Win. Security Alerts, GG działa - IE nie, logi: OTL i HT

Gorian (A2769661) 2010-08-15 23:14:55 UTC #1

Witam,

Zostałem poproszony o wklejenie logów z OTL-a i HijackThis z komputera, na którym (ponoć) dzieją się strasznie dziwne rzeczy...

Windows Security Alerts (komunikaty mniej więcej oznaczają, iż wszystko jest zablokowane, bo system jest zarażony spywarem) uniemożliwiają korzystanie normalne z komputera (nawet skanowania antywirusem nie da się włączyć), GG działa, IE (niestety, jedyna przeglądarka zainstalowana...) nie.

Wklejam logi (robione w trybie awaryjnym Windowsa):

http://wklej.org/id/377387/ - OTL.

http://wklej.org/hash/db3042b7b2e/ - HijackThis.

Nie widziałem tego sprzętu na oczy, więc nie odpowiem na żadne pytania dotyczące symptomów, logi muszą wystarczyć.

_i_DAEMON ([i]DAEMON) 2010-08-16 00:08:43 UTC #2

Logi z HijackThis nie podajemy ponieważ jest to już stare narzędzie i niedokładne.

W Custom Scans/Fixes wklej:

:Processes

killallprocesses


:OTL

O4 - HKLM..\Run: [ieinoefn] C:\Documents and Settings\B\Ustawienia lokalne\Dane aplikacji\cpdsonuvl\uyidgsashdw.exe File not found

O4 - HKLM..\Run: [jjgjqlxb] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\ikbnmobap\lsykpxvshdw.exe ()

O4 - HKLM..\Run: [Mmowiyix] C:\WINDOWS\uxibozidiji.DLL (Ask.com)

O4 - HKCU..\Run: [ieinoefn] C:\Documents and Settings\B\Ustawienia lokalne\Dane aplikacji\cpdsonuvl\uyidgsashdw.exe File not found

O33 - MountPoints2\{959fbede-61b3-11df-8a8e-00140b0e1e7b}\Shell\AutoRun\command - "" = G:\RECYCLER32\dmgr.exe -- File not found

O33 - MountPoints2\{959fbede-61b3-11df-8a8e-00140b0e1e7b}\Shell\open\command - "" = G:\RECYCLER32\dmgr.exe -- File not found

[2010-08-15 02:28:23 | 000,002,838 | ---- | M] () -- C:\WINDOWS\ipexihuv.dll

[2010-08-15 02:19:56 | 000,002,838 | ---- | M] () -- C:\WINDOWS\uzehuwud.dll

[2010-08-14 23:19:07 | 000,002,838 | ---- | M] () -- C:\WINDOWS\isikogevusu.dll

[2010-08-14 23:07:19 | 000,002,838 | ---- | M] () -- C:\WINDOWS\agakolakefup.dll

[2010-08-14 22:44:27 | 000,002,838 | ---- | M] () -- C:\WINDOWS\ewadupapoxulodi.dll

[2010-08-14 22:16:47 | 000,002,838 | ---- | M] () -- C:\WINDOWS\adexosivol.dll

[2010-08-14 21:39:28 | 000,002,838 | ---- | M] () -- C:\WINDOWS\ikexokexaquvet.dll

[2010-08-14 06:33:47 | 000,002,838 | ---- | M] () -- C:\WINDOWS\uxuciferab.dll

[2010-08-14 06:02:32 | 000,002,838 | ---- | M] () -- C:\WINDOWS\aladonokecikotad.dll

[2010-08-14 05:38:42 | 000,002,838 | ---- | M] () -- C:\WINDOWS\elupayuk.dll

[2010-08-14 04:26:47 | 000,003,292 | ---- | M] () -- C:\WINDOWS\Xverunuhogaj.dat

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O4 - HKCU..\Run: [Idupokuhup] C:\WINDOWS\ptAMS32.DLL (MaresWEB)


:Files

C:\WINDOWS\uxibozidiji.DLL

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\ikbnmobap\lsykpxvshdw.exe


:Commands

[reboot]

Podaj log z usuwania i nowy log z OTL.

deFco247 (deFco247) 2010-08-16 14:18:31 UTC #3

http://www.bleepingcomputer.com/virus-r ... rity-suite

Gorian (A2769661) 2010-08-16 21:03:25 UTC #4

Sytuacja wygląda następująco...

Po zainstalowaniu (i szybkim przeskanowaniu) Malwarebytes skan wyglądał tak: http://wklej.org/hash/05759c83a68/.

Potem po restarcie komputera jeszcze pełne skanowanie, ale już nic nie wykryło.

Aktualny log z OTL-a wygląda następująco: http://wklej.org/hash/f87b82ef954/.

Przeglądarka nadal nie działa. Co dalej robić?

_i_DAEMON ([i]DAEMON) 2010-08-16 23:09:11 UTC #5

W Custom Scans/Fixes wklej:

:Processes

killallprocesses


:OTL

MOD - [2008-01-24 14:27:51 | 000,183,808 | ---- | M] () -- C:\WINDOWS\uxibozidiji.dll

O2 - BHO: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll File not found

O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\DataMngr\IEBHO.dll File not found

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found

O3 - HKLM\..\Toolbar: (MediaBar) - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\BearshareMediabarDx.dll File not found

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found

O4 - HKLM..\Run: [Mmowiyix] C:\WINDOWS\uxibozidiji.DLL ()

O4 - HKLM..\Run: [DataMngr] C:\PROGRA~1\BEARSH~1\MediaBar\DataMngr\DataMngrUI.exe File not found

O4 - HKLM..\Run: [ieinoefn] C:\Documents and Settings\B\Ustawienia lokalne\Dane aplikacji\cpdsonuvl\uyidgsashdw.exe File not found

O4 - HKLM..\Run: [jjgjqlxb] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\ikbnmobap\lsykpxvshdw.exe File not found

O4 - HKU\.DEFAULT..\Run: [jjgjqlxb] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\ikbnmobap\lsykpxvshdw.exe File not found

O4 - HKU\S-1-5-18..\Run: [jjgjqlxb] C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\ikbnmobap\lsykpxvshdw.exe File not found

O4 - HKU\S-1-5-21-117609710-179605362-682003330-1003..\Run: [ieinoefn] C:\Documents and Settings\B\Ustawienia lokalne\Dane aplikacji\cpdsonuvl\uyidgsashdw.exe File not found

[2010-08-14 04:26:47 | 000,003,292 | ---- | M] () -- C:\WINDOWS\Xverunuhogaj.dat

[2008-01-24 14:27:51 | 000,183,808 | ---- | C] () -- C:\WINDOWS\uxibozidiji.dll

IE - HKU\S-1-5-21-117609710-179605362-682003330-1003\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll File not found


:Files

C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji\ikbnmobap

C:\Documents and Settings\B\Ustawienia lokalne\Dane aplikacji\cpdsonuvl


:Commands

[reboot]

Następnie naciśnij Runfix/Wykonaj skrypt.

Podaj log z usuwania i nowy log(OTL.txt, Extras.txt) z OTL.

Oparte na Discourse, najlepiej oglądać z włączonym JavaScriptem