Antivirus protection 2012 - prośba o pomoc


(Buy311) #1

Witam,

Jestem kolejnym użytkownikiem zaatakowanym przez przez w/w wirusa.

Wykonałem skanowanie programem Malwarebytes - poniżej raport po

skanowaniu oraz skanowanie OTL ( poniżej również raport ).

Co mam ew. zrobić w następnym kroku. Z góry dziękuję za pomoc.

Pzdr, Mariusz.

RAPORT: Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.orgWersja bazy: v2012.03.04.03

Windows XP Service Pack 3 x86 NTFS (Tryb Awaryjny z dostępem do sieci)

Internet Explorer 8.0.6001.18702

igorek :: DV6000 [administrator]

2012-03-04 17:37:17

mbam-log-2012-03-04 (17-37-17).txt

Typ skanowania: Szybkie skanowanie

Zaznaczone opcje skanowania: Pamięć | Rozruch | Rejestr | System plików | Heurystyka/Dodatkowe | Heuristyka/Shuriken | PUP | PUM

Odznaczone opcje skanowania: P2P

Przeskanowano obiektów: 175387

Upłynęło: 3 minut(y), 39 sekund(y)

Wykrytych procesów w pamięci: 1

D:\WINDOWS\system32\crrss.exe (Trojan.Zbot.USZ) -> 2012 -> Usuń po ponownym uruchomieniu.

Wykrytych modułów w pamięci: 0

(Nie znaleziono zagrożeń)

Wykrytych kluczy rejestru: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Antivirus Protection 2012 (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Wykrytych wartości rejestru: 7

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|crrss (Trojan.Zbot.USZ) -> Data: D:\WINDOWS\system32\crrss.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winlogon (Trojan.Zbot.USZ) -> Data: D:\Documents and Settings\igorek\winlogon.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|geups5uwfd8r (Trojan.FakeAlert) -> Data: D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Antivirus Protection 2012 SH (Trojan.FakeAlert) -> Data: D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Antivirus Protection 2012 SM (Trojan.FakeAlert) -> Data: D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Antivirus Protection 2012 (Trojan.FakeAlert) -> Data: "D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\AntivirusProtection2012.exe" /STARTUP -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

HKCU\Software\Microsoft|adver_id (Malware.Trace) -> Data: 0 -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Wykryte wpisy rejestru systemowego: 1

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Trojan.Zbot.USZ) -> Złe: (D:\WINDOWS\system32\crrss.exe) Dobre: () -> Dodanie do kwarantanny i naprawa pliku zakończyły się powodzeniem.

wykrytych folderów: 0

(Nie znaleziono zagrożeń)

Wykrytych plików: 15

D:\WINDOWS\system32\crrss.exe (Trojan.Zbot.USZ) -> Usuń po ponownym uruchomieniu.

D:\Documents and Settings\igorek\winlogon.exe (Trojan.Zbot.USZ) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securityhelper.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\securitymanager.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012\AntivirusProtection2012.exe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\23894729347.exe (Trojan.Zbot.USZ) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\8FF7.tmp (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Pulpit\Antivirus Protection 2012.lnk (Rogue.AntiVirusPro) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\ppddfcfux.exxe (Trojan.FakeAlert) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\w32rim_mem.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\wrfwe_di.exe (Trojan.Downloader) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Ustawienia lokalne\Temp\dffuck.exe (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Dane aplikacji\cgdf.bat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\Menu Start\Programy\Palladium for Windows.lnk (Rogue.Palladium) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

D:\Documents and Settings\igorek\uidsave.dat (Malware.Trace) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

(zakończone

RAPORT - OTL:

OTL logfile created on: 2012-03-04 17:53:10 - Run 1

OTL by OldTimer - Version 3.2.35.1 Folder = D:\

Windows XP Home Edition Dodatek Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.18702)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

501,98 Mb Total Physical Memory | 112,43 Mb Available Physical Memory | 22,40% Memory free

1,20 Gb Paging File | 0,91 Gb Available in Paging File | 75,50% Paging File free

Paging file location(s): D:\pagefile.sys 756 1512 [binary data]

%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Program Files

Drive C: | 1,00 Gb Total Space | 0,96 Gb Free Space | 95,84% Space Free | Partition Type: NTFS

Drive D: | 66,38 Gb Total Space | 22,55 Gb Free Space | 33,98% Space Free | Partition Type: NTFS

Drive E: | 7,13 Gb Total Space | 1,51 Gb Free Space | 21,14% Space Free | Partition Type: FAT32

Computer Name: DV6000 | User Name: igorek | Logged in as Administrator.

