Ataki trojanów,backdorów, malware + zamulający komputer

**Posty:** 125 · przez **szczoti** 25 Cze 2012, 06:49

[Witam, wróciłem wczoraj z z pikniku Nowej Prawicy a laptopa zostawiłem rodzicom, no i pech tak chciał, że gdy wróciłem musiałem przysiąść i zrobić coś w tym kierunku by odzyskać częściową sprawność komputera. Przechodząc do rzeczy pojawiało się po włączeniu laptopa okienka, jakieś "cmdowskie" okienka + plik do przekopiowania z wyborem kopiuj/zamień po próbach anulowania tego i tak ten plik się kopiował, moją reakcją był skan malwarebytes anti-malware oraz trojan removerem, co przyniosło jakiś tam skutek w postaci nie uruchamiających się tychże okienek.
Teraz chciałbym prosić obecnych administratorów tudzież moderatorów o ewentualne sprawdzenie log z mojego komputera, by usunąć wszelakie pozostałości oraz dalej istniejące infekcję.
Także chciałem dodać że program malwarebytes blokuje co jakiś czas teraz ingerencje w plik windowsapi.exe co jakiś czas cmd.exe.

Zamieszczam wymaganie logi:

gmerlog.txt: Gmer; (31.16 KiB) Ściągnięto 62 razy

OTL.Txt: OTL; (137.04 KiB) Ściągnięto 67 razy

Extras.Txt: Extras; (74.22 KiB) Ściągnięto 65 razy

**Posty:** 205 · przez **defacto19** 25 Cze 2012, 13:37

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
PRC - File not found -- C:\Users\Laptok\Moje dokumenty\cmd.exe
PRC - [2012-06-24 13:37:18 | 000,049,152 | ---- | M] () -- C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe
PRC - [2012-06-21 12:05:41 | 000,755,300 | ---- | M] (Don HO don.h@free.fr) -- C:\Users\Laptok\AppData\Roaming\btc.exe
MOD - [2012-06-24 13:37:18 | 000,049,152 | ---- | M] () -- C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva391.sys -- (XDva391)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva346.sys -- (XDva346)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\\SystemRoot\System32\Drivers\sptd.sys -- (sptd)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\CE00.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Program Files\Sun Empire Rebirth\MuGuard\llck.sys -- (LLRING0)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\cpu.sys -- (cpu)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\Laptok\AppData\Local\Temp\awrdapob.sys -- (awrdapob)
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=353&systemid=406&sr=0&q={searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://mythos-europe.com [binary data]
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=111732&babsrc=SP_ss&mntrId=40e373070000000000004c0f6e0b88bb
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://dts.search-results.com/sr?src=ieb&appid=353&systemid=406&sr=0&q={searchTerms}
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2206084
IE - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;<local>
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..browser.search.selectedEngine: "Search the web (Babylon)"
FF - prefs.js..browser.startup.homepage: "http://search.babylon.com/?affID=111732&babsrc=HP_ss&mntrId=40e373070000000000004c0f6e0b88bb"
FF - prefs.js..keyword.URL: "http://search.babylon.com/?affID=111732&babsrc=KW_ss&mntrId=40e373070000000000004c0f6e0b88bb&q="
[2012-05-29 11:12:08 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Laptok\AppData\Roaming\Mozilla\Firefox\Profiles\op5s57dj.default\extensions
[2012-03-12 19:34:15 | 000,000,000 | ---D | M] (Searchqu Toolbar) -- C:\Users\Laptok\AppData\Roaming\Mozilla\Firefox\Profiles\op5s57dj.default\extensions\{99079a25-328f-4bd4-be04-00955acaa0a7}
[2012-03-12 19:34:12 | 000,002,519 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\Mozilla\Firefox\Profiles\op5s57dj.default\searchplugins\Search_Results.xml
[2012-05-29 11:11:54 | 000,002,313 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
[2012-03-12 19:34:12 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
O2 - BHO: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (Searchqu Toolbar) - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\Program Files\Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll ()
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O4 - HKLM..\Run: [[KEYAME]] C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe ()
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [[KEYAME]] C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe ()
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [a] C:\Users\Laptok\Desktop\cmd.exe ()
