nicr28
(Marcin2811)
16 Marzec 2012 23:52
#1
Witam, mam strasznie zawirusowany komputer, miałem problem z Antivirus Protection 2012 ale chyba usunałem, chociaż nie wiem bo w procesach jest basicscan.exe. Ogólnie komputer sie długo wlącza, czasem wywala bluescreena i komp sie wyłącza, jak wchodze na obojetnie jakie strony czasem pojawia sie jakaś inna, głownie erotyczne.
OTL.txt:
http://wklej.to/zAm2I
Extras.txt:
http://wklej.to/CteJA
Atis
(Atis)
17 Marzec 2012 00:37
#2
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager)
Usługa może oznaczać wirusa Jeefo który infekuje pliki wykonywalne. Przeskanuj wszystkie partycje i lecz zainfekowane pliki:JEEFOGUI Kaspersky Virus Removal Tool 2011 Napisz czy skanery wykryły wirusa. Odinstaluj DAEMON Tools Toolbar i uTorrentControl2 Toolbar. Do okna Własne opcje skanowania / skrypt wklej:
:OTL
SRV - File not found [Disabled | Stopped] -- C:\WINDOWS\svchost.exe -- (PowerManager)
SRV - [2012-02-10 18:26:40 | 000,023,040 | ---- | M] () [Auto | Running] -- C:\Program Files\BasicScan\basicscan.exe -- (BasicScan Service)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\nicR\USTAWI~1\Temp\Rar$EX01.016\xqz ring0 by dedi\injectDLL.sys -- (injectDLL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HDAudBus.sys -- (HDAudBus)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\nicR\USTAWI~1\Temp\UKH143.tmp -- (GarenaPEngine)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - [2012-02-26 22:19:33 | 000,143,360 | ---- | M] () [Kernel | Auto | Running] -- C:\Documents and Settings\nicR\Ustawienia lokalne\Temp\5689.sys -- (5689)
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://fmz.qiwa.com [binary data]
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = my.daemon-search.com
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - No CLSID value found
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}: "URL" = http://toolbar.ask.com/toolbarv/askRedirect?gct=&gc=1&q={searchTerms}&crm=1&toolbar=UT2
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-1085031214-789336058-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:51717
[2012-02-10 21:26:48 | 000,000,000 | ---D | M] (BasicScan) -- C:\Program Files\Mozilla Firefox\extensions\{6AA54174-C9E8-4B07-95A0-0FBC19CBE64C}
FF - prefs.js..browser.search.defaultenginename: "Ask"
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.order.1: "Ask"
FF - prefs.js..browser.search.selectedEngine: "DAEMON Search"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3072253&SearchSource=2&q="
FF - prefs.js..network.proxy.http: "127.0.0.1"
FF - prefs.js..network.proxy.http_port: 51717
FF - prefs.js..network.proxy.type: 1
CHR - default_search_provider: search_url = http://www.basicscan.com/?tmp=redir_bho_bing&dist=0&prt=BscscnPB&keywords={searchTerms}
O2 - BHO: (no name) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - No CLSID value found.
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKU\S-1-5-21-1085031214-789336058-682003330-1003\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O4 - HKLM..\Run: [crrss] C:\WINDOWS\system32\crrss.exe (Provtech Limited)
O4 - HKU\.DEFAULT..\Run: [Punk Buster Client] C:\WINDOWS\system32\PnkBstrA.exe File not found
O4 - HKU\S-1-5-18..\Run: [Punk Buster Client] C:\WINDOWS\system32\PnkBstrA.exe File not found
O4 - HKU\S-1-5-21-1085031214-789336058-682003330-1003..\Run: [winlogon] C:\Documents and Settings\nicR\winlogon.exe (Provtech Limited)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: csrcs = C:\WINDOWS\system32\csrcs.exe
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\crrss.exe) - C:\WINDOWS\system32\crrss.exe (Provtech Limited)
O20 - HKLM Winlogon: UIHost - (C:\logonui_black.exe) - File not found
O20 - HKU\S-1-5-21-1085031214-789336058-682003330-1003 Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-1085031214-789336058-682003330-1003 Winlogon: Shell - ("C:\Documents and Settings\nicR\winlogon.exe") - C:\Documents and Settings\nicR\winlogon.exe (Provtech Limited)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
[2012-03-03 15:27:11 | 000,000,000 | ---D | C] -- C:\Documents and Settings\nicR\Dane aplikacji\Antivirus Protection 2012
[2012-02-22 15:39:46 | 000,000,000 | ---D | C] -- C:\Program Files\420CA
[2012-02-22 15:39:35 | 000,000,000 | ---D | C] -- C:\Documents and Settings\nicR\Dane aplikacji\B8B42
[2012-02-22 15:39:33 | 000,000,000 | ---D | C] -- C:\Program Files\LP
[2010-03-24 15:47:07 | 000,427,520 | RHS- | C] ( ) -- C:\WINDOWS\System32\voppnl.exe
[2010-03-21 12:59:02 | 000,436,736 | ---- | C] ( ) -- C:\WINDOWS\System32\cmnflz.exe
[2012-02-10 21:25:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\BasicScan
:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
Kliknij Wykonaj skrypt i zatwierdź restart.
Pokaż raport z usuwania i nowy log Skanuj.
nicr28
(Marcin2811)
17 Marzec 2012 23:04
#3
JEEFOGUI nic nie wykryło, odinstalowałem toobary, reszte zrobie jak będe miał czas.
Zostawiłem komputer na noc i sciaglo mi jakiś program Netcut.exe ktory sie wlacza przy starcie systemu i nie powoduje zadnych problemow ale chyba to wirus i chciałbym sie zapytać czy w OTL.txt jest to netcut czy musze robić nowy skan?
I od jakiegos czasu w procesach mam: 41D.exe 08CE0.exe TuneUpUtilitiesApp32.exe TuneUpUtilitiesService32.exe i 7 razy svchost.exe. Te procesy svchost.exe to chyba Jeefo bo miałem go na poprzednim komputerze i przeszedł pewnie razem z plikami, chociaż JEEFOGUI nic nie wykryło.
Atis
(Atis)
17 Marzec 2012 23:34
#4
Właściwie dotychczas nic nie wykonałeś.
Miałeś przeskanować Kasperskym i uzyć skryptu.
Użyj skryptu i pokaż nowy log.
Proces svchost.exe uruchomiony kilka razy to normalne, bo z tego procesu korzystają ważne usługi systemowe.
Ważna jest nie tylko nazwa, ale również lokalizacja pliku.
Wirus -> C:\WINDOWS\svchost.exe
Prawidłowy plik systemowy -> C:\WINDOWS\System32\svchost.exe
TuneUpUtilitiesApp32.exe i TuneUpUtilitiesService32.exe
Przecież masz zainstalowany program TuneUp Utilities