Boot Mode: SafeMode with Networking | Scan Mode: Current user

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2012-03-04 17:52:26 | 000,584,704 | ---- | M] (OldTimer Tools) -- D:\OTL.exe

PRC - [2012-01-13 14:53:16 | 000,981,680 | ---- | M] (Malwarebytes Corporation) -- D:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

PRC - [2009-03-21 15:08:59 | 000,027,136 | ---- | M] (Unizeto Sp. z o.o.) -- D:\WINDOWS\system32\crrss.exe

PRC - [2008-04-14 21:51:18 | 001,035,264 | ---- | M] (Microsoft Corporation) -- D:\WINDOWS\explorer.exe

========== Modules (No Company Name) ==========

MOD - 2009-02-27 19:04:20 | 000,311,296 | ---- | M -- D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\pdfshell.POL

========== Win32 Services (SafeList) ==========

SRV - File not found [Disabled | Stopped] -- -- (HidServ)

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)

SRV - [2012-02-06 17:49:30 | 000,748,440 | ---- | M] (Spigot, Inc.) [Auto | Stopped] -- D:\Program Files\Application Updater\ApplicationUpdater.exe -- (Application Updater)

SRV - [2011-07-03 11:05:21 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- D:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)

SRV - [2011-04-29 07:38:41 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- D:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)

SRV - 2010-03-04 22:38:00 | 000,071,096 | ---- | M [Auto | Stopped] -- D:\Program Files\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)

========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (UIUSys)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)

DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)

DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)

DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)

DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)

DRV - File not found [Kernel | System | Stopped] -- -- (Changer)

DRV - 2012-03-04 17:42:41 | 000,054,016 | ---- | M [Kernel | Boot | Unknown] -- D:\WINDOWS\system32\drivers\cckdvu.sys -- (bwjbdpyv)

DRV - [2012-03-04 17:36:51 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy)

DRV - [2011-07-03 11:05:24 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- D:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)

DRV - [2011-07-03 11:05:24 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- D:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)

DRV - [2010-01-04 09:30:54 | 000,113,280 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)

DRV - [2010-01-04 09:30:54 | 000,102,528 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)

DRV - [2010-01-04 09:30:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ewusbdev.sys -- (hwusbdev)

DRV - 2009-11-12 13:48:56 | 000,007,168 | ---- | M [File_System | On_Demand | Stopped] -- D:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)

DRV - [2009-05-11 10:49:19 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- D:\Program Files\Avira\AntiVir Desktop\avgio.sys -- (avgio)

DRV - [2009-05-11 08:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- D:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)

DRV - [2008-11-17 14:23:16 | 003,636,864 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32) Intel®

DRV - [2008-10-09 14:42:42 | 000,017,408 | ---- | M] (Windows ® Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\KMWDFILTER.sys -- (KMWDFILTER)

DRV - 2008-05-02 10:58:12 | 000,017,536 | ---- | M [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)

DRV - [2008-04-28 19:22:10 | 000,009,344 | ---- | M] (Hewlett-Packard Development Company, L.P.) [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\CPQBttn.sys -- (HBtnKey)

DRV - [2007-11-01 07:26:36 | 000,989,696 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)

DRV - [2007-11-01 07:25:32 | 000,211,456 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)

DRV - [2007-11-01 07:25:22 | 000,731,520 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)

DRV - [2007-09-26 05:01:32 | 002,236,032 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\NETw4x32.sys -- (NETw4x32) Sterownik karty Intel®

DRV - [2006-07-26 21:44:42 | 000,581,632 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\CHDAud.sys -- (HdAudAddService)

DRV - 2006-06-07 10:39:56 | 000,061,952 | ---- | M [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\5U870CAP.sys -- (5U870CAP_VID_1262&PID_25FD)

DRV - [2006-05-12 12:19:04 | 001,342,602 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\btkrnl.sys -- (BTKRNL)

DRV - [2006-05-12 12:16:44 | 000,057,320 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- D:\WINDOWS\system32\drivers\btwusb.sys -- (BTWUSB)

DRV - 2005-12-22 16:02:22 | 000,051,840 | ---- | M [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\rimsptsk.sys -- (rimsptsk)

DRV - 2005-11-16 19:28:32 | 000,028,928 | ---- | M [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\rimmptsk.sys -- (rimmptsk)

DRV - 2005-11-01 17:08:00 | 000,308,992 | ---- | M [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\rixdptsk.sys -- (rismxdp)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}

IE - HKLM..\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKLM..\SearchScopes{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.softonic.com/MON00084/tb_ ... rce=10&cc=

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie

IE - HKCU..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - D:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll (Spigot, Inc.)

