Wirus SVCHOST.EXE jak skutecznie się tego pozbyć

Dla specjalistów Bezpieczeństwo
#1

Witam,

zdaje sobie sprawę że temat był już kilka krotnie poruszany,ale nie mogę z tym sobie poradzić. A więc tak chodzi o wirusa który podszywa się pod proces svchost.exe. Próbowałam różnych rzeczy kilka formatów pendriva i komputerów, skanowanie antywirusem - jeden nawet doraźnie pomagał, pomaga też zamykanie tych procesów w menadżerze zadań. Jednak niestety powraca on jak bumerang, jak wyczyścić komputery i pendrive skutecznie, jak uchronić się przed ponownym pojawieniem tego świństwa???

Proszę o pomoc.

#2

http://www.hal.trzepak.net/faq/winxp/pr … %20xp.html

dla czego sądzisz że to wirus

Pobierz OTL otl-gmer-rsit-dds-inne-instrukcje-t370405.html przeskanuj daj log OTL.txt oraz Extras.txt.

:slight_smile:

#3

wiem że to jest wirus…który podszywa się pod svchost…to co mi napisałeś Leon z tego zdaje sobie sprawę, nie wiem czy się kiedyś spotkałeś z tym wirusem , ale takich procesów jest ok 4 u mnie namnaża się ten proces i pochłania coraz to większe zasoby, jak go wyłącze w menadżerze zadan to komputer na jakiś czas lepiej chodzi. Jednak po jakimś czasie jak zainfekuje większość programów system zaczyna być niestabilny, łącznie z wyskakiwaniem różnych błędów, poprzez zacinanie się i wyłanczanie. Wiem że to wirus…i zadaje to pytanie komuś kto miał już z tym problem to będzie wiedział jak se z tym poradzić. format sam nic nie daje.

#4

Leon$ napisał ci co masz zrobić:

otl-gmer-rsit-dss-inne-instrukcje-t370405.html

#5

Dużo procesów svchost.exe to normana sytuacja w systemach Windows. Ich liczba może sięgać nawet kilkunastu. Jak na logu nie wykaże infekcji to diagnoza jest następująca: zamykasz ręcznie proces, który jest potrzebny do pracy systemu. System uruchamia go znowu a ty znowu go wyłączasz. Wtedy zaczyna się zacinać, pojawiają się błędy aż w końcu restart. Piszesz, że proces pochłania coraz większe zasoby, a jest to odczuwalne, czy tylko widoczne w okienku procesy menedżera zadań? Ja mam aktywne 12 procesów svchost, a nie mam żadnego wirusa i komputer chodzi stabilnie.

#6

Widzisz to tak bym nie wiedziała że to wirus gdyby ten problem nie męczył mnie tak naprawdę od roku. Zaczęło się że użyłam pendriva przyniesionego z pracy mojego faceta, wtedy system zaczął szwankować i po jakimś czasie dochodzi do tego że komputer się przezywał uwłaczać. Potem infekcja rozprzestrzeniła się na dwa inne nasze komputery i myślę że na wszystkie pendrivy, raz udało mi się to zwalczyć jakimś programem i formatami wszystkich komputerów. Zaznaczam że procesów svchost nie było dużo. Jednak myślę że ktoś ze znajomych komu albo pożyczyłam film na pendrivie, albo coś w tym stylu musiał mi go oddać w prezencie. I teraz nowy komputer z nowym systemem bez wyłaniania svchostów zaczął bardzo szwankować, i dochodziło do takich sytuacji co wtedy. I wyskakuje teraz coraz więcej svchostów.

Dodane 12.11.2010 (Pt) 9:45

OTL Extras logfile created on: 2010-11-12 09:30:29 - Run 1

OTL by OldTimer - Version 3.2.17.3 Folder = C:\Documents and Settings\kasik\Pulpit

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free

3,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 19,53 Gb Total Space | 2,27 Gb Free Space | 11,61% Space Free | Partition Type: NTFS

Drive D: | 1,53 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: KASIK-C691F3756 | User Name: kasik | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]

.html [@ = ChromeHTML] – C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)

[HKEY_USERS\S-1-5-21-2025429265-2139871995-682003330-1003\SOFTWARE\Classes]

.html [@ = FirefoxHTML] – C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\shell[command]\command]

batfile [open] – “%1” %*

cmdfile [open] – “%1” %*

comfile [open] – “%1” %*

exefile [open] – “%1” %*

htmlfile [edit] – Reg Error: Key error.

http [open] – “C:\Program Files\Google\Chrome\Application\chrome.exe” – “%1” (Google Inc.)

https [open] – “C:\Program Files\Google\Chrome\Application\chrome.exe” – “%1” (Google Inc.)

piffile [open] – “%1” %*

regfile [merge] – Reg Error: Key error.

scrfile [config] – “%1”

scrfile [install] – rundll32.exe desk.cpl,InstallScreenSaver %l (Microsoft Corporation)

scrfile [open] – “%1” /S

txtfile [edit] – Reg Error: Key error.

