Dziwnie mulący sie system

[michalevokrk]

raporty z otl

[ordynat]

Error - 2015-02-19 03:44:02 | Computer Name = KONIECZN-CF3D9A | Source = Service Control Manager | ID = 7000
Description = Nie można uruchomić usługi WindowsMangerProtect Service z powodu następującego
błędu: %%1053

W logu Extras.txt widać to, ale w logu OTL.txt tego nie widzę.
1) Na wszelki wypadek:
Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Daj z tego raport C:\AdwCleaner\AdwCleaner[S].txt.

2) Widać ślady infekcji pendrivowych, więc:
Użyj >USBFix
Kliknij w nim na: CLEAN.
Daj raport z tego usuwania.

3) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\zd1211Bu.sys -- (ZD1211BU(Atheros)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)
IE - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\SearchScopes\{0FA92054-8A6A-47DF-A31D-64378CD198D1}: "URL" = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=742
IE - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = https://mysearch.avg.com/search?cid={0B984C26-2FA0-43A4-BA0C-8A0CDB5998B0}&mid=d0092de63fe247d283bdd1543b0165b5-1d78124361ac5be059ee82fe18a4f4378f7b5c8d&lang=en&ds=px011&coid=avgtbdispx&cmpid=&pr=sa&d=2014-11-09 12:03:23&v=18.1.9.799&pid=safeguard&sg=&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search?q={searchTerms}
IE - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\SearchScopes\{F9CCCAF4-4DA2-43FE-AE09-820E522BE088}: "URL" = http://de.search.yahoo.com/search?p={searchTerms}&fr=vc_trans_8140&type=foxysecurity
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
[2014-11-09 12:03:11 | 000,003,740 | ---- | M] () -- C:\Documents and Settings\Messi123\Dane aplikacji\Mozilla\Firefox\Profiles\xq18xhsn.default\searchplugins\avg-secure-search.xml
O3 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O4 - HKLM..\Run: [updateWindows.VbS] %windir%\system32\wscript.exe /b "C:\DOCUME~1\Messi123\USTAWI~1\Temp\updateWindows.VbS" File not found
O4 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003..\Run: [DriverUpdaterPro] C:\Program Files\oTweak\DriverUpdaterPro\DriverUpdaterPro.exe /ot /as /ss File not found
O4 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003..\Run: [SystemBoosterPro] C:\Program Files\oTweak\SystemBoosterPro\SystemBoosterPro.exe /ot /as /ss File not found
O20 - HKLM Winlogon: UserInit - (C:\Program Files\fehKXkxt\xdbfausg.exe) - File not found
[2015-01-24 09:47:08 | 000,000,000 | -HSD | C] -- C:\WINDOWS\System32\AI_RecycleBin

:Reg
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.

4)

O20 - HKLM Winlogon: UserInit - (C:\Program Files\fehKXkxt\xdbfausg.exe) - File not found

Przeskanuj komputer przy pomocy Kaspersky Virus Removal Tool (KVRT) http://www.programosy.pl/program,kaspersky-virus-removal-tool.html
Jeśli wykryje chociaż jeden plik zarażony przez wirusa RAMNIT/NIMNUL, to sformatujesz dysk, i wgrasz System od nowa.
W takim przypadku nie wolno Ci będzie zachować gdzieś żadnego pliku *.exe, i żadnych plików *.html, *.htm
.

[michalevokrk]

raport adwcleaner

Dodano Dzisiaj, 20:15:
oraz z usbfix

[ordynat]

Found! D:\yftvl.com

USBFix miał być użyty z opcji CLEAN!

