Dziwne wysyłanie wiadomości na FB

przez **niobe2009** » 19 Sie 2011, 13:26

Witam.
Od wczoraj kiedy zaloguję się na facebooka komputer sam wysyła wiadomości do znajomych dostępnych na czacie z linkiem, który zawiera wirusa

log z combofix: http://www.wklej.eu/index.php?id=477eeeba11
log z otl: http://www.wklej.eu/index.php?id=a65cdc7789
log z ptl extras: http://www.wklej.eu/index.php?id=31045913a8

przez **mateo8898** » 19 Sie 2011, 13:37

ComboFixa używamy tylko wtedy, gdy padnie taka prośba na forum.

Poza tym widzę dwa antywirusy: Kaspersky i AVG, co jest niedopuszczalne. Pozbądź się jak najszybciej jednego z nich.

Odinstaluj Winamp Toolbar

Następnie uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :OTL IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - Reg Error: Key error. File not found FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found IE - HKU\S-1-5-21-757109552-409895395-3633954361-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.searchqu.com/406 FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found. O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. O3 - HKU\S-1-5-21-757109552-409895395-3633954361-1001\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found. O4 - HKLM..\Run: [SearchSettings] C:\Program Files (x86)\Common Files\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.) :Files C:\Program Files (x86)\Common Files\Spigot\Search Settings :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"=- "SwitchBoard"=- "Adobe Acrobat Speed Launcher"=- "Acrobat Assistant 8.0"=- "SunJavaUpdateSched"=- :Commands [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

przez **niobe2009** » 19 Sie 2011, 14:14

usuwanie: http://wklej.eu/index.php?id=2405ae7b5a
otl: http://wklej.eu/index.php?id=5e70ca91de
extras: http://wklej.eu/index.php?id=8639a80dc0

przez **mateo8898** » 19 Sie 2011, 14:26

Usunięte.

W OTL kliknij Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Wykonaj pełne skanowanie Malwarebytes' Anti-Malware - jeśli coś znajdzie usuń i daj raport

przez **niobe2009** » 19 Sie 2011, 15:37

jeszcze znalazł jakieś infekcje

http://wklej.eu/index.php?id=589a129824

przez **mateo8898** » 19 Sie 2011, 15:49

OK, możesz jeszcze opróżnić kwarantannę Malwarebytes.

przez **niobe2009** » 19 Sie 2011, 16:01

ok dzięki;)
Możesz mi jeszcze sprawdzić logi z 2 kompów boje się, że też są zainfekowane....

komp1
otl: http://wklej.eu/index.php?id=9270382659
extras: http://wklej.eu/index.php?id=7d10f18a0d

komp2

otl: http://wklej.eu/index.php?id=fea5206061
extras: http://wklej.eu/index.php?id=1862b72b3e

