Przesyłam od razu OTL oraz EXTRAS
Aktualizacje na programosy.pl:
Maxthon Cloud Browser • Far Manager • reaConverter Lite • Alternate Pic View • WashAndGo • YT Downloader • SmartFTP • ChrisPC YTD Downloader MP3 Converter • Syncovery
-
- Ogłoszenie:
Znowu ukash :/
6 posty(ów) • Strona 1 z 1
Znowu ukash :/
przez PRaY 28 Lip 2012, 14:44
Przesyłam od razu OTL oraz EXTRAS
- Załączniki
-
Extras.Txt- (35.56 KiB) Ściągnięto 80 razy
-
- OTL.Txt
- (59.15 KiB) Ściągnięto 79 razy
Znowu ukash :/
przez wojtas 28 Lip 2012, 14:54
Jest tu kilka infekcji...
odinstaluj : "XfireXO Toolbar" = XfireXO Toolbar
podłącz urządzenia, które podłączasz do komputera:
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:
Kliknij wykonaj skrypt. I potwierdź reset komputera .
Uruchom BlitzBlank w karcie Script wklej :
Klik w Execute Now. Zatwierdź restart komputera.
Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). i raport z pracy BlitzBlank (C:\blitzblank.log )
odinstaluj : "XfireXO Toolbar" = XfireXO Toolbar
podłącz urządzenia, które podłączasz do komputera:
Uruchom OTL i w sekcji własne opcje skanowania / skrypt wklej:
:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva397.sys -- (XDva397)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva396.sys -- (XDva396)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva394.sys -- (XDva394)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva393.sys -- (XDva393)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva392.sys -- (XDva392)
[2010-12-23 18:23:28 | 000,000,000 | ---D | M] (XfireXO) -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Dane aplikacji\Mozilla\Firefox\Profiles\e020v69z.default\extensions\{5e5ab302-7f65-44cd-8211-c1d4caaccea3}
O4 - HKLM..\Run: [Bron-Spizaetus] C:\WINDOWS\ShellNew\sempalong.exe ()
O4 - HKLM..\Run: [MSRegInfo] C:\WINDOWS\pagefile.sys.vbs ()
O4 - HKLM..\Run: [rekeiyeefjrmqnw] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\rekeiyee.exe ()
O4 - HKLM..\Run: [WinSys2] C:\WINDOWS\system32\WinSys2.exe ()O4 - HKU\S-1-5-21-2000478354-515967899-1801674531-1003..\Run: [rekeiyeefjrmqnw] C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\rekeiyee.exe ()
O4 - HKU\S-1-5-21-2000478354-515967899-1801674531-1003..\Run: [Tok-Cirrhatus] C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\smss.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-18..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - HKU\S-1-5-20..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found
O4 - Startup: C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Menu Start\Programy\Autostart\Empty.pif ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O32 - AutoRun File - [2012-07-14 21:03:40 | 000,000,106 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2012-07-14 21:03:40 | 000,000,106 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [1980-02-09 15:51:26 | 000,000,180 | RH-- | M] () - G:\AUTORUN.INF -- [ FAT32 ]
O33 - MountPoints2\{098ceb7c-5853-11e0-8e88-001d9280d069}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
O33 - MountPoints2\{098ceb7c-5853-11e0-8e88-001d9280d069}\Shell\Open(&0)\command - "" = E:\Recycled\ctfmon.exe
O33 - MountPoints2\{37a756eb-6993-11e0-8eab-001d9280d069}\Shell - "" = AutoRun
O33 - MountPoints2\{37a756eb-6993-11e0-8eab-001d9280d069}\Shell\AutoRun\command - "" = G:\LaunchU3.exe -a
O33 - MountPoints2\{37a756ec-6993-11e0-8eab-001d9280d069}\Shell - "" = AutoRun
O33 - MountPoints2\{37a756ec-6993-11e0-8eab-001d9280d069}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{3b492bb6-bc45-11e0-8f57-001d9280d069}\Shell - "" = AutoRun
O33 - MountPoints2\{3b492bb6-bc45-11e0-8f57-001d9280d069}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{6812040c-7de5-11de-9733-001d9272c231}\Shell - "" = AutoRun
O33 - MountPoints2\{6812040c-7de5-11de-9733-001d9272c231}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{6939c89e-a29b-11de-978c-001d9272c231}\Shell - "" = AutoRun
O33 - MountPoints2\{6939c89e-a29b-11de-978c-001d9272c231}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{726993fe-f070-11de-9821-001d9272c231}\Shell - "" = AutoRun
O33 - MountPoints2\{726993fe-f070-11de-9821-001d9272c231}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{a890daee-21cb-11e1-8ff2-001d9280d069}\Shell - "" = AutoRun
O33 - MountPoints2\{a890daee-21cb-11e1-8ff2-001d9280d069}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
O33 - MountPoints2\{c219136a-0ddf-11e0-b203-001d9280d069}\Shell - "" = AutoRun
O33 - MountPoints2\{c219136a-0ddf-11e0-b203-001d9280d069}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe pagefile.sys.vbs
[2012-07-28 11:36:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\mremqpmmfeklbjr
[2012-07-28 11:13:37 | 009,821,896 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[2007-12-04 02:20:57 | 000,053,765 | -H-- | C] (gy) -- C:\Program Files\Program Files.exe
[2012-07-28 13:24:51 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin
[2012-07-28 13:20:59 | 000,000,775 | ---- | M] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Skrót do 0.6801225153153727.exe.lnk