Unknown [openas] – %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] – %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [Winamp.Bookmark] – “C:\Program Files\Winamp\winamp.exe” /BOOKMARK “%1” (Nullsoft, Inc.)

Directory [Winamp.Enqueue] – “C:\Program Files\Winamp\winamp.exe” /ADD “%1” (Nullsoft, Inc.)

Directory [Winamp.Play] – “C:\Program Files\Winamp\winamp.exe” “%1” (Nullsoft, Inc.)

Folder [open] – %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] – %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] – %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

“FirstRunDisabled” = 1

“AntiVirusDisableNotify” = 0

“FirewallDisableNotify” = 0

“UpdatesDisableNotify” = 0

“AntiVirusOverride” = 0

“FirewallOverride” = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

“DisableSR” = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

“Start” = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

“Start” = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

“1900:UDP” = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007

“2869:TCP” = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008

“139:TCP” = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004

“445:TCP” = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005

“137:UDP” = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001

“138:UDP” = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

“C:\Program Files\Nowe Gadu-Gadu\gg.exe” = C:\Program Files\Nowe Gadu-Gadu\gg.exe:*:Enabled:Nowe Gadu-Gadu – (GG Network S.A.)

“C:\Program Files\DC++\DCPlusPlus.exe” = C:\Program Files\DC++\DCPlusPlus.exe:*:Enabled:DC++ – ()

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

“{0515803B-5068-4599-8666-963E143C7381}” = HP Smart Card Security for ProtectTools 5.00 D4

“{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}” = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

“{26A24AE4-039D-4CA4-87B4-2F83216020FF}” = Java 6 Update 20

“{2C82E097-694E-44ea-A947-2750679469CF}” = The Sims™ 2

“{350C9415-3D7C-4EE8-BAA9-00BCB3D54227}” = WebFldrs XP

“{4A03706F-666A-4037-7777-5F2748764D10}” = Java Auto Updater

“{837b34e3-7c30-493c-8f6a-2b0f04e2912c}” = Microsoft Visual C++ 2005 Redistributable

“{914E1AB1-DCA0-4A7D-935F-B58C4B887A2B}” = HP ProtectTools Security Manager 2.00 A4

“{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}” = Microsoft .NET Framework 3.0 Service Pack 2

“{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}” = Google Update Helper

“{AC76BA86-7AD7-1045-7B44-A94000000001}” = Adobe Reader 9.4.0 - Polish

“{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}” = Microsoft .NET Framework 2.0 Service Pack 2

“{CD95D125-2992-4858-B3EF-5F6FB52FBAD6}” = Skype Toolbars

“{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}” = Microsoft .NET Framework 3.5 SP1

“{E633D396-5188-4E9D-8F6B-BFB8BF3467E8}” = Skype™ 5.0

“{F0A37341-D692-11D4-A984-009027EC0A9C}” = SoundMAX

“{F5242227-2051-4158-AC42-0F2BAA3CD3D6}” = HP SetRefresh

“{F870B987-18BC-45FC-9BE8-35C02DCDA10F}” = Broadcom NetXtreme Ethernet Controller

“Adobe Flash Player Plugin” = Adobe Flash Player 10 Plugin

“Adobe Shockwave Player” = Adobe Shockwave Player 11.5

“ALLPlayer_is1” = ALLPlayer V4.X

“DC++” = DC++ 0.707

“ffdshow_is1” = ffdshow v1.1.3572 [2010-09-13]

“Google Chrome” = Google Chrome

“HDMI” = Intel® Graphics Media Accelerator Driver

“Malwarebytes’ Anti-Malware_is1” = Malwarebytes’ Anti-Malware

“Microsoft .NET Framework 3.5 SP1” = Microsoft .NET Framework 3.5 SP1

“Mozilla Firefox (3.6.12)” = Mozilla Firefox (3.6.12)

“MyWebSearch bar Uninstall” = My Web Search (MyWebFace)

