Pc antispyware 2010 i inne syfy - Proszę od sprawdzenie loga

azhidahaka · 22 Sierpień 2009 17:17

Witam, wczorajszego dnia zagnieździł mi się jakiś syf na komputerze (pc antispyware 2010, bravix itp… i jakieś inne dziwne rzeczy), myślałem że go usunąłem ale dziś widziałem jeszcze po nim ślady. Ogólnie mogę mieć trochę syfu w logach więc prosiłbym o sprawdzeni co i jak

Z góry dziękuje

Załączam logi z różnych programów bo nie znam się za bardzo na tym więc jest ich kilka, lub może za mało

log hijackthis => http://www.wklejto.pl/41101

log OTL => http://www.wklejto.pl/41102

log rsit => http://www.wklejto.pl/41103

og silent runners = > http://www.wklejto.pl/41104

Dzięki bardzo z góry raz jeszcze

ciemnowidz · 22 Sierpień 2009 17:22

Tutaj zastosuj ComboFix, w momencie pobierania zmień mu nazwę. Jak nie pójdzie w trybie normalnym to uruchom w awaryjnym.

Podczas pobierania i skanu ComboFix’em wyłącz antywirusa i zapory.

Logi wklej na wklej.to a tutaj tylko link do wklejki.

Umpfh · 22 Sierpień 2009 17:29

Wejdź w: C:\WINDOWS\system32\drivers\etc , masz tam plik hosts, otwórz go za pomocą notatnika i wykasuj poniższe:

O1 - Hosts: 127.0.0.1 www.007guard.com

O1 - Hosts: 127.0.0.1 007guard.com

O1 - Hosts: 127.0.0.1 008i.com

O1 - Hosts: 127.0.0.1 www.008k.com

O1 - Hosts: 127.0.0.1 008k.com

O1 - Hosts: 127.0.0.1 www.00hq.com

O1 - Hosts: 127.0.0.1 00hq.com

O1 - Hosts: 127.0.0.1 010402.com

O1 - Hosts: 127.0.0.1 www.032439.com

O1 - Hosts: 127.0.0.1 032439.com

O1 - Hosts: 127.0.0.1 www.0scan.com

O1 - Hosts: 127.0.0.1 0scan.com

O1 - Hosts: 127.0.0.1 www.1000gratisproben.com

O1 - Hosts: 127.0.0.1 1000gratisproben.com

O1 - Hosts: 127.0.0.1 www.1001namen.com

O1 - Hosts: 127.0.0.1 1001namen.com

O1 - Hosts: 127.0.0.1 100888290cs.com

O1 - Hosts: 127.0.0.1 www.100888290cs.com

O1 - Hosts: 127.0.0.1 100sexlinks.com

O1 - Hosts: 127.0.0.1 www.100sexlinks.com

O1 - Hosts: 127.0.0.1 10sek.com

O1 - Hosts: 127.0.0.1 www.10sek.com

O1 - Hosts: 127.0.0.1 www.1-2005-search.com

O1 - Hosts: 127.0.0.1 1-2005-search.com

O1 - Hosts: 10896 more lines...

W OTL wklej i Run Fix:

:Processes

explorer.exe


:OTL

O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC)

O3 - HKU\S-1-5-21-527237240-1604221776-682003330-1003\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)

O3 - HKU\S-1-5-21-527237240-1604221776-682003330-1003\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC)

O4 - HKU\.DEFAULT..\Run: [braviax] File not found

O4 - HKU\S-1-5-18..\Run: [braviax] File not found

O4 - HKLM..\Run: [Regedit32] C:\WINDOWS\System32\regedit.exe File not found

O4 - HKLM..\Run: [WOOTASKBARICON] C:\PROGRA~1\NEOSTR~1\GestMaj.exe TaskBarIcon.exe File not found

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-500..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe File not found

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-500..\Run: [msword98] C:\Documents and Settings\Administrator\msword98.exe File not found

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-500..\RunOnce: [^SetupICWDesktop] File not found

O4 - Startup: C:\Documents and Settings\azhidahaka\Menu Start\Programy\Autostart\Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzShadow\YzShadow.exe (Y'z@Home)

O4 - Startup: C:\Documents and Settings\azhidahaka\Menu Start\Programy\Autostart\Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe (Y'z@Home)

O18 - Protocol\Handler\ipp - No CLSID value found

O18 - Protocol\Handler\msdaipp - No CLSID value found


:Files

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-527237240-1604221776-682003330-1003UA.job

C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-527237240-1604221776-682003330-1003Core.job


:Commands

[emptytemp]

[start explorer]

[Reboot]

wejdź w start, uruchom, wpisz: msconfig, zakładka uruchamianie, poniższe wpisy odznacz, zastosuj i ok:

O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)

O4 - HKLM..\Run: [Adobe_ID0EZEHM] C:\Program Files\Common Files\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3Tray.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [AdslTaskBar] C:\WINDOWS\System32\stmctrl.DLL (STMicroelectronics )

O4 - HKLM..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe (Apple Inc.)