IE - HKCU..\SearchScopes,DefaultScope = {DFA9B6E4-4492-4DE1-9E9E-F9A16F035448}

IE - HKCU..\SearchScopes{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKCU..\SearchScopes{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?clien ... src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=RY&apn_dtid=&apn_uid=330FE6AE-8C27-47AB-A58E-AC0B2CD0F9AE&apn_sauid=FDA7164E-13A4-498F-A572-D2A54790186D

IE - HKCU..\SearchScopes{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKCU..\SearchScopes{9714F8D7-ACF8-4D43-B66E-F95AB92EF50F}: "URL" = http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8&rlz=1I7IRFD_pl

IE - HKCU..\SearchScopes{CE9C080F-7960-463C-8BDB-5BA6FBBC8A06}: "URL" = http://search.yahoo.com/search?fr=chr-g ... =302398&p={searchTerms}

IE - HKCU..\SearchScopes{DFA9B6E4-4492-4DE1-9E9E-F9A16F035448}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 73.149.32.52:80

========== FireFox ==========

FF - prefs.js..network.proxy.type: 0

FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=302398&ilc=12"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.startup.homepage: "http://search.softonic.com/MON00084/tb_v1?SearchSource=13&cc="

FF - prefs.js..browser.search.selectedEngine: "Search the web (Softonic)"

FF - prefs.js..keyword.URL: "http://search.softonic.com/MON00084/tb_v1?SearchSource=2&cc=&q="

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: D:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()

FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: D:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: D:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: d:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: D:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

[2011-03-16 02:31:15 | 000,000,000 | ---D | M] (No name found) -- D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Extensions

[2012-03-04 15:08:58 | 000,000,000 | ---D | M] (No name found) -- D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Firefox\Profiles\s4rdf4rj.default\extensions

[2012-03-04 15:08:59 | 000,000,000 | ---D | M] (Softonic Toolbar) -- D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Firefox\Profiles\s4rdf4rj.default\extensions\ffxtlbra@softonic.com

2012-03-04 15:08:58 | 000,002,060 | ---- | M -- D:\Documents and Settings\igorek\Dane aplikacji\Mozilla\Firefox\Profiles\s4rdf4rj.default\searchplugins\softonic.xml

O1 HOSTS File: ([2006-03-02 13:00:00 | 000,000,742 | ---- | M]) - D:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - D:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll (Spigot, Inc.)

O2 - BHO: (Softonic Helper Object) - {E87806B5-E908-45FD-AF5E-957D83E58E68} - D:\Program Files\Softonic\softonic\1.5.11.5\bh\softonic.dll (Softonic.com)

O3 - HKLM..\Toolbar: (Softonic Toolbar) - {5018CFD2-804D-4C99-9F81-25EAEA2769DE} - D:\Program Files\Softonic\softonic\1.5.11.5\softonicTlbr.dll (Softonic.com)

O3 - HKLM..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - D:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll (Spigot, Inc.)

O3 - HKCU..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKCU..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.

O3 - HKCU..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O4 - HKLM..\Run: [crrss] D:\WINDOWS\system32\crrss.exe (Unizeto Sp. z o.o.)

O4 - HKCU..\Run: [winlogon] D:\Documents and Settings\igorek\winlogon.exe (Unizeto Sp. z o.o.)

O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] D:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware (cleanup)] D:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O8 - Extra context menu item: Add to Google Photos Screensa&ver - D:\WINDOWS\System32\GPhotos.scr (Google Inc.)

O8 - Extra context menu item: Wyślij do interfejsu &Bluetooth - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm ()

O9 - Extra Button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O9 - Extra 'Tools' menuitem : @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm ()

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://update.microsoft.com/windowsupda ... 1255639875 (WUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta ... s-i586.cab (Java Plug-in 1.6.0_22)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/s ... wflash.cab (Shockwave Flash Object)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 89.151.0.5 89.151.0.27

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces{D73B5F32-B396-44D7-AC23-EC03CEC023EB}: DhcpNameServer = 89.151.0.5 89.151.0.27

O20 - HKLM Winlogon: Shell - (Explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\userinit.exe) - D:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (D:\WINDOWS\system32\crrss.exe) - D:\WINDOWS\system32\crrss.exe (Unizeto Sp. z o.o.)

O20 - HKCU Winlogon: Shell - (explorer.exe) - D:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKCU Winlogon: Shell - ("D:\Documents and Settings\igorek\winlogon.exe") - D:\Documents and Settings\igorek\winlogon.exe (Unizeto Sp. z o.o.)