“Nowe Gadu-Gadu” = Nowe Gadu-Gadu

“PhotoScape” = PhotoScape

“WIC” = Windows Imaging Component

“Winamp” = Winamp

“WinRAR archiver” = Archiwizator WinRAR

“XpsEPSC” = XML Paper Specification Shared Components Pack 1.0

========== HKEY_USERS Uninstall List ==========

[HKEY_USERS\S-1-5-21-2025429265-2139871995-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

“Winamp Detect” = Detektor Winampa

========== Last 10 Event Log Errors ==========

[Application Events]

Error - 2010-11-11 05:08:53 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2006

Description = Nie można odczytać danych wydajności z usługi Server Queue. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server Queue. Zwrócony kod stanu to

dane DWORD 0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 05:08:56 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2005

Description = Nie można odczytać danych wydajności z usługi Server. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server. Zwrócony kod stanu to dane DWORD

0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 05:08:56 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2006

Description = Nie można odczytać danych wydajności z usługi Server Queue. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server Queue. Zwrócony kod stanu to

dane DWORD 0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 05:08:59 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2005

Description = Nie można odczytać danych wydajności z usługi Server. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server. Zwrócony kod stanu to dane DWORD

0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 05:08:59 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2006

Description = Nie można odczytać danych wydajności z usługi Server Queue. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server Queue. Zwrócony kod stanu to

dane DWORD 0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 05:09:01 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2005

Description = Nie można odczytać danych wydajności z usługi Server. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server. Zwrócony kod stanu to dane DWORD

0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 05:09:01 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2006

Description = Nie można odczytać danych wydajności z usługi Server Queue. W tej próbce

nie zostaną zwrócone dane wydajności usługi Server Queue. Zwrócony kod stanu to

dane DWORD 0, IOSB.Status to dane DWORD 1 a IOSB.Information to dane DWORD 2.

Error - 2010-11-11 11:00:37 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

Error - 2010-11-11 14:46:05 | Computer Name = KASIK-C691F3756 | Source = PerfNet | ID = 2004

Description = Nie można otworzyć usługi Server. Dane wydajności usługi Server nie

zostaną zwrócone. Zwrócony kod stanu to dane DWORD 0.

Error - 2010-11-11 14:47:56 | Computer Name = KASIK-C691F3756 | Source = EventSystem | ID = 4609

Description = Podczas wewnętrznego przetwarzania system zdarzeń modelu COM+ wykrył

zły kod powrotu. HRESULT to 80080005 z w wierszu 44 z d:\comxp_sp2\com\com1x\src\events\tier1\eventsystemobj.cpp.

Skontaktuj się z Pomocą techniczną firmy Microsoft i zgłoś ten błą

[System Events]

Error - 2010-11-11 14:53:08 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7031

Description = Usługa Usługa inteligentnego transferu w tle niespodziewanie zakończyła

pracę. Wystąpiło to razy: 1. W przeciągu 60000 milisekund zostanie podjęta następująca

czynność korekcyjna: Uruchom usługę ponownie.

Error - 2010-11-11 14:53:08 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7034

Description = Usługa System zdarzeń COM+ niespodziewanie zakończyła pracę. Wystąpiło

to razy: 2.

Error - 2010-11-11 14:53:08 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7031

Description = Usługa Pomoc i obsługa techniczna niespodziewanie zakończyła pracę.

Wystąpiło to razy: 2. W przeciągu 100 milisekund zostanie podjęta następująca czynność

korekcyjna: Uruchom usługę ponownie.

Error - 2010-11-11 14:53:08 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7034

Description = Usługa Połączenia sieciowe niespodziewanie zakończyła pracę. Wystąpiło

to razy: 2.

Error - 2010-11-11 14:53:08 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7034

Description = Usługa Rozpoznawanie lokalizacji w sieci (NLA) niespodziewanie zakończyła

pracę. Wystąpiło to razy: 1.

Error - 2010-11-11 18:43:39 | Computer Name = KASIK-C691F3756 | Source = NetBT | ID = 4307

Description = Zainicjowanie nie powiodło się, ponieważ transport odmówił otwarcia

adresów początkowych.