O4 - HKLM..\Run: [DefragTaskBar] C:\Program Files\Ashampoo\Ashampoo Magical Defrag 2\bin\defragTaskBar.exe ()

O4 - HKLM..\Run: [InCD] C:\Program Files\Ahead\InCD\InCD.exe (Ahead Software AG)

O4 - HKLM..\Run: [ISUSPM Startup] C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe (InstallShield Software Corporation)

O4 - HKLM..\Run: [ISUSScheduler] C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe (InstallShield Software Corporation)

O4 - HKLM..\Run: [iTunesHelper] C:\Program Files\iTunes\iTunesHelper.exe (Apple Inc.)

O4 - HKLM..\Run: [NSLauncher] C:\Program Files\Nokia\Nokia Software Launcher\NSLauncher.exe ()

O4 - HKLM..\Run: [QuickTime Task] C:\Program Files\QuickTime\qttask.exe (Apple Inc.)

O4 - HKLM..\Run: [RAMBooster.Net] C:\Program Files\RAMBooster.Net\RAMBooster.exe File not found

O4 - HKLM..\Run: [RemoteControl] C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe (Cyberlink Corp.)

O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.)

O4 - HKLM..\Run: [VC8Player] C:\Program Files\Virtual CD v8\System\VC8Play.exe (H+H Software GmbH)

O4 - HKU\.DEFAULT..\Run: [Nokia.PCSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe (Time Information Services Ltd.)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [AlcoholAutomount] C:\Program Files\Alcohol Soft\Alcohol 52\axcmd.exe (Alcohol Soft Development Team)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [Dexpot 1.3] C:\Program Files\Dexpot\dexpot.exe (Dexpot GbR)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [DownloadAccelerator] C:\Program Files\DAP\DAP.EXE (Speedbit Ltd.)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [Gadu-Gadu] C:\Program Files\Gadu-Gadu\gg.exe (Gadu-Gadu S.A.)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [Google Update] C:\Documents and Settings\azhidahaka\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe (Google Inc.)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [H/PC Connection Agent] C:\Program Files\Microsoft ActiveSync\wcescomm.exe (Microsoft Corporation)

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [RocketDock] C:\WINDOWS\BricoPacks\Crystal Clear\RocketDock\RocketDock.exe ()

O4 - HKU\S-1-5-21-527237240-1604221776-682003330-1003..\Run: [Skype] C:\Program Files\Skype\Phone\Skype.exe (Skype Technologies S.A.)

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Acrobat Synchronizer.lnk = C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe (Adobe Systems Incorporated)

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)

O4 - Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Color Calibration.lnk = C:\Program Files\SEC\MagicTune 2.5\GammaTray.exe ()

ciemnowidz · 22 Sierpień 2009 17:32

Tutaj są podmienione sterowniki systemowe i OTL + HT nic nie dadzą bo i tak tego nie ruszą.

Co do

To zabezpieczenia od Spybota.

Do wklejenia log z programu jaki podałem.

azhidahaka · 22 Sierpień 2009 17:47

log Combo => http://www.wklejto.pl/41106

narazie nie usuwałem nic bo nie wiem kogo mam słuchać żeby nie namieszać

ciemnowidz · 22 Sierpień 2009 17:53

Wklej do notatnika taki tekst

Zapisz jako CFScript.txt. Ten plik przeciągasz na ikonę ComboFix’a. Rozpocznie się usuwanie, wklej powstały log.

azhidahaka · 22 Sierpień 2009 18:16

Hmm jakby to powiedziec… teraz to mi sie windows nie odpala wyswietlajac informację “… następujący plik nie został znaleziony lub jest uszkodzony: System32\Drivers\Ntfs.sys …” i co teraz. (pisze z laptopa)

ciemnowidz · 22 Sierpień 2009 18:22

Ciekawe. No to odkręcamy.

