prosba o pomoc w walce z wirusem

[adr33n]

Objawy zainfekowania:
slabe pingi i fpsy, a dobry komputer i internet tzn, <50 fps <50 ping, a komputer dual core 2x 3200, 6 gb ramu ( ale uzywane 3 ze wzgledu na win 32bit), karta graf 1gb HD, internet 8 mb.

Wykonywane działania:
posiadal avasta free, ale zaniepokojony dzialaniem kompa postanowilem poszukac czegos lepszego, googlujac wyczytalem ze malware jest duzo lepszy, no wiec przeskanowalem i w efekcie wyszlo na to ze moje obawy nie byly bezpodstawne znalazlo mi dwa zainfekowane pliki (

[Aby zobaczyć linki, zarejestruj się tutaj]

) po czym je usunalem i znow przeskanowalem tym samym programem i nic juz nie wykrylo (

[Aby zobaczyć linki, zarejestruj się tutaj]

). mimo wszystko jestem pewien ze to jeszcze nie koniec dlatego umieszczam tutaj logi z otl i rsit i czekam z niecierpliwoscia na pomoc

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

- OTL

[Aby zobaczyć linki, zarejestruj się tutaj]

- RSIT

[tachion]

Brak wygenerowanego pliku extrasw OTLpodaj go,musisz mieć zaznaczoną jeszcze opcje Rejestr skan dodatkowy - Użyj filtrowania

Odinstaluj:
AVG Secure Search
Delta-search
McAfee Security Scan

W okienko własne opcje skanowania skrypt wklej i wykonaj:

Kod:

:OTL
PRC - [2013-04-04 09:55:28 | 000,377,856 | ---- | M] () -- C:\Users\adrian\AppData\Local\Temp\Rar.728\gmer.exe
PRC - [2013-06-27 13:47:57 | 002,236,080 | ---- | M] () -- C:\Program Files\AVG Secure Search\vprot.exe
PRC - [2013-06-27 13:47:57 | 001,598,128 | ---- | M] (AVG Secure Search) -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe
PRC - [2013-06-27 13:47:56 | 000,152,240 | ---- | M] () -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\loggingserver.exe
SRV - [2013-06-27 13:47:57 | 001,598,128 | ---- | M] (AVG Secure Search) [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\15.3.0\ToolbarUpdater.exe -- (vToolbarUpdater15.3.0)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\dgderdrv.sys -- (dgderdrv)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\adrian\AppData\Local\Temp\awrdypog.sys -- (awrdypog)
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www1.delta-search.com/?babsrc=HP_ss&mntrId=5E798C89A52D57B9&affID=119357&tt=150713_91114&tsp=4944
IE - HKCU\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
IE - HKCU\..\URLSearchHook: {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No CLSID value found
IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=5E798C89A52D57B9&affID=119357&tt=150713_91114&tsp=4944
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={15B7CC76-62BD-4E8F-9FF9-0B27BB0EA9C5}&mid=f2c241b5582d47d0a5035dc0e3c9be4a-e40f810f205546d5720cb77f4aad0c9df65fb4ce&lang=pl&ds=xn011&pr=sa&d=2013-01-24 12:10:53&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2786678
IE - HKCU\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92823270141754627
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\15.3.0\\npsitesafety.dll ()
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\adrian\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\adrian\AppData\Local\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\facebook.com/fbDesktopPlugin: C:\Users\adrian\AppData\Local\Facebook\Messenger\2.1.4814.0\npFbDesktopPlugin.dll (Facebook, Inc.)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\15.3.0.11 [2013-06-27 13:48:18 | 000,000,000 | ---D | M]
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()
O4 - HKCU..\Run: []File not found
O4 - HKCU..\Run: [Facebook Update] C:\Users\adrian\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office14\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Pobierz plik wideo w FDM - C:\Program Files\Free Download Manager\dlfvideo.htm ()
O8 - Extra context menu item: Pobierz w FDM - C:\Program Files\Free Download Manager\dllink.htm ()
O8 - Extra context menu item: Pobierz wszystkie pliki w FDM - C:\Program Files\Free Download Manager\dlall.htm ()
O8 - Extra context menu item: Pobierz zaznaczone pliki w FDM - C:\Program Files\Free Download Manager\dlselected.htm ()
O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~1\MICROS~3\Office14\ONBttnIE.dll/105 File not found
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\15.3.0\ViProtocol.dll (AVG Secure Search)
[2013-07-15 23:51:53 | 000,000,000 | ---D | C] -- C:\Windows\System32\Extensions
[2013-07-15 23:54:35 | 000,000,000 | ---D | C] -- C:\Users\adrian\Qtrax
[2013-07-15 23:51:53 | 000,000,000 | ---D | C] -- C:\Windows\System32\searchplugins
[2011-12-23 13:18:56 | 000,000,000 | -HSD | M] -- C:\Users\adrian\AppData\Roaming\.#
[2011-10-30 13:16:25 | 000,000,000 | ---D | M] -- C:\Users\adrian\AppData\Roaming\Babylon
[2013-02-04 14:07:44 | 000,000,000 | ---D | M] -- C:\Users\adrian\AppData\Roaming\OpenCandy
[2013-02-04 14:10:00 | 000,000,000 | ---D | M] -- C:\Users\adrian\AppData\Roaming\TuneUp Software
[2011-11-04 10:54:26 | 000,000,000 | ---D | M] -- C:\Users\adrian\AppData\Roaming\SumatraPDF
[2012-12-26 10:22:18 | 000,024,772 | ---- | C] () -- C:\ProgramData\P1100DEF.cs
[2012-12-26 10:22:18 | 000,004,236 | ---- | C] () -- C:\ProgramData\P1100OS.HTM
[2012-12-26 10:22:18 | 000,002,944 | ---- | C] () -- C:\ProgramData\P1100SIG.GIF