O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - 2010-04-14 16:09:55 | 000,000,000 | ---- | M - C:\AUTOEXEC.BAT -- [NTFS]

O32 - AutoRun File - 2010-04-14 11:17:52 | 000,000,000 | ---- | M - D:\AUTOEXEC.BAT -- [NTFS]

O32 - AutoRun File - 2001-07-27 13:07:38 | 000,000,000 | -HS- | M - E:\AUTOEXEC.BAT -- [FAT32]

O33 - MountPoints2{55cf35ce-b6e0-11e0-924c-0018de331439}\Shell - "" = AutoRun

O33 - MountPoints2{55cf35ce-b6e0-11e0-924c-0018de331439}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2{d9b7bffa-afb8-11e0-923a-0018de331439}\Shell - "" = AutoRun

O33 - MountPoints2{d9b7bffa-afb8-11e0-923a-0018de331439}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2{d9b7bffe-afb8-11e0-923a-0018de331439}\Shell - "" = AutoRun

O33 - MountPoints2{d9b7bffe-afb8-11e0-923a-0018de331439}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O33 - MountPoints2{de586e30-5ee3-11e1-93e6-0018de331439}\Shell - "" = AutoRun

O33 - MountPoints2{de586e30-5ee3-11e1-93e6-0018de331439}\Shell\AutoRun\command - "" = G:\AutoRun.exe

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM..comfile [open] -- "%1" %*

O35 - HKLM..exefile [open] -- "%1" %*

O37 - HKLM...com [@ = comfile] -- "%1" %*

O37 - HKLM...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========


(krzych5610) #2

Pobierz odpowiednią, do zainstalowanego systemu wersję skanera z http://forums.comodo.com/polski-polish/ ... #msg573032

Przy aktualizacji baz najlepiej skorzystać z http://www.comodo.com/home/internet-sec ... tabase.php

Uruchom skaner CCE zgodnie z http://forums.comodo.com/polski-polish/ ... #msg573012

Po uruchomieniu aktywujesz - CCE>Tools>Import Virus Database. Wrzucasz pobraną bazę i uruchamiasz skaner w trybie full scan.


(Buy311) #3

Dziekuję za info.

Czy po skanowaniu programem Malwarebytes Anti-Malware mogło już pomóc?

Po zrestarowaniu kompa i przejściu z trybu awaryjnego do normalnego wydaje się, że złośliwego

wirusa już nie ma. Jedynie co zwróciło moją uwagę, to chyba zmieniła się czcionka przy ikonach na pulpicie.

Pzdr,M.


(Atis) #4

Logi przenieś na stronę wklej.org i podaj link.

Czy wyraziłeś na restart w celu dokończenia usuwania?

Odinstaluj Softonic Toolbar i pdfforge Toolbar

Później pokaż nowy log (wklej.org)


(Buy311) #5

Po skanowaniu usunąłem wszystkie wykryte wirusy i dobre wykonałem restart.

Po odintsalowaniu Softonic Toolbar i pdfforge Toolbar tak wygląda raport_skan_OTL:

http://wklej.org/id/701797/

Pzdr,M.


(Atis) #6

Praktycznie cała infekcja została usunięta przez Malwarebytes.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.softonic.com/MON00084/tb_v1?SearchSource=10&cc=

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.softonic.com/MON00084/tb_v1?SearchSource=10&cc=

IE - HKCU\..\SearchScopes\{DFA9B6E4-4492-4DE1-9E9E-F9A16F035448}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 73.149.32.52:80

IE - HKCU\..\SearchScopes\{DFA9B6E4-4492-4DE1-9E9E-F9A16F035448}: "URL" = http://search.softonic.com/MON00084/tb_v1?q={searchTerms}&SearchSource=4&cc=

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 73.149.32.52:80

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.

O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.

O20 - HKCU Winlogon: Shell - ("D:\Documents and Settings\igorek\winlogon.exe") - File not found


:Files

D:\Documents and Settings\igorek\Dane aplikacji\Antivirus Protection 2012


:Reg

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Shell"=- 


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Później uruchom OTL i kliknij Sprzątanie.

Usuń stare punkty przywracania:

http://support.microsoft.com/kb/310312/pl

Zainstaluj najnowszą wersję Java i Flash Player.


(Buy311) #7

Własne opcje skanowania/sprzątanie w OTL wykonane.

Po tym wszystkim OTL zniknął z pulpitu ( może tak powinno być ).

Usuwanie starych przywracania w trakcie. Jeżeli to załatwia sprawę, to Dziękuję za pomoc.

Pzdr, M.