Wejdź w konsolę odzyskiwania, instrukcja

http://www.adam749.eu/index.php?id=konsola

W konsoli wpisz te komendy (te pogrubione)

Enter. Po uruchomieniu wklej nowy log z OTL.

azhidahaka · 22 Sierpień 2009 18:35

Npisało że skopiowało jakieś pliki ale nie odpala nadal - ta sama informacja(nadmienię iż nie posiadam płyty Windowsa, a przynajmniej nie wiem gdzie jest i konsola odzyskiwania odpaliła mi się z dysku przy wyborze systemu bo instalowałem takiego Windowsa że mi tą konsole doinstalował)

ciemnowidz · 22 Sierpień 2009 18:44

W konsoli odzyskiwania (mam nadzieję, że jeszcze pamiętam komendy, bo dawno nie jej nie uruchamiałem) wpisz, by wyszukać plik ntfs.sys

Wpisujesz komendy po jednej, szukasz czy jest tam plik ntfs.sys, podajesz rozmiar każdego znalezionego.

Tak robisz dla wszystkich podanych lokalizacji.

azhidahaka · 22 Sierpień 2009 18:52

dir c:\windows$hf_mig$\KB930916\SP2QFE 574976 ntfs.sys

dir c:\windows\ServicePackFiles\i386 574976 ntfs.sys

dir c:\windows\system32\dllcache 574976 ntfs.sys

dir c:\windows\system32\drivers 574976 ntfs.sys

ciemnowidz · 22 Sierpień 2009 19:09

No to sytuacja jest dość dziwna bo plik ntfs.sys został znaleziony w prawidłowej lokalizacji. Dziwny jest też rozmiar bo ComboFix pokazywał nieco inny.

No to teraz takie komendy wpisujesz. Przy czym po wpisaniu jednej sprawdzasz czy system się uruchamia, jeśli nie to wpisujesz kolejną

azhidahaka · 22 Sierpień 2009 19:18

ok odpaliłem kompa… aż narzeczona powiedziała że nadzwyczaj spokojnie do tego podszedłem :p, co dalej

ciemnowidz · 22 Sierpień 2009 19:36

Teraz wklej w OTL taki tekst i kliknij Run Scan , pokaż log

azhidahaka · 22 Sierpień 2009 19:49

http://www.wklejto.pl/41112

ciemnowidz · 22 Sierpień 2009 20:03

Wklej w OTL taki tekst

:OTL [2009-08-22 13:34:14 | 00,019,600 | ---- | C] () – C:\WINDOWS\System32\gebobyrite.dl [2009-08-22 13:34:14 | 00,018,978 | ---- | C] () – C:\WINDOWS\ekurenyd._sy [2009-08-22 13:34:14 | 00,018,926 | ---- | C] () – C:\WINDOWS\System32\jysolocir.inf [2009-08-22 13:34:14 | 00,017,772 | ---- | C] () – C:\Documents and Settings\All Users\Dokumenty\xiguc.inf [2009-08-22 13:34:14 | 00,017,247 | ---- | C] () – C:\Documents and Settings\All Users\Dokumenty\ajekule._dl [2009-08-22 13:34:14 | 00,017,088 | ---- | C] () – C:\WINDOWS\System32\newabor.dl [2009-08-22 13:34:14 | 00,013,354 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\ysapic.dat [2009-08-22 13:34:14 | 00,012,863 | ---- | C] () – C:\Documents and Settings\All Users\Dokumenty\sekazosec.dl [2009-08-22 13:34:14 | 00,011,927 | ---- | C] () – C:\Documents and Settings\All Users\Dokumenty\elopexijyg.dat [2009-08-22 13:34:14 | 00,011,540 | ---- | C] () – C:\WINDOWS\System32\qygipokys._dl [2009-08-22 13:34:14 | 00,011,179 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\ufyteni.dl

Kliknij Run Fix i pokaż nowy log.

JNJN · 22 Sierpień 2009 20:44

Proszę zmienić temat na konkretny, opcja EDYTUJ i popraw.JNJN

azhidahaka · 23 Sierpień 2009 11:28

http://www.wklejto.pl/41136

ciemnowidz · 23 Sierpień 2009 11:35

Tamten tekst miałeś wkleić w OTL i kliknąć Run Fix a nie Run Scan. Powtórz i wklej log z usuwania.

azhidahaka · 23 Sierpień 2009 11:37

http://www.wklejto.pl/41137

tak sorry