Trojan ? problemy na kazdym kroku

[kabakanie]

Witam, to moje 3-cie podejscie do napisania tematu i otrzymania odpowiedzi, tym razem mam nadzieje, ze nie dalem klapy i temat dobrze powstal.

Takze moje problemy to :
1. Przy wlaczaniu komputera system sie zawiesza w momencie pokazania sie pulpitu, czasami musze 2 razy zrestartowac by wkoncu go odpalil.

2. Problemy z kontem internetowym banku, generalnie pojawia sie oszukane okienko, ze niby z banku, ktore pyta mnie o dane karty wraz z pinem, oczywiscie jest to typowy scam, ale jakos musi robic sie to przekierowanie, wiec podejrzewam trojan.

3. Wolna przegladarka firefox czasami zawiesza sie, bardzo wolno dziala gmail i uploadowanie zalacznikow.

Generalnie komputer dziala wolno i niestety nie jest stabilny oraz pewny. jak kiedys.

Ponizej zalaczam logi z otl i gmara

Dodam, ze w przeszlosci na tym systemie uzywalem Combofixa, ktory ze wszystkim sobie radzil idealnie, natomiast ostatnio przy probie niestety nie udalo sie, dodatkowo przed startem procesu skanowania przez combofix - Pokazuje sie okienko jakiegos back up'u. Nie jestem pewien, czy to combofix czy virus robi kopie zapasowa i przez to zostaje on na komputerze?

Z gory dziekuje za pomoc

[wojtas]

po pierwsze nie używamy Combofixa jako skanera, ponieważ może uszkodzić system że już go nie włączysz..

nie widzę w systemie żadnego antywirusa...

co do logów :
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
DRV - File not found [Kernel | On_Demand | Running] -- -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] -- -- (xcpip)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] -- -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] -- -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (fwxoqfog)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (eqgtby2g.sys)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (DNINDIS5)
DRV - File not found [Kernel | System | Stopped] -- -- (Changer)
DRV - File not found [Kernel | System | Stopped] -- -- (Cdaudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- -- (catchme)
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=0a6064a8-3719-11e1-8e59-00192136481a
IE - HKLM\..\SearchScopes\{C88640E7-45B9-428F-A0F3-AB65660AD3F6}: "URL" = http://search.myheritage.com?orig=ds&q={searchTerms}
IE - HKU\S-1-5-21-1644491937-776561741-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.funmoods.com/?f=1&a=stonicpl stagedXpi
IE - HKU\S-1-5-21-1644491937-776561741-839522115-1003\..\SearchScopes,DefaultScope = {0D7562AE-8EF6-416d-A838-AB665251703A}
IE - HKU\S-1-5-21-1644491937-776561741-839522115-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = http://start.funmoods.com/?a=stonicpl stagedXpi&s={searchTerms}&f=4
IE - HKU\S-1-5-21-1644491937-776561741-839522115-1003\..\SearchScopes\{BE28C22E-F666-424d-B5FD-125C4AFEE34E}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=0a6064a8-3719-11e1-8e59-00192136481a&q={searchTerms}
IE - HKU\S-1-5-21-1644491937-776561741-839522115-1003\..\SearchScopes\{C88640E7-45B9-428F-A0F3-AB65660AD3F6}: "URL" = http://search.myheritage.com?orig=ds&q={searchTerms}
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.7.0088
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
[2011-02-24 14:52:34 | 000,000,000 | ---D | M] (vShare) -- C:\Documents and Settings\Kucza\Dane aplikacji\Mozilla\Firefox\Profiles\tsxpbeai.default\extensions\vshare@toolbar
[2009-02-28 20:23:12 | 000,002,921 | ---- | M] () -- C:\Documents and Settings\Kucza\Dane aplikacji\Mozilla\Firefox\Profiles\tsxpbeai.default\searchplugins\daemon-search.xml
[2012-02-09 18:39:15 | 000,001,812 | ---- | M] () -- C:\Documents and Settings\Kucza\Dane aplikacji\Mozilla\Firefox\Profiles\tsxpbeai.default\searchplugins\funmoods.xml
[2009-05-20 23:04:25 | 000,009,941 | ---- | M] () -- C:\Documents and Settings\Kucza\Dane aplikacji\Mozilla\Firefox\Profiles\tsxpbeai.default\searchplugins\mywebsearch.xml
[2012-01-04 21:14:21 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Kucza\Dane aplikacji\Mozilla\Firefox\Profiles\tsxpbeai.default\searchplugins\startsear.xml
[2011-02-24 14:52:42 | 000,001,592 | ---- | M] () -- C:\Documents and Settings\Kucza\Dane aplikacji\Mozilla\Firefox\Profiles\tsxpbeai.default\searchplugins\web-search.xml
O2 - BHO: (SnagIt Toolbar Loader) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\Snagit 9\SnagitBHO.dll (TechSmith Corporation)
O3 - HKLM\..\Toolbar: (Snagit) - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\Snagit 9\SnagitIEAddin.dll (TechSmith Corporation)
O3 - HKU\S-1-5-21-1644491937-776561741-839522115-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
[2012-03-05 12:20:09 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2010-07-28 17:37:37 | 000,044,800 | ---- | C] () -- C:\WINDOWS\System32\ini.exe
[2010-07-10 16:05:08 | 000,088,576 | RHS- | C] () -- C:\WINDOWS\System32\nwwksx.dll
[2010-07-10 15:53:57 | 000,046,592 | ---- | C] () -- C:\WINDOWS\System32\redirsm.dll

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .

Użyj AdwCleaner i kliknij w nim Delete (uruchom z prawokliku "jako Administrator)
Pokaż raport z niego


Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

[kabakanie]

Zrobilem, tak jak mi napisales. Po wklejeniu linka kazal mi zrestartowac, wiec to zrobilem niestety przy wlaczaniu systemu dostal zawiasa i jeszcze raz go zresetowalem. Ponizej daje zalacznik z OTLa. Miedzy czasie pojawil sie nowy problem z moim Tabletem, ktory w dziwny sposob dziala, moze sterowniki zle sie zaladowaly przy restercie.

Tego loga ktory mi sie pokazal po uruchomieniu PC nie zapisalem nigdzie, robilem krok po kroku i nie pisalo, zebym go zapisal gdzies, chyba, ze sam sie zapisal w ktoryms miejscu ?

[wojtas]

powinien być w folderze OTL na C , losowa nazwa.txt...

Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:

:OTL
[2012-03-07 17:10:02 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2012-03-03 19:36:17 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2012-03-03 19:36:17 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2012-03-03 19:36:17 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2012-03-03 19:36:17 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

:Services
xpsec
xcpip

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt. I potwierdź reset komputera .
* zrób pełny skan Malwarebytes Anti-Malware (zaktualizuj, usuń co znajdzie ) i pokaż raport

Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie).

[kabakanie]

Wow, jestem pod wrazeniem mozilla i internet smiga jak ta lala
. Wyczyszczone wszystko sie wydaje, mam taka nadzieje, ale prosze jeszcze o sprawdzenie i jakies rady na przyszlosc .
Co ciekawe znalazlo mi jakiegos syfa w folderze OTLa....

[wojtas]

to co znalazł MBAM to w folderze w którym usuwane pliki ( można powiedzieć kwarantanna ) .. jak damy opcję w OTLu Sprzątanie wszystko zniknie
Uruchom BlitzBlank w karcie Script wklej :

DisableDriver:
xpsec
xcpip

Klik w Execute Now. Zatwierdź restart komputera.

powiedz czy pomyślnie zostało usunięte...jesli tak to: przejdź do tego:

*Uruchom OTL z opcji sprzątanie.
* wykonaj optymalizację Windowsa ( instrukcja dla Windowsa XP, lecz w innych systemach jest podobnie )
* Skasuj stan przywracania systemu

Zaktualizuj zabezpieczenia:
>>> Adobe Reader (bez Free McAfee® Security Scan Plus)
>>> Internet Explorer 8
>>> Java™ 6

napisz jak sytuacja z komputerem

[kabakanie]

Zrobilem czyszczenie OTLem, nastepnie uzylem skryptu ktory mi podales, chcialem wejsc znowu w OTL, ale zniknal z powierzchni komputera, czy tak mialo byc ? Dodam, ze po wrzuceniu skryptu w blitzblanku komputer nie odpalil dwa razy byl "Freeze" przy pokazaniu pulpitu.

[wojtas]

opcja OTL sprzątanie kasuje wszystko pliki po OTL'u...
powinno być już ok. ale dla pewności sprawdź czy nie widać już
W programie Autoruns

w zakładce Drivers zobacz i jak będą to skasuj te usługi

DRV - File not found [Kernel | On_Demand | Running] -- -- (xpsec)
DRV - File not found [Kernel | On_Demand | Running] -- -- (xcpip)

[kabakanie]

Po pewnej przerwie, mialem okazje sprawdzic komputer ponownie i niestety, problemy nadal sie pojawiaja, a konkretnie :

Wolny GMAIL, generalnie wolna przegladarka firefox
Przy logowaniu na ebay, wyskakuje okienko z zapytaniem o numery kart i pinow
Przy sciaganiu plikow w pewnym momencie przegladarka firefox robi "crash"

Zastanawiam sie czy moze miec jakis zwiazek z tym malo miejsca na dysku "C" - Pozostalo 1gb, wiec moze brak pamieci powoduje uciazliwe dzialanie ?

[wojtas]

daj nowe logi...

[kabakanie]

Z ktorego programu logi ?

[wojtas]

standardowo Gmer i dwa z OTL'a