[2012-07-28 11:53:18 | 000,012,393 | ---- | M] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2012-07-28 11:36:56 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\pjadfqkrxvtmwkz
[2012-07-28 11:36:46 | 000,061,440 | ---- | M] () -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\rekeiyee.exe
[2012-07-28 13:24:51 | 000,012,393 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\Update.12.Bron.Tok.bin
[2012-07-28 13:20:59 | 000,000,775 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Skrót do 0.6801225153153727.exe.lnk
[2012-07-28 11:53:18 | 000,012,393 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\Bron.tok.A12.em.bin
[2012-07-28 11:36:56 | 000,061,440 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\rekeiyee.exe
[2012-07-28 11:36:47 | 000,000,051 | ---- | C] () -- C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\pjadfqkrxvtmwkz
[2009-04-19 18:36:10 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\winlogon.exe
[2009-04-19 18:36:10 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\smss.exe
[2009-04-19 18:36:10 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\services.exe
[2009-04-19 18:36:10 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\lsass.exe
[2009-04-19 18:36:10 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
[2009-04-19 18:36:10 | 000,042,713 | ---- | C] () -- C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\csrss.exe
:Files
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\smss.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\services.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\lsass.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\csrss.exe
autorun.inf /alldrives
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
:Commands
[emptytemp]
[resethosts]
Kliknij wykonaj skrypt. I potwierdź reset komputera .
Uruchom BlitzBlank w karcie Script wklej :
DeleteFile:
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\winlogon.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\smss.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\services.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\lsass.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Menu Start\Programy\Autostart\Empty.pif
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\csrss.exe
Klik w Execute Now. Zatwierdź restart komputera.
Następnie uruchamiasz OTL z opcją skanuj. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia (zawartość notatnika, która otworzy się po restarcie). i raport z pracy BlitzBlank (C:\blitzblank.log )
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
Znowu ukash :/
przez PRaY 28 Lip 2012, 15:17
syntax error nie da sin line 2, invalid file path
Blitz blank mi tak pokazuje
Blitz blank mi tak pokazuje
Znowu ukash :/
przez wojtas 28 Lip 2012, 15:24
a wklej tak:
DeleteFile:
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\winlogon.exe"
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\smss.exe"
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\services.exe"
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\lsass.exe"
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Menu Start\Programy\Autostart\Empty.pif"
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\inetinfo.exe"
"C:\Documents and Settings\Pray.SPIEWOK-A1478A1\Ustawienia lokalne\Dane aplikacji\csrss.exe"
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
Znowu ukash :/
przez PRaY 28 Lip 2012, 15:56
Zrobiłem wszystko tak jak pisałeś
Tu z blitza
BlitzBlank 1.0.0.32
File/Registry Modification Engine native application
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\winlogon.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\smss.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\services.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\lsass.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\menu start\programy\autostart\empty.pif", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\inetinfo.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\csrss.exe", destinationFile = "(null)", replaceWithDummy = 0
Tu z blitza
BlitzBlank 1.0.0.32
File/Registry Modification Engine native application
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\winlogon.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\smss.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\services.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\lsass.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\menu start\programy\autostart\empty.pif", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\inetinfo.exe", destinationFile = "(null)", replaceWithDummy = 0
MoveFileOnReboot: sourceFile = "\??\c:\documents and settings\pray.spiewok-a1478a1\ustawienia lokalne\dane aplikacji\csrss.exe", destinationFile = "(null)", replaceWithDummy = 0
- Załączniki
-
- OTL.Txt
- (92.7 KiB) Ściągnięto 80 razy
Znowu ukash :/
przez wojtas 29 Lip 2012, 10:45
Wejdz do trybu awaryjnego Windows i daj loga z Combofixa, zaś na koniec daj nowy log z OTL już z normalnego trybu.
-
wojtas - *mod
- Posty: 18165
- Dołączenie: 13 Sty 2006, 16:00
- Miejscowość: Krzeszyce
- Pochwały: 1656
-
6 posty(ów) • Strona 1 z 1
Kto jest na forum
Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 4 gości