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [b] C:\Users\Laptok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\cmd.exe ()
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [btc] C:\Users\Laptok\AppData\Roaming\btc.exe (Don HO don.h@free.fr)
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [c] C:\Users\Laptok\Documents\cmd.exe File not found
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [d] C:\Users\Laptok\Favorites\cmd.exe ()
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [e] C:\Users\Laptok\AppData\Roaming\Microsoft\Windows\Start Menu\cmd.exe ()
O4 - Startup: C:\Users\Laptok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cmd.exe ()
F3 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000 WinNT: Load - (C:\Users\Laptok\PnkBxpsse.exe) - File not found
O8 - Extra context menu item: 使用快车3下载 - C:\Users\Laptok\AppData\Roaming\FlashGetBHO\GetUrl.htm ()
O8 - Extra context menu item: 使用快车3下载全部链接 - C:\Users\Laptok\AppData\Roaming\FlashGetBHO\GetAllUrl.htm ()
O9 - Extra Button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe File not found
[2012-06-24 20:35:46 | 000,122,880 | ---- | C] (isometrical coalesced) -- C:\Users\Laptok\AppData\Roaming\xiffdb.exe
[2012-06-24 20:35:46 | 000,122,880 | ---- | C] (isometrical coalesced) -- C:\Users\Laptok\AppData\Roaming\qcuejw.exe
[2012-06-24 14:47:39 | 000,190,976 | ---- | C] (gqZ) -- C:\Users\Laptok\AppData\Roaming\fchsik.exe
[2012-06-24 07:38:05 | 000,720,896 | RHS- | C] (AutoIt Team) -- C:\Users\Laptok\QUvsst.exe
[2012-06-24 05:10:11 | 000,122,880 | ---- | C] (isometrical coalesced) -- C:\Users\Laptok\AppData\Roaming\ihbpkf.exe
[2012-06-23 23:02:39 | 000,077,824 | ---- | C] (gambe grane) -- C:\Users\Laptok\AppData\Roaming\x736b.exe
[2012-06-23 23:01:45 | 000,155,648 | RHS- | C] (AutoIt Team) -- C:\255841969832640.exe
[2012-06-23 23:01:45 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Laptok\AppData\Roaming\895443.exe
[2012-06-23 22:59:08 | 000,122,880 | ---- | C] (isometrical coalesced) -- C:\Users\Laptok\AppData\Roaming\eljorv.exe
[2012-06-23 22:57:50 | 000,077,824 | ---- | C] (gambe grane) -- C:\Users\Laptok\AppData\Roaming\AdobeART.exe
[2012-06-23 22:43:11 | 000,155,648 | RHS- | C] (AutoIt Team) -- C:\3126913427438.exe
[2012-06-23 22:43:10 | 000,430,080 | RHS- | C] (AutoIt Team) -- C:\Users\Laptok\wevsys.exe
[2012-06-23 22:43:10 | 000,155,648 | ---- | C] (AutoIt Team) -- C:\Users\Laptok\AppData\Roaming\wOvVpDqKqVsKjYsOgLxEcPbRqEaGpBqYlJlWdRxWsSdPaVmBiWxRcAjRuBgMaUjTmKbVxSnC.exe.vir
[2012-06-21 19:29:43 | 000,602,112 | RHS- | C] (TESTING) -- C:\Users\Laptok\PnkBxpsse.exe.vir
[2012-06-21 12:05:41 | 000,755,300 | ---- | C] (Don HO don.h@free.fr) -- C:\Users\Laptok\AppData\Roaming\btc.exe
[2012-05-29 11:11:48 | 000,000,000 | ---D | C] -- C:\Users\Laptok\AppData\Roaming\Babylon
[2012-05-29 10:45:07 | 000,862,832 | ---- | C] (Babylon Ltd.) -- C:\Users\Laptok\Desktop\MyBabylonTB.exe
[2009-07-14 02:20:27 | 000,069,632 | ---- | C] (IcoFX Software) -- C:\Users\Laptok\AppData\Roaming\D74D3D.exe.vir
[2012-06-24 14:06:40 | 000,097,972 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\zawbl.exe
[2012-06-24 13:47:55 | 000,172,544 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\thcuor.exe
[2012-06-24 13:47:55 | 000,172,544 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\ivmhhk.exe
[2012-06-24 13:37:18 | 000,049,152 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\kbyhqj.exe
[2012-06-24 13:37:18 | 000,049,152 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\evpxvs.exe
[2012-06-24 13:33:51 | 000,765,007 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\qmfdtp.exe
[2012-06-24 13:33:51 | 000,765,007 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\qedeef.exe
[2012-06-24 13:32:51 | 000,020,480 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\32258330712017.exe.vir
[2012-06-24 10:35:09 | 000,002,895 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\anti.bat
[2012-06-24 09:06:31 | 000,000,032 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\T2c5fgvG58FGH
[2012-06-24 08:56:39 | 000,003,623 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\Youtube bot
[2012-06-24 07:43:52 | 000,954,534 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\zotlhd.exe
[2012-06-24 07:41:32 | 000,015,872 | ---- | M] () -- C:\Users\Laptok\AppData\Roaming\fsrghn.exe
@Alternate Data Stream - 55920 bytes -> C:\ProgramData:$SS_DESCRIPTOR_LVVWVBGV0VFBTLX4D06YH7LVUTPXGJMBKE1R0WT1VH7E24F7PHCTVF4VMVFVVX4VM