przez **mateo8898** » 19 Sie 2011, 16:57

komp1:
1. Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :Processes killallprocesses :OTL MOD - [2011-08-19 13:09:45 | 000,382,464 | ---- | M] () -- C:\WINDOWS\update.7.1\svchostdriver.exe MOD - [2011-08-19 12:14:59 | 000,632,832 | ---- | M] () -- C:\WINDOWS\update.2\svchost.exe MOD - [2011-07-26 09:29:00 | 000,348,672 | ---- | M] () -- C:\WINDOWS\update.5.0\svchost.exe MOD - [2011-07-25 17:52:33 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe MOD - [2011-07-25 17:49:53 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe MOD - [2011-07-25 17:44:57 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe MOD - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () -- C:\WINDOWS\update.tray-2-0\svchost.exe MOD - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () -- C:\WINDOWS\update.tray-12-0\svchost.exe MOD - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () -- C:\WINDOWS\update.1\svchost.exe SRV - File not found [Auto | Stopped] -- -- (ekrn) SRV - File not found [On_Demand | Stopped] -- -- (EhttpSrv) SRV - File not found [Auto | Stopped] -- -- (avg8wd) SRV - File not found [On_Demand | Stopped] -- -- (AVG Security Toolbar Service) SRV - [2011-08-19 13:09:45 | 000,382,464 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.7.1\svchostdriver.exe -- (ddservice) SRV - [2011-08-19 12:14:59 | 000,632,832 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.2\svchost.exe -- (srviecheck) SRV - [2011-07-26 09:29:00 | 000,348,672 | ---- | M] () [Auto | Running] -- C:\WINDOWS\update.5.0\svchost.exe -- (srvbtcclient) SRV - [2011-07-25 17:44:57 | 000,256,000 | ---- | M] () [Auto | Running] -- C:\WINDOWS\sysdriver32.exe -- (srvsysdriver32) SRV - [2011-07-25 17:18:58 | 001,185,280 | -H-- | M] () [Auto | Running] -- C:\WINDOWS\update.1\svchost.exe -- (wxpdrivers) IE - HKU\.DEFAULT\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found IE - HKU\S-1-5-18\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found IE - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/pl/ IE - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\URLSearchHook: {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.search.defaultthis.engineName: "Hunt TB Customized Web Search" FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1434207&SearchSource=3&q={searchTerms}" FF - prefs.js..browser.search.order.1: "Crawler Search" FF - prefs.js..browser.startup.homepage: "http://google.atcomet.com/b/" FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1434207&q=" FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: D:\Picasa3\npPicasa3.dll File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\avg@igeared: C:\Program Files\AVG\AVG8\Toolbar\Firefox\avg@igeared [2010-04-16 17:21:21 | 000,000,000 | ---D | M] (Softonic-Polska Toolbar) -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\extensions\{c86eb8a9-ccc2-4b6c-b75d-73576ed591bf} [2010-06-18 18:35:23 | 000,000,000 | ---D | M] (Hunt TB Toolbar) -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\extensions\{d3f4b70a-92e0-4393-a0f3-976d03b1ebf5} [2010-05-21 16:22:22 | 000,000,000 | ---D | M] (HyperCam Toolbar) -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\extensions\{75656794-AB59-4712-BFBC-5D816D56F3BC} [2010-05-21 16:22:34 | 000,002,331 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\bigseekpro.xml [2010-06-08 11:37:24 | 000,000,917 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\conduit.xml [2009-06-06 13:54:28 | 000,002,399 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\daemon-search.xml [2009-05-16 09:24:13 | 000,009,889 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\mywebsearch.xml [2010-07-02 08:16:04 | 000,001,589 | ---- | M] () -- C:\Documents and Settings\BYRTUS\Dane aplikacji\Mozilla\Firefox\Profiles\ucy9dtz2.default\searchplugins\web-search.xml O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found O2 - BHO: (AVG Security Toolbar BHO) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - File not found O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - File not found O4 - HKLM..\Run: [12018109-loader2.exe] C:\WINDOWS\TEMP\12018109-loader2.exe () O4 - HKLM..\Run: [1588605.exe] C:\WINDOWS\TEMP\1588605.exe () O4 - HKLM..\Run: [296423.exe] C:\WINDOWS\TEMP\296423.exe () O4 - HKLM..\Run: [4901822.exe] C:\WINDOWS\TEMP\4901822.exe () O4 - HKLM..\Run: [AVG8_TRAY] File not found O4 - HKLM..\Run: [egui] File not found O4 - HKLM..\Run: [ISUSPM Startup] File not found O4 - HKLM..\Run: [l1rezerv.exe] C:\WINDOWS\l1rezerv.exe () O4 - HKLM..\Run: [NPSStartup] File not found O4 - HKLM..\Run: [sysdriver32.exe] C:\WINDOWS\sysdriver32.exe () O4 - HKLM..\Run: [sysdriver32_.exe] C:\WINDOWS\sysdriver32_.exe () O4 - HKLM..\Run: [systemup] C:\WINDOWS\systemup.exe () O4 - HKLM..\Run: [tray_ico] File not found O4 - HKLM..\Run: [tray_ico0] C:\WINDOWS\update.tray-12-0\svchost.exe () O4 - HKLM..\Run: [tray_ico1] C:\WINDOWS\update.tray-2-0\svchost.exe () O4 - HKLM..\Run: [tray_ico2] File not found O4 - HKLM..\Run: [tray_ico3] File not found O4 - HKLM..\Run: [tray_ico4] File not found O4 - HKLM..\Run: [wxpdrv] C:\WINDOWS\services32.exe () O4 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003..\Run: [ares] File not found O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: csrcs = C:\WINDOWS\system32\csrcs.exe O18 - Protocol\Handler\avgsecuritytoolbar {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - File not found O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - File not found O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\AUtoplAY\cOmmand - "" = J:\sgkio.pif O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\AutoRun\command - "" = J:\sgkio.pif O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\explore\coMmAnD - "" = J:\sgkio.pif O33 - MountPoints2\{596b52d8-b8d4-11df-86a0-001fc6a831b6}\Shell\oPeN\ComMand - "" = J:\sgkio.pif O31 - SafeBoot: AlternateShell - services32.exe [2011-07-25 18:16:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\ufa [2011-07-25 18:16:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\rpcminer [2011-07-25 18:16:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\phoenix [2011-07-25 18:12:26 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0-lnk [2011-07-25 18:12:26 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-2-0 [2011-07-25 17:50:52 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.5.0 [2011-07-25 17:47:41 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.2 [2011-07-25 17:44:21 | 000,000,000 | ---D | C] -- C:\WINDOWS\av_ico [2011-07-25 17:33:24 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.1 [2011-07-25 17:32:58 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-12-0-lnk [2011-07-25 17:32:58 | 000,000,000 | -H-D | C] -- C:\WINDOWS\update.tray-12-0 [2011-07-25 18:16:25 | 000,246,272 | ---- | M] () -- C:\WINDOWS\unrar.exe [2011-07-25 18:16:25 | 000,182,617 | ---- | M] () -- C:\WINDOWS\ufa.rar [2011-07-25 18:16:24 | 005,589,370 | ---- | M] () -- C:\WINDOWS\phoenix.rar [2011-07-25 18:16:24 | 001,075,284 | ---- | M] () -- C:\WINDOWS\rpcminer.rar [2011-07-25 17:52:33 | 000,114,176 | ---- | M] () -- C:\WINDOWS\systemup.exe [2011-07-25 17:49:53 | 000,232,960 | ---- | M] () -- C:\WINDOWS\l1rezerv.exe [2011-07-25 17:47:16 | 000,904,792 | ---- | M] () -- C:\WINDOWS\geoiplist.rar [2011-07-25 17:45:29 | 000,000,000 | ---- | M] () -- C:\WINDOWS\loader2.exe_ok [2011-07-25 17:44:57 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32_.exe [2011-07-25 17:44:57 | 000,256,000 | ---- | M] () -- C:\WINDOWS\sysdriver32.exe [2011-07-25 17:18:58 | 001,185,280 | ---- | M] () -- C:\WINDOWS\services32.exe :Files C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Przyspieszenie uruchomienia programu AutoCAD.lnk :Reg [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot] "AlternateShell"="cmd.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nwiz"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ALLUpdate"=- "Gadu-Gadu 10"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\WINDOWS\update.1\svchost.exe"=- "C:\WINDOWS\services32.exe"=- "C:\WINDOWS\update.2\svchost.exe"=- :Commands [resethosts] [clearallrestorepoints] [emptytemp]

Klikasz Wykonaj skrypt.

2. Odinstaluj toolbary: BearShare MediaBar, Crawler Toolbar, DAEMON Tools Toolbar, HyperCam Toolbar, Mario Forever Toolbar, Winamp Toolbar, Softonic-Polska Toolbar oraz zbędny Norton Security Scan

3. Usuń resztki po zdezelowanych AVG i Esecie. Tu masz specjalne narzędzia:
AVG

http://download.avg.com/filedir/util/su ... 1_1322.exe
ESET

http://kb.eset.com/esetkb/index?page=co ... d=SOLN2289

4. Podaj nowe logi z OTL robione opcją Skanuj + log z Gmer

http://forum.instalki.pl/viewtopic.php? ... 967#p88736

Kolejność jak podałem.

_________________________________________________________________________________________________________

Komp2:
1. Odinstaluj PDFCreator Toolbar

Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

Kod: Zaznacz wszystko: :OTL FF - prefs.js..browser.search.defaultenginename: "Web Search..." FF - prefs.js..browser.startup.homepage: "http://vshare.toolbarhome.com/?hp=df" FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0 FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q=" FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found [2010-11-29 23:05:12 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\esterka\Dane aplikacji\Mozilla\Firefox\Profiles\4k0lbpar.default\extensions\vshare@toolbar [2010-11-29 23:05:22 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\esterka\Dane aplikacji\Mozilla\Firefox\Profiles\4k0lbpar.default\searchplugins\web-search.xml O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - File not found [2011-08-16 10:13:00 | 000,000,284 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job [2011-08-10 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\AdobeAAMUpdater-1.0-ESTERA-esterka.job :Reg [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AdobeAAMUpdater-1.0"=- "AdobeCS5ServiceManager"=- "SwitchBoard"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ALLUpdate"=- "Driver Updater"=- :Commands [emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL + log z Gmer.

przez **niobe2009** » 19 Sie 2011, 17:54

komp1:

usuwanie: http://wklej.eu/index.php?id=54b52cccf3
otl: http://wklej.eu/index.php?id=9b601fe3c3
extras: http://wklej.eu/index.php?id=2079a04702

komp2:

usuwanie: http://wklej.eu/index.php?id=abeaf0a009
otl: http://wklej.eu/index.php?id=6f4bfc7afe
extras: http://wklej.eu/index.php?id=f5643ac720

przez **niobe2009** » 19 Sie 2011, 17:55

za chwilę wrzuce z gmera

przez **kominekl** » 19 Sie 2011, 18:12

Komputer 1.

Odinstaluj zbędny zbędny Norton Security Scan. Co jest w folderze

C:\trojan19896t? Użyj ponownie deinstalatora ESET`a, ale tym razem w trybie awaryjnym, bo nie dokładnie się usunęło. Dam tu do usuwania z autostartu składniki NVidia`i, ale one automatycznie powrócą. Aby tak się nie stało wejdź w START

URCUHOM

Msconfig

zakładka

Usługi

odznacz NVIDIA Display Driver Service.

Następnie uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2009-09-21 13:24:16 | 000,001,329 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\crawlersrch.xml
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\ShellBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {463DF6D5-BEC1-4D67-B217-59DB692DFC53} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKU\S-1-5-21-1606980848-1085031214-682003330-1003\..\Toolbar\WebBrowser: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - No CLSID value found.
@Alternate Data Stream - 134 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:671329E4
@Alternate Data Stream - 104 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2

:Files
C:\WINDOWS\update.7.1
C:\WINDOWS\info1
C:\WINDOWS\geoiplist

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\BYRTUS\Moje dokumenty\Downloads\Flash-Player.exe"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL.

Komputer 2.

Dam tu do usuwania z autostartu składniki NVidia`i, ale one automatycznie powrócą. Aby tak się nie stało wejdź w START

URCUHOM

Msconfig

zakładka

Usługi

odznacz NVIDIA Display Driver Service.

Następnie uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:OTL

[2011-08-19 17:49:36 | 000,000,972 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2011-08-19 17:49:32 | 000,001,032 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
@Alternate Data Stream - 104 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2

:Files
C:\Documents and Settings\All Users\Dane aplikacji\mtbjfghn.xbe

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"=-
"NvMediaCenter"=-

:Commands
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie w OTL

Sprzątanie.

Zainstaluj SP3

http://www.instalki.pl/programy/downloa ... ack_3.html.
Zaktualizuj IE do najnowszej wersji

http://www.instalki.pl/programy/downloa ... _8_XP.html.
Przeczyść dysk i rejestr CCleaner`em

https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware

https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF

Adobe Reader 7.0.5 - Polish i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję Java`y

Java 2 Runtime Environment, SE v1.4.2_04, Java(TM) 6 Update 3 i Java(TM) 6 Update 17 i zainstaluj najnowszą

http://www.instalki.pl/programy/downloa ... %29_6.html.

przez **niobe2009** » 19 Sie 2011, 20:09

komp1
nortona nie można usunac, ten trojan to nie mam pojecia co to jest jak kliknelam to weszlo mi w moj komputer wiec usunelam to
logi

usuwanie: http://wklej.eu/index.php?id=91f45e9349
otl: http://wklej.eu/index.php?id=d32858a37f
extras: http://wklej.eu/index.php?id=60363447d6

komp2

usuwanie: http://wklej.eu/index.php?id=fb2c121414
otl: http://wklej.eu/index.php?id=2af391d4f2
extras: http://wklej.eu/index.php?id=2b4c514c4c

przez **kominekl** » 19 Sie 2011, 20:30

Czekamy jeszcze na logi z GMER`a z obu komputerów.

Następnie w OTL Sprzątanie.
Zainstaluj SP3 http://www.instalki.pl/programy/downloa ... ack_3.html.
Zaktualizuj IE do najnowszej wersji http://www.instalki.pl/programy/downloa ... _8_XP.html.
Przeczyść dysk i rejestr CCleaner`em https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Odinstaluj starą wersję programu do odczytu .PDF Adobe Reader 7.0.5 - Polish i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... eader.html.
Odinstaluj starą wersję Java`y Java 2 Runtime Environment, SE v1.4.2_04, Java(TM) 6 Update 3 i Java(TM) 6 Update 17 i zainstaluj najnowszą http://www.instalki.pl/programy/downloa ... %29_6.html.

Z wykonaniem instrukcji z komputera 2 (tych w cytacie) wstrzymaj się narazie. Napiszemy ci, kiedy masz je wykonać.

przez **niobe2009** » 19 Sie 2011, 20:43

kurcze wybacz zapomniałam o tych logach z gmera
komp1:
jak włączam gmera to się mi od razu resetuje i wyskakuje błąd: http://www.otofotki.pl/img2/obrazki/hl89_blad.jpg

na 2 kompie włączyłam pośle jak się zrobi

przez **kominekl** » 19 Sie 2011, 21:04

Komputer 1.

GMER`a w takim razie sobie odpuść. Następujący skrypt wykonaj w trybie awaryjnym. Uruchom OTL

w oknie Własne opcje skanowania/skrypt wklej:

:Processes
killallprocesses

:OTL

O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - File not found
O4 - HKLM..\Run: [8633303.exe] File not found
O4 - HKLM..\Run: [sysdriver32.exe] File not found
O4 - HKLM..\Run: [sysdriver32_.exe] File not found
O20 - HKLM Winlogon: Shell - (csrcs.exe) - File not found
O20 - Winlogon\Notify\avgrsstarter: DllName - avgrsstx.dll - File not found
O31 - SafeBoot: AlternateShell - services32.exe
@Alternate Data Stream - 134 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:671329E4
@Alternate Data Stream - 104 bytes C:\Documents and Settings\All Users\Dane aplikacji\TEMP:DFC5A2B2

:Files
C:\WINDOWS\loader2.exe_ok

:Reg
HKEY_USERS\S-1-5-21-1606980848-1085031214-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"AutoStartNPSAgent"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\update.1\svchost.exe"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania (ten, który wyświetli Ci się po wykonaniu skryptu). Nie podajesz już nowych logów. Następnie w OTL

Sprzątanie.

Zainstaluj SP3

http://www.instalki.pl/programy/downloa ... ack_3.html.
Zaktualizuj IE do najnowszej wersji

http://www.instalki.pl/programy/downloa ... _8_XP.html.
Przeczyść dysk i rejestr CCleaner`em

https://www.instalki.pl/download/programy/windows/narzedzia/narzedzia-systemowe/ccleaner/.
Wykonaj pełne skanowanie Malwarebytes`em Anti-Malware

https://www.instalki.pl/download/programy/windows/bezpieczenstwo/antyspyware/malwarebytes/, jeśli coś znajdzie usuń i daj raport.
Zaktualizuj Firefoksa do najnowszej wersji (Firefox

Pomoc

Sprawdź dostępność aktualizacji..).

Sprawa z Komputerem numer 1 zakończona (chyba, że znajdzie coś Malwarebytes, w co nie wątpię). Został tylko już komputer numer 2, ale czekamy na log z GMER`a..

Dziwne wysyłanie wiadomości na FB

Dziwne wysyłanie wiadomości na FB

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłąnie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Re: Proszę o sprawdzenie logów.Dziwne wysyłanie wiadomości n

Kto jest na forum