Error - 2010-11-11 18:44:05 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: i8042prt

Error - 2010-11-11 18:50:17 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: i8042prt

Error - 2010-11-12 04:23:26 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: i8042prt

Error - 2010-11-12 04:28:42 | Computer Name = KASIK-C691F3756 | Source = Service Control Manager | ID = 7026

Description = Nie można załadować następujących sterowników startu rozruchowego

lub systemowego: i8042prt

< End of report >

OTL logfile created on: 2010-11-12 09:30:29 - Run 1

OTL by OldTimer - Version 3.2.17.3 Folder = C:\Documents and Settings\kasik\Pulpit

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.2180)

Locale: 00000415 | Country: Polska | Language: PLK | Date Format: yyyy-MM-dd

1,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 73,00% Memory free

3,00 Gb Paging File | 3,00 Gb Available in Paging File | 91,00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 19,53 Gb Total Space | 2,27 Gb Free Space | 11,61% Space Free | Partition Type: NTFS

Drive D: | 1,53 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: UDF

Computer Name: KASIK-C691F3756 | User Name: kasik | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2010-11-12 09:25:56 | 000,575,488 | ---- | M] (OldTimer Tools) – C:\Documents and Settings\kasik\Pulpit\OTL.exe

PRC - [2010-11-11 20:42:51 | 000,032,849 | ---- | M] (MyWebSearch.com) – C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

PRC - [2010-10-29 09:43:52 | 000,016,856 | ---- | M] (Mozilla Corporation) – C:\Program Files\Mozilla Firefox\plugin-container.exe

PRC - [2010-10-29 09:43:50 | 000,912,344 | ---- | M] (Mozilla Corporation) – C:\Program Files\Mozilla Firefox\firefox.exe

PRC - [2004-08-03 23:44:28 | 000,013,824 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\system32\savedump.exe

PRC - [2004-08-03 23:44:20 | 001,033,728 | ---- | M] (Microsoft Corporation) – C:\WINDOWS\explorer.exe

PRC - [2002-09-20 14:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

========== Modules (SafeList) ==========

MOD - [2010-11-12 09:25:56 | 000,575,488 | ---- | M] (OldTimer Tools) – C:\Documents and Settings\kasik\Pulpit\OTL.exe

MOD - [2010-11-11 20:42:51 | 000,045,134 | ---- | M] (MyWebSearch.com) – C:\Program Files\MyWebSearch\bar\1.bin\MWSOESTB.DLL

MOD - [2004-08-03 23:42:34 | 001,050,624 | R— | M] (Microsoft Corporation) – C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll

========== Win32 Services (SafeList) ==========

SRV - [2010-11-11 20:42:51 | 000,028,762 | ---- | M] (MyWebSearch.com) [Auto | Stopped] – C:\Program Files\MyWebSearch\bar\1.bin\MWSSVC.EXE – (MyWebSearchService)

SRV - [2002-09-20 14:50:10 | 000,045,056 | ---- | M] (Analog Devices, Inc.) [Auto | Running] – C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe – (SoundMAX Agent Service (default))

========== Driver Services (SafeList) ==========

DRV - [2008-07-25 00:18:32 | 000,176,640 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\b57xp32.sys – (b57w2k)

DRV - [2006-08-14 15:00:24 | 001,109,568 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\igxpmp32.sys – (ialm)

DRV - [2006-03-24 10:18:36 | 000,358,912 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] – C:\WINDOWS\system32\drivers\PRISMA00.sys – (PRISM_A00)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 0

IE - HKU\S-1-5-21-2025429265-2139871995-682003330-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://home.mywebsearch.com/index.jhtml … A.KOWZ97tw

IE - HKU\S-1-5-21-2025429265-2139871995-682003330-1003…\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)

IE - HKU\S-1-5-21-2025429265-2139871995-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: “ProxyEnable” = 0

========== FireFox ==========

FF - prefs.js…browser.startup.homepage: “http://home.mywebsearch.com/index.jhtml?n=77C09F4F&ptnrS=GRxdm047YYPL&ptb=fhQbsLpKFvS9A.KOWZ97tw

FF - prefs.js…extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20

FF - prefs.js…extensions.enabledItems: jqs@sun.com:1.0

FF - prefs.js…extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:5.0.0.6483

FF - prefs.js…extensions.enabledItems: m3ffxtbr@mywebsearch.com:1.1

FF - prefs.js…network.proxy.type: 0

FF - HKLM\software\mozilla\Firefox\extensions\m3ffxtbr@mywebsearch.com: C:\Program Files\MyWebSearch\bar\1.bin [2010-11-11 20:42:54 | 000,000,000 | —D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\Components: C:\Program Files\Mozilla Firefox\components [2010-11-03 13:01:39 | 000,000,000 | —D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010-10-29 09:43:54 | 000,000,000 | —D | M]