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij (Skanuj).
Pokaż nowy log OTL.txt oraz raport z usuwania.

**Posty:** 125 · przez **szczoti** 25 Cze 2012, 14:37

Hmm mam problem, gdy wklejam ten skrypt to otl sie zawiesza i jest tak zwany "brak odpowiedzi" zatrzymał się odrazu na pierwszym poleceniu ze skryptu.

**Posty:** 205 · przez **defacto19** 25 Cze 2012, 15:17

W takim razie proszę wykonać skrypt w trybie awaryjnym.

**Posty:** 125 · przez **szczoti** 25 Cze 2012, 16:17

raportusuniecia.txt: Raport usunięcia; (31.44 KiB) Ściągnięto 118 razy

OTL.Txt: otl; (112.89 KiB) Ściągnięto 119 razy

**Posty:** 205 · przez **defacto19** 25 Cze 2012, 17:09

Uruchom OTL i w okno (Własne opcje skanowania/Script)wklej:

:OTL
PRC - [2012-06-24 13:37:18 | 000,049,152 | ---- | M] () -- C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe
MOD - [2012-06-24 13:37:18 | 000,049,152 | ---- | M] () -- C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe
O3 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000\..\Toolbar\WebBrowser: (no name) - {9D81AF43-DE53-48D0-A199-42C2A226B24C} - No CLSID value found.
O4 - HKLM..\Run: [[KEYAME]] C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe ()
O4 - HKU\S-1-5-21-4019981903-1064925490-3814302845-1000..\Run: [[KEYAME]] C:\Users\Laptok\AppData\Local\Temp\WindowsAPI.exe ()

:Files
autorun.inf /alldrives

:Commands
[emptytemp]

Kliknij Wykonaj skrypt.Zatwierdź restart komputera. Uruchom OTL ponownie i użyj opcji sprzątanie.

Dodatkowo wykonaj pełne skanowanie programem Dr.Web CureIt
http://www.freedrweb.com/cureit/?lng=en