[michalevokrk]

to chyba ten raport

Dodano Dzisiaj, 20:30:
po restarcie systemu dostalem to############################## | UsbFix V 7.812 | [Research]

User: Messi123 (Administrator) # KONIECZN-CF3D9A
Updated 30/01/2015 by El Desaparecido - SosVirus
Started at 20:11:48 | 19/02/2015

Website : http://www.en.usbfix.net/
Changelog : http://www.en.usbfix.net/changelog/
Support : http://www.sos-virus.net/
Live detection : http://how-to-remove.us/
Contact : http://www.en.usbfix.net/contact/

################## | System information |

CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4800+
RAM -> [Total : 2046 Mo | Free : 1228 Mo]
Boot: Normal boot

OS: Microsoft Windows XP (5.1.2600 32-Bit) Dodatek Service Pack 3
WB: Internet Explorer : 6.00.2900.5512
WB: Mozilla Firefox : 35.0.1

################## | Security Information |

AS: Spy Emergency [(!) Disabled |(!) Outdated]
FW: Windows Firewall [Enabled]
SC: Security Center [Enabled]
WU: Windows Update [Enabled]

################## | Disk Information |

C:\ (%SystemDrive%) -> Fixed disk # 117 Gb (32 Gb free - 27%) [] # NTFS
D:\ -> Fixed disk # 349 Gb (49 Gb free - 14%) [] # NTFS

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [Shell] Explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\WINDOWS\system32\userinit.exe,C:\Program Files\fehKXkxt\xdbfausg.exe,
04 - HKCU\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKCU\..\Run : [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKCU\..\Run : [DriverUpdaterPro] C:\Program Files\oTweak\DriverUpdaterPro\DriverUpdaterPro.exe /ot /as /ss
04 - HKCU\..\Run : [SystemBoosterPro] C:\Program Files\oTweak\SystemBoosterPro\SystemBoosterPro.exe /ot /as /ss
04 - HKLM\..\Run : [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
04 - HKLM\..\Run : [nwiz] nwiz.exe /install
04 - HKLM\..\Run : [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
04 - HKLM\..\Run : [LGODDFU] "C:\Program Files\lg_fwupdate\fwupdate.exe" blrun
04 - HKLM\..\Run : [RTHDCPL] RTHDCPL.EXE
04 - HKLM\..\Run : [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
04 - HKLM\..\Run : [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
04 - HKLM\..\Run : [updateWindows.VbS] %windir%\system32\wscript.exe /b "C:\DOCUME~1\Messi123\USTAWI~1\Temp\updateWindows.VbS"
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKU\S-1-5-19\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-20\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\Run : [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
04 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\Run : [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\Run : [DriverUpdaterPro] C:\Program Files\oTweak\DriverUpdaterPro\DriverUpdaterPro.exe /ot /as /ss
04 - HKU\S-1-5-21-2052111302-1606980848-682003330-1003\..\Run : [SystemBoosterPro] C:\Program Files\oTweak\SystemBoosterPro\SystemBoosterPro.exe /ot /as /ss
04 - HKU\S-1-5-18\..\Run : [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
04GS - Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk : C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
04GS - TP-LINK Wireless Configuration Utility.lnk : C:\Program Files\TP-LINK\TP-LINK Wireless Configuration Utility\TWCU.exe

################## | Generic Research |

Found! C:\DOCUME~1\Messi123\USTAWI~1\Temp\SystemBoosterPro.exe
Found! D:\yftvl.com
Found! C:\Autorun.inf
Found! D:\Autorun.inf
Found! C:\Documents and Settings\Messi123\Ustawienia lokalne\Temp\SystemBoosterPro.exe
Found! C:\Documents and Settings\Messi123\Ustawienia lokalne\Temporary Internet Files\Content.IE5\DKNWBU4D\SystemBoosterPro[1].exe

################## | Registry |

Found! HKU\S-1-5-21-2052111302-1606980848-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run|SystemBoosterPro
Found! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|SystemBoosterPro

################## | UsbFix - Information |

Info : How to remove shortcut virus on flash disk (Video)
Info : Shortcut virus on flash disk, What is it ?
Live detection : http://how-to-remove.us/

################## | Hijack |


################## | E.O.F | http://www.sosvirus.net/ | http://www.en.usbfix.net/ |

[ordynat]

UsbFix V 7.812 | [Research][/b]

Nie, to nie jest z opcji CLEAN

ale może najpierw przeskanuj komputer przy pomocy KVRT, bo jeśli wykryty zostanie Ramnit/Nimnul, to nie ma sensu usuwac czegoś innego, bo i tak czeka (w przypadku wykrycia) format dysku.

[michalevokrk]

ok pomalu to ogarniam