[2010-09-16 11:58:37 | 000,000,000 | —D | M] – C:\Documents and Settings\kasik\Dane aplikacji\Mozilla\Extensions

[2010-11-11 21:12:04 | 000,000,000 | —D | M] – C:\Documents and Settings\kasik\Dane aplikacji\Mozilla\Firefox\Profiles\l8mloh7x.default\extensions

[2010-11-05 15:22:57 | 000,000,000 | —D | M] (Microsoft .NET Framework Assistant) – C:\Documents and Settings\kasik\Dane aplikacji\Mozilla\Firefox\Profiles\l8mloh7x.default\extensions{20a82645-c095-46ed-80e3-08825760534b}

[2010-11-12 09:29:13 | 000,010,025 | ---- | M] () – C:\Documents and Settings\kasik\Dane aplikacji\Mozilla\Firefox\Profiles\l8mloh7x.default\searchplugins\mywebsearch.xml

[2010-11-11 21:12:04 | 000,000,000 | —D | M] – C:\Program Files\Mozilla Firefox\extensions

[2010-10-15 11:23:40 | 000,000,000 | —D | M] (Skype extension) – C:\Program Files\Mozilla Firefox\extensions{AB2CE124-6272-4b12-94A9-7303C7397BD1}

[2010-10-13 12:13:59 | 000,000,000 | —D | M] (Java Console) – C:\Program Files\Mozilla Firefox\extensions{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}

[2010-10-13 12:13:49 | 000,411,368 | ---- | M] (Sun Microsystems, Inc.) – C:\Program Files\Mozilla Firefox\plugins\npdeployJava1.dll

[2010-09-14 22:29:36 | 000,002,767 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\allegro-pl.xml

[2010-09-14 22:29:36 | 000,001,406 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\fbc-pl.xml

[2010-09-14 22:29:36 | 000,000,917 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\merlin-pl.xml

[2010-09-14 22:29:36 | 000,000,858 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\pwn-pl.xml

[2010-09-14 22:29:36 | 000,001,183 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-pl.xml

[2010-09-14 22:29:36 | 000,001,683 | ---- | M] () – C:\Program Files\Mozilla Firefox\searchplugins\wp-pl.xml

O1 HOSTS File: ([2001-10-26 18:45:16 | 000,000,742 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)

O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)

O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O3 - HKLM…\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)

O3 - HKU\S-1-5-21-2025429265-2139871995-682003330-1003…\Toolbar\WebBrowser: (no name) - {6F4F95AF-1647-4B72-A632-055405455423} - No CLSID value found.

O4 - HKLM…\Run: [KernelFaultCheck] File not found

O4 - HKLM…\Run: [My Web Search Bar] C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)

O4 - HKLM…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)

O4 - HKU\S-1-5-21-2025429265-2139871995-682003330-1003…\Run: [MyWebSearch Email Plugin] C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)

O4 - HKU\S-1-5-21-2025429265-2139871995-682003330-1003…\Run: [Nowe Gadu-Gadu] C:\Program Files\Nowe Gadu-Gadu\gg.exe (GG Network S.A.)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKU.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-2025429265-2139871995-682003330-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra ‘Tools’ menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_20)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinsta … s-i586.cab (Java Plug-in 1.6.0_20)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 77.88.128.74 77.88.128.78

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)

O24 - Desktop Components:0 (Moja bieżąca strona główna) - About:Home

O24 - Desktop WallPaper: C:\Documents and Settings\kasik\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O24 - Desktop BackupWallPaper: C:\Documents and Settings\kasik\Ustawienia lokalne\Dane aplikacji\Microsoft\Wallpaper1.bmp

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2010-09-13 18:21:10 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT – [NTFS]

O32 - AutoRun File - [2009-02-14 12:43:07 | 000,000,045 | R— | M] () - D:\AUTORUN.INF – [UDF]

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O35 - HKLM…comfile [open] – “%1” %*

O35 - HKLM…exefile [open] – “%1” %*

O37 - HKLM…com [@ = comfile] – “%1” %*

O37 - HKLM…exe [@ = exefile] – “%1” %*

NetSvcs: 6to4 - File not found

NetSvcs: Ias - File not found

NetSvcs: Iprip - File not found

NetSvcs: Irmon - File not found

NetSvcs: NWCWorkstation - File not found

NetSvcs: Nwsapagent - File not found

NetSvcs: WmdmPmSp - File not found

#7

log obcięty zasady-wklejania-logow-forum-tytulowania-tematow-t253052.html

OTL w oknie Custom Scans-Fixes wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

:slight_smile: