Pamięć operacyjna zainfekowana? XP

Witam, proszę o pomoc, skanowanie ESET dało komunikat:

Kod:

2012-09-12 16:22:27     Pamięć operacyjna;  C:\Sektor startowy;C:\;D:\   Sektor startowy;D:\  Przeskanowane: 2217471   Zainfekowane: 2   Wyleczone: 0 

Komp wydaje się, że chodzi normalnie.
MBAM nic nie znalazł.
OTL.Txt:

Kod:

http://wklej.org/id/828347/

OTL. Extras:

Kod:

http://wklej.org/id/828348/

Jak usunę emulatora napędów, to zrobię Gmera.

Dorzuć logi z:
TDSSKiller otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p120292
MBR.EXE otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p123422

Logi z:
TDSSKiller:

Kod:

http://wklej.org/id/828365/

MBR.EXE:

Kod:

http://wklej.org/id/828367/

Ostatnio edytowany przez marcos_777, 13 Wrz 2012, 14:11, edytowano w sumie 1 raz

Ślady infekcji są.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfSysMon.sys -- (TfSysMon)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TfNetMon.sys -- (TfNetMon)
DRV - File not found [Kernel | Boot | Stopped] -- system32\drivers\TfFsMon.sys -- (TfFsMon)
IE - HKU\S-1-5-21-1957994488-688789844-1417001333-1004\..\SearchScopes\{D7EFAEFF-2EDE-4594-911C-A16F5C945B76}: "URL" = http://search.yahoo.com/search?fr=mcafee&p={SearchTerms}
FF - prefs.js..keyword.URL: "http://search.yahoo.com/search?fr=mcafee&p="
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: File not found
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: File not found
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-06B8-444553540000} http://fpdownload2.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {FAA26872-BB40-4AB2-8A6D-A49183581AAA} http://78.133.244.19:84/user/TSBnwCam.CAB (Reg Error: Key error.)

:Commands
[resethosts]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania + nowe logi z OTL.

Odpaliłem Defogger`a, bo nie widzę tych programów emulujących, a dodatkowy napęd był w TotalCom widoczny.

Kod:

http://wklej.org/id/828411/

Log aswMBR:

Kod:

http://wklej.org/id/828481/

Log z Gmera:

Kod:

http://wklej.org/id/828483/

Log OTL z usuwania:

Kod:

http://wklej.org/id/828401/

Nowe logi OTL:
OTL.Txt:

Kod:

http://wklej.org/id/828406/

OTL. Extras:

Kod:

http://wklej.org/id/828408/

"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer

Odinstaluj to oprogramowanie.

Logi.

Uruchom OTL w oknie Własne opcje skanowania/skrypt wklej:

Kod:

:OTL

DRV - File not found [Kernel | Disabled | Stopped] -- C:\WINDOWS\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOCUME~1\profilux\USTAWI~1\Temp\pwrdapob.sys -- (pwrdapob)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://search.msn.com/spbasic.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-1957994488-688789844-1417001333-1004\..\SearchScopes,DefaultScope = {B2BC283E-09B0-44EE-B55A-58930A692F09}
IE - HKU\S-1-5-21-1957994488-688789844-1417001333-1004\..\SearchScopes\${searchCLSID}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-1957994488-688789844-1417001333-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1957994488-688789844-1417001333-1004\..\SearchScopes\{B2BC283E-09B0-44EE-B55A-58930A692F09}: "URL" = http://www.google.pl/search?q={searchTerms}&rls=com.microsoft:{language}&ie={inputEncoding}&oe={outputEncoding}&startIndex={startIndex?}&startPage={startPage}&rlz=1I7ADFA_pl
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.115\npGoogleUpdate3.dll (Google Inc.)
[2010-04-28 10:40:25 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011-02-07 18:00:05 | 000,000,000 | ---D | M] ("AutocompletePro - Your handy search suggestions tool") -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\[email protected]
[2011-11-23 15:25:16 | 000,010,043 | ---- | M] () (No name found) -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\[email protected]
[2012-08-22 15:32:03 | 000,340,132 | ---- | M] () (No name found) -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\{19503e42-ca3c-4c27-b1e2-9cdb2170ee34}.xpi
[2012-03-01 14:43:49 | 000,258,567 | ---- | M] () (No name found) -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\{46551EC9-40F0-4e47-8E18-8E5CF550CFB8}.xpi
[2012-07-09 17:29:07 | 000,164,885 | ---- | M] () (No name found) -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\{6614d11d-d21d-b211-ae23-815234e1ebb5}.xpi
[2012-09-03 14:18:49 | 000,699,353 | ---- | M] () (No name found) -- C:\Documents and Settings\profilux\Dane aplikacji\Mozilla\Firefox\Profiles\cztryfyk.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1341987076687 (MUWebControl Class)
O16 - DPF: {C1D592D2-D4F6-4E9C-968D-797449DC0ADC} http://www.dvrstation.com/webServer.cab (WebViewerX Control)
O16 - DPF: {D7B039C1-5929-49B3-913E-EB62C8866FC4} http://volf9.dyndns.org/HtmlAnvView.cab (HtmlAnvView Control)
@Alternate Data Stream - 129 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:07BF512B
@Alternate Data Stream - 123 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:C43ED645
@Alternate Data Stream - 117 bytes -> C:\Documents and Settings\All Users\Dane aplikacji\TEMP:8303F807

:Files
C:\Program Files\Google\Update
C:\WINDOWS\tasks\*.*
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\profilux\Dane aplikacji\EurekaLog

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

:Commands
[emptyflash]
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podajesz nowe logi z OTL + log z Autoruns otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967-15.html#p138589.

Log z usuwania Otl:

Kod:

http://wklej.org/id/833812/

Otl.txt:

Kod:

http://wklej.org/id/833817/

Otl. Extras:

Kod:

http://wklej.org/id/833818/

Log Autoruns załączniku:

Załączniki

AutoRuns.zip

(90.58 KiB) Ściągnięto 571 razy

W Autoruns odznacz i usuń:
zakładka Logon:

Adobe ARM
iTunesHelper
QuickTime
Książka adresowa 6
LightScribe Control Panel
Microsoft Outlook Express 6

zakładka Services:

gupdate
gupdatem
gusvc
JavaQuickStarterService (tylko odznacz)
LightScribeService (tylko odznacz)
NVSvc (tylko odznacz)
odserv (tylko odznacz)
ose (tylko odznacz)
WMPNetworkSvc (tylko odznacz)

Wklej w OTL:

:OTL
O3 - HKU\S-1-5-21-1957994488-688789844-1417001333-1004\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

Klikasz Wykonaj skrypt, później Sprzątanie

Przeczyść dysk oraz rejestr CCleaner

Odinstaluj stare wersje Javy:

Java(TM) 6 Update 24
Java(TM) 7 Update 2
Java(TM) SE Development Kit 7 Update 2

i zainstaluj najnowszą https://www.instalki.pl/programy/download/Windows/biblioteki/Java.html

Zrobione. Coś jeszcze?

Ostatnio edytowany przez marcos_777, 20 Wrz 2012, 15:16, edytowano w sumie 1 raz

A jest jeszcze jakiś problem??

Nie.

W takim razie to by było na tyle.

Ale, właśnie odkryłem, że w IE nie działa wyszukiwanie hasła w Internecie, korzystając z podpowiedzi Google. Jak chcę Google zainstalować <Dodaj do programu Internet Explorer> to wyskakuje błąd na stronie. Chyba coś za dużo odinstalowałem w Autoruns? Zrestartowałem kompa, nie pomogło.

Robię tak: Zarządzanie dodatkami / Dostawcy wyszukiwania (jest pusto) / Znajdź więcej dostawców / Próbuję dodać Google i wyskakuje na pasku na dole komunikat Błąd na stronie.
Żadnych dostawców się nie da dodać do IE.
W FF wszystko ok.
--
Wróciłem do punktu przywracania systemu utworzonego rano przez OTL, ale nic nie pomogło.
Może trzeba będzie przeinstalować IE?

A po co ci Explorer?

To komp, z którego korzysta jeszcze jedna osoba, która nie zna FF i nie chce go poznać

Ostatnio edytowany przez marcos_777, 20 Wrz 2012, 23:35, edytowano w sumie 1 raz