obu komputerach, Adwcleaner usunięty, opera też.

Na komputerze stacjonarnym mimo wyłączenia autoochrony i Kaspersky'ego, błąd nadal wyskakuje. Na laptopie (z włączonym) tego problemu nie ma.

Logi z PC:
Fixlog - http://wklej.eu/index.php?id=c75b143c1b
Main - http://wklej.eu/index.php?id=29169e5f33
Addition - http://wklej.eu/index.php?id=edb1138b43
Shortcut - http://wklej.eu/index.php?id=f9ac5a6af4

Logi z laptopa:
Fixlog - http://www.wklej.eu/index.php?id=c2df8b9e3f
Main - http://www.wklej.eu/index.php?id=9ee61f8563
Addition - http://www.wklej.eu/index.php?id=0e0189ca63
Shortcut - http://www.wklej.eu/index.php?id=f632fd08c2

[mateo8898]

Tak w ogóle to przydałoby się tego Kasperskiego zaktualizować do najnowszej wersji.

PC:
Wklej do notatnika:

S3 catchme; \??\C:\ComboFix\catchme.sys [X]
DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Fix. Nie musisz już podawać logów.

Niepotrzebnie podawałeś logi z laptopa, bo to już tyle.

[Kosmo]

W wolnej chwili zaktualizuję jej Kasperskyego, a także inne programy i sterowniki. Logi podałem na wszelki wypadek.

Jeszcze raz bardzo dziękuję za nieocenioną pomoc
Pozdrawiam