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]


:Files
C:\Windows\tasks\*.*
C:\Config.Msi

:Commands
[EMPTYTEMP]

Google Chrome

Otwórz Google Chrome, kliknij ikonkę w prawym górnym rogu, przejdź do ustawień, wybierz “Zarządzaj wyszukiwarkami”. Zmień wyszukiwarkę na google albo inną, usuń Dealta Search z listy. Potem przejdź do zakładki “Po uruchomieniu” i upewnij się, że widzisz pustą stronę po utworzeniu nowej karty.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

i uruchom AdwCleanerz opcji Delete .

Zainstaluj

[Aby zobaczyć linki, zarejestruj się tutaj]

do najnowszej wersji.

Następnie uruchom OTLponownie i kliknij Skanuj . Przedstaw nowy log OTL +raport z wykonania oraz raport z Adwcleaner .

[adr33n]

adw -

[Aby zobaczyć linki, zarejestruj się tutaj]

extras z opcja o ktorej wspominales -

[Aby zobaczyć linki, zarejestruj się tutaj]

otl po czynnosciach -

[Aby zobaczyć linki, zarejestruj się tutaj]

skanowanie skryptem drugi raz po wszystkich czynnosciach -

[Aby zobaczyć linki, zarejestruj się tutaj]

z gooooooory dziękuje.

[tachion]

Skanowanie skryptem
Nie ma takiego czegoś i nie chodziło o to tylko o raport z wykonania skryptu,ale ogólnie mniejsza o to bo widzę że w głównym logu się wykonał skrypt.

W chrome przejdź do rozszerzeń wpisz w przeglądarkę chrome//extensions/

odznacz

AVG SiteSafety
McAfee Security Scanner
Facebook Desktop

W adwcleaner kliknij odinstaluj.
W OTL przejdź do sprzątania.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom,kliknij w File > Savei zapisz jako AutoRuns.arn ,plik prześlij na jakiś hosting np.tu

[Aby zobaczyć linki, zarejestruj się tutaj]

i przedstaw na forum.

Zaktualizuj:
Adobe Reader do wersji Adobe Reader XI 11.0.3
K-Lite Codec Pack do wersji K-Lite Codec Pack 9.9.9

Odinstaluj jeśli nie potrzebne:
Nokia Suite
PC Connectivity Solution
Samsung Kies
Facebook Messenger

[adr33n]

autoruns.arn -

[Aby zobaczyć linki, zarejestruj się tutaj]

mam pytanie czy wirusa się już pozbyłem ? gdyż niestety na grze nie odczuwam różnicy..

[tachion]

Do otl wklej i wykonaj

Kod:

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

Wykonaj skan programem

[Aby zobaczyć linki, zarejestruj się tutaj]

i podaj raport

---

Dodano: 21 lip 2013, 11:40

W autorunskarcie servicesodznacz:

AMD External Events Utility
MBAMScheduler
MBAMService
Microsoft Office Groove Audit Service
Nero BackItUp Scheduler 3
NMIndexingService
odserv
ose
PLFlash DeviceIoControl Service
PnkBstrA
ServiceLayer
SkypeUpdate
Sony PC Companion
WinDefend
WMPNetworkSvc

W karcie Task Scheduler
Odznacz wszystko

Zakładka Internet Explorer
Odznacz wszystko

Zakładka Explorerodznacz wszystko co żółte

Karta Logon

w kluczu HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Adobe Reader Speed Launcher
GrooveMonitor
KiesTrayAgent
NBKeyScan
StartCCC
SunJavaUpdateSched
WinampAgent Winamp Agent

w kluczu HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
Microsoft Windows

w kluczu HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Odznacz wszystko