Wirus ucash - przesyłam logi

**Posty:** 3 · przez **Kasuyan** 01 Lis 2012, 12:39

Witam złapałem na kompa to cholerstwo. ComboFix nie usuwa problemu, MalwareBytes usuwa coś tam, ale problem dalej jest, to samo z AdCleaner. Przesyłam logi i z góry dziękuje za pomoc.

**Posty:** 4765 · przez **ordynat** 01 Lis 2012, 13:04

[2012-10-08 17:04:58 | 000,000,000 | ---D | M] -- C:\Users\Krzych\AppData\Roaming\Egvax
[2012-10-31 21:47:01 | 000,000,000 | ---D | M] -- C:\Users\Krzych\AppData\Roaming\Xuryud

Znasz te powyższe?
Jeśli znasz, to z poniższego Skryptu usuń te dwie linijki.

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
O4 - HKLM..\Run: [sqlncli] C:\Users\Krzych\AppData\Local\Microsoft\Windows\3775\sqlncli.exe (Microsoft Corporation)
O4 - HKLM..\Run: [ROC_ROC_NT] "C:\Program Files\AVG Secure Search\ROC_ROC_NT.exe" / /PROMPT /CMPID=ROC_NT File not found
SRV - File not found [Auto | Stopped] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.0.0\ToolbarUpdater.exe -- (vToolbarUpdater13.0.0)
DRV - File not found [Kernel | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSPX.SYS -- (SRTSPX)
DRV - File not found [File_System | System | Stopped] -- C:\Windows\system32\drivers\NIS\1000000.07D\SRTSP.SYS -- (SRTSP)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\Krzych\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cmdatp.sys -- (ATP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\athur.sys -- (athur)
IE - HKLM\..\SearchScopes\{2489994D-E040-43DE-8D0B-9B1CD40564DD}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
IE - HKCU\..\SearchScopes,Backup.Old.DefaultScope = {5FB864A9-4BFB-406D-AC6E-AE33CFFDD3CD}
IE - HKCU\..\SearchScopes\{2489994D-E040-43DE-8D0B-9B1CD40564DD}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1602&query={searchTerms}&invocationType=tb50hpcnnbie7-pl-pl
IE - HKCU\..\SearchScopes\{5FB864A9-4BFB-406D-AC6E-AE33CFFDD3CD}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=404b0862-898e-11e1-b84c-001f16dd4b01&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Search"
[2012-10-29 11:37:24 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{3d5d2d29-b50d-c929-9f92-2d728c0bd7d7}
O2 - BHO: (AOL Toolbar BHO) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Program Files\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
O3 - HKCU\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Program Files\AOL\Pasek narzędzi AOL 5.0\aoltb.dll (AOL LLC)
O4 - HKLM..\Run: [vProt] "C:\Program Files\AVG Secure Search\vprot.exe" File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.5.1)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 10.5.1)
[2012-11-01 10:05:22 | 000,000,000 | ---D | C] -- C:\Users\Krzych\AppData\Roaming\hellomoto
[2012-10-08 17:04:58 | 000,000,000 | ---D | M] -- C:\Users\Krzych\AppData\Roaming\Egvax
[2012-10-31 21:47:01 | 000,000,000 | ---D | M] -- C:\Users\Krzych\AppData\Roaming\Xuryud

:Files
C:\Users\Krzych\AppData\Local\Microsoft\Windows\3775

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

Zainstaluj nowszą, bezpieczniejszą wersję Javy:
>http://java.com/pl/download/windows_xpi.jsp?locale=pl
Przy instalacji usuń zaznaczenie przy "Install the AskToolbar ..."

**Posty:** 3 · przez **Kasuyan** 01 Lis 2012, 13:32

Nie znam tych dwóch plików więc nic nie zmieniam. Zainstalowałem jave i wykonałem skrypt. Przesyłam logi oraz dziękuje za odpowiedź.

**Posty:** 4765 · przez **ordynat** 01 Lis 2012, 13:47

Boot Mode: SafeMode with Networking

Czyżby w dalszym ciągu nie można było działać w Trybie Normalnym?
Jeśli jednak można, to kończymy:
W OTL kliknij na przycisk Sprzątanie - to go usunie razem z jego Kwarantanną.
.

Autor postu otrzymał pochwałę

**Posty:** 3 · przez **Kasuyan** 01 Lis 2012, 14:03

Dzięki serdecznie za pomoc. Wszystko działa poprawnie. Pracowałem wciąż na trybie awaryjnym dlatego ta informacja w loggu.