Problem z WinXP po walce z wirusem

czornuch · 22 Listopad 2012 21:44

Witam. Jakiś czas temu stoczyłem walke z popularnym wirusem policyjnym. Usunąłem go programem Malwarebytes oraz wyłączyłem to ustrosjtwo z autostartu. Wszystko było wporzo. Dzisiaj postanowiłem ponownie przeskanować PC w poszukiwaniu jakiegos syfu. Malwarebytes znalazł mi jakis syf. Usunąłem go. Restartuje kompa. System sie ładuje. Przechodzi do ekranu logowania. Wpisuje hasło, wciskam enter i nic. Na ekranie logowania zawiesił się na ok 5 sekund. Nagle moim oczom pokazał się pulpit jednak całkowicie pusty, bez ikonek, oraz bez paska zadan. Myśle sobie “pewnie wkońcu uwaliłem system, który tak ładnie cykał ponad półtora roku” Jednak po ok 15 sekundach wszystko wróciło do normy. Zauważyłem że po tym wszystkim nie włącza mi sie zapora systemu windows, za każdym razem włączała się automatycznie, teraz nie ma jej ikonki przy systemowym zegarze, ani procesu w managerze zadań. Czy to może być przyczyną tej zamuły? Czy kasując ten syf skasowałem też jakiś klucz rejestru? Przesyłam logi z OTL. Pierwszy raz w moim życiu sam nie moge rozwiązac problemu z Windowsem Xp

http://www.wklej.org/id/877669/ OTL

http://www.wklej.org/id/877673/ Extras

Atis · 22 Listopad 2012 21:52

Odinstaluj Spybot - Search & Destroy i wszystkie programy o nazwie Toolbar.

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\nlndis.sys – (NLNdisPT) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\nlndis.sys – (NLNdisMP) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\ewusbmdm.sys – (hwdatacard) DRV - File not found [Kernel | On_Demand | Stopped] – C:\WINDOWS\system32\drivers\EagleXNt.sys – (EagleXNt) [2012-10-28 16:06:49 | 000,000,792 | ---- | M] () – C:\Documents and Settings\Chinczyk\Dane aplikacji\Mozilla\Firefox\Profiles\4l1ple24.default\searchplugins\startsear.xml [2011-09-18 16:25:58 | 000,001,565 | ---- | M] () – C:\Documents and Settings\Chinczyk\Dane aplikacji\Mozilla\Firefox\Profiles\4l1ple24.default\searchplugins\web-search.xml [2012-10-27 17:51:58 | 000,000,000 | —D | M] (z) – C:\Program Files\Mozilla Firefox\extensions{8414f5aa-202a-59ab-325c-204195f8c0e8} O4 - HKLM…\Run: [NPSStartup] File not found O4 - HKU\S-1-5-21-790525478-1078081533-682003330-1003…\Run: [ABBYY Screenshot Reader Bonus] File not found O4 - HKU\S-1-5-21-790525478-1078081533-682003330-1004…\Run: [RGSC] C:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent File not found O4 - HKU\S-1-5-21-790525478-1078081533-682003330-1004…\Run: [syisupu] “C:\Documents and Settings\Grubas\Dane aplikacji\Amivz\obxo.exe” File not found [2012-11-22 21:51:04 | 000,000,320 | ---- | M] () – C:\WINDOWS\tasks\Ylelhs.job [2012-11-22 17:03:03 | 000,126,976 | RHS- | M] () – C:\WINDOWS\System32\netfxperfd.dll [2012-02-26 14:36:19 | 000,075,087 | ---- | C] () – C:\WINDOWS\System32\46e80116.exe [2012-10-26 16:57:54 | 000,000,000 | —D | M] – C:\Documents and Settings\Grubas\Dane aplikacji\Zany [2012-10-21 19:31:16 | 000,000,000 | —D | M] – C:\Documents and Settings\Chinczyk\Dane aplikacji\Ytadq [2012-11-12 17:33:42 | 000,000,000 | —D | M] – C:\Documents and Settings\Grubas\Dane aplikacji\Amivz [2012-10-26 16:53:39 | 000,000,000 | —D | M] – C:\Documents and Settings\Grubas\Dane aplikacji\Apeqh :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

czornuch · 22 Listopad 2012 22:27

http://www.wklej.org/id/877698/ Raport z usuwania

http://www.wklej.org/id/877705/ OTL

http://www.wklej.org/id/877707/ Extras

Toolbarów nie znalazłem w programach. Być może instalują się wraz z pluginami video typu vshare.

System uruchomił się już normalnie, jednak bez zapory.

Możesz powiedzieć co było przyczyną takiej zamuły?

Atis · 22 Listopad 2012 23:02

Trojan uruchamiany za pomocą zaplanowanego zadania (.job):

Wklej i kliknij Wykonaj skrypt:

:OTL IE - HKLM…\SearchScopes,DefaultScope = IE - HKLM…\SearchScopes{86D5EE6A-6337-4E97-A346-FDC1E2A686AF}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=be … 9000b9b&q={searchTerms} IE - HKCU…\SearchScopes{86D5EE6A-6337-4E97-A346-FDC1E2A686AF}: “URL” = http://startsear.ch/?aff=1&src=sp&cf=be … 9000b9b&q={searchTerms} IE - HKCU…\SearchScopes{CCFB9CA5-A337-4d0d-952A-13BA1E74D5F6}: “URL” = http://startsear.ch/?aff=2&src=sp&cf=0d … 9000b9b&q={searchTerms} FF - prefs.js…browser.search.defaultengine: “Web Search” FF - prefs.js…browser.search.defaultenginename: “Web Search” FF - prefs.js…browser.search.order.1: “Web Search” FF - prefs.js…browser.search.selectedEngine: “Web Search” FF - prefs.js…browser.startup.homepage: “http://startsear.ch/?aff=2&cf=0dadbfec-2111-11e2-b648-6cf049000b9b” FF - prefs.js…keyword.URL: “http://search.sweetim.com/search.asp?src=2&q=” FF - prefs.js…sweetim.toolbar.previous.keyword.URL: “http://startsear.ch/?q=” [2012-10-14 11:17:14 | 083,023,306 | ---- | C] () – C:\Documents and Settings\All Users\Dane aplikacji\nogolniw.pad [2012-11-22 17:03:03 | 000,126,976 | RHS- | M] () – C:\WINDOWS\System32\netfxperfd.dll

Pokaż raport i nowy log.

Kliknij prawym na Mój Komputer -> Zarządzaj -> Usługi

Kliknij dwukrotnie na Zapora systemu Windows i tryb uruchomienia ustaw na Automatyczny.

Kliknij Zastosuj i Uruchom.

czornuch · 22 Listopad 2012 23:22

http://www.wklej.org/id/877738/ Raport

http://www.wklej.org/id/877741/ OTL

http://www.wklej.org/id/877742/ Extras

Wielkie dzieki za pomoc. =D>

Sam bym sobie nigdy z tym nie poradził #-o

Atis · 23 Listopad 2012 07:58

OTL nie potrafi usunąć jednego pliku.

Uruchom system w trybie awaryjnym i wtedy użyj skryptu.

Po uruchomieniu komputera naciskaj klawisz F8 i wybierz tryb awaryjny.

https://support.kaspersky.com/pl/faq?SS … 3238595#q1

Wklej i kliknij Wykonaj skrypt:

Pokaż